Автор Тема: Windows заблокирован, отправьте смс [решение] [Trojan Winlock]  (Прочитано 6512 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Алексей

  • Администратор
  • Старожил
  • *****
  • Сообщений: 343
  • Карма: +42/-0
Windows заблокирован, отправьте смс.. Решаем проблему!
Описанные ниже решения актуальны почти для всех версий вируса за редким исключением.  А теперь несколько вариантов и способов решения проблемы (пробуйте все, пока не придете к успеху):

Вариант 1 (коды раблокировки windows):

На сайте dr.web есть коды разблокировки и найти их можно тут https://www.drweb.com/xperf/unlocker/ . Просто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки. Так же, как вариант, Вы можете ввести номер куда просят отправить смс и текст сообщения, а затем нажать на кнопку “найти” и получить код.

После разблокировки тут же начинаем лечить систему нормальным антивирусом.
Если после разблокировки у Вас чистый рабочий стол, то читайте конец статьи.

Вариант 2 (с помощью avz):   http://www.softportal.com/software-4128-avz.html

    Берем рабочий компьютер и флешку\диск.
    Скачиваем avz, записываем его на флешку или диск.
    Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“ .
    Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
    Вставляем диск\флешку в компьютер.
    В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
    Ждем пока появится знакомый нам “Мой компьютер“
    Заходим на флешку\диск и запускаем avz.exe
    Выбираем “Файл - Мастер поиска и устранения проблем“. В появившемся окошке выбираем: “Системные проблемы” – “Все проблемы” и жмем кнопочку “Пуск“. Ставим все галочки кроме тех, что начинаются с “Разрешен автозапуск с..” и “Отключено автоматическое обновление системы“. После чего жмем “Исправить отмеченные проблемы“.
    Там же выбираем “Настройки и твики браузера” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.
    Там же выбираем “Приватность” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.
    Далее жмем “Закрыть“, а затем, все в том же AVZ, выбираем “Сервис” – “Менеджер расширений проводника” и в появившемся списке снимаем галочки со всех строчек, которые написаны чернымт (а не зеленым цветом).
    После этого запускаем “Сервис” – “Менеджер расширений IE” и удаляем (именно удаляем, методом нажатия крестика) ВСЕ строки в списке.
    Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то либо воспользуйтесь способом третьим (ниже по тексту), либо просто все в том же “Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.

Вариант 3 (с помощью скрипта):

    Берем рабочий компьютер и флешку\диск.
    Скачиваем avz, записываем его на флешку или диск.
    Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“.
    Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
    Вставляем диск\флешку в компьютер.
    В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
    Ждем пока появится знакомый нам “Мой компьютер“
    Заходим на флешку\диск и запускаем avz.exe
    Выбираем “Файл” – “Выполнить скрипт“.
    Вставляем в появившееся окно скрипт:

        begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(True);
        QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
        QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
        QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
        DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
        DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
        QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
        QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
        QuarantineFile('Explorer.exe csrcs.exe','');
        QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
        DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
        DeleteFile('Explorer.exe csrcs.exe');
        DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
        DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
        DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
        DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
        DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
        DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
        DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
        DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
        DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
        DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
        BC_ImportDeletedList;
        ExecuteSysClean;
        BC_Activate;
        RebootWindows(true);
        end.

    Важно! Где вместо Ваш_аккаунт надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть sonik, может быть vasya или что-то еще, т.е. имя пользователя под которым Вы входите в систему.
    Жмем кнопочку “Запустить“. Ждем окончания работы скрипта.
    Перезагружаемся и видим, что блокировки windows больше нету, а значит проводим полную очистку системы нормальным антивирусом.
« Последнее редактирование: 24 Март 2013, 18:23:42 от Алексей »