X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Удаление вирусов Deblocker (Winlock) - статья, статья-мануал по удалению вирусов блокирующих винду
worldwar87
worldwar87
Topic Starter сообщение 18.1.2011, 21:11; Ответить: worldwar87
Сообщение #1


Новичок
*

Группа: User
Сообщений: 24
Регистрация: 12.12.2010
Поблагодарили: 3 раза
Репутация:   0  


Это моя первая статья, так что будьте снисходительны. Думаю она многим может помочь, потому что от этой вирусни никто не застрахован.

Здравствуйте! В связи с особым обострением проблемы вирусов, а именно Deblock'еров и Winlock'еров (блокируют windows и вымогают деньги порядка 300-400 рублей) и написана эта статья.

Вот несколько примеров таких вирусов:





Я расскажу вам про очень простой и очень эффективный способ их удаления без переустановки ОС или других способов с потерей данных и материальных средств.

Итак, начнём. Перезагружайте компьютер. При загрузке пока пробегают разные тесты памяти и прочих составных частей компьютера (белые буквы на чёрном экране) жмите клавиши F5 или F8, пока не появится окно с вариантами загрузки windows.



Здесь мы видим три варианта безопасного режима (обычный, с загрузкой сетевых драйверов и с поддержкой командной строки) и другие варианты, не интересующие нас в данной ситуации.
Нам нужен безопасный режим с поддержкой командной строки, выбираем его и жмём Enter.

Далее в зависимости от вируса, который у вас ситуация может развиваться двумя путями:

1. безопасный режим загрузился, а вирус нет (считайте вам повезло - это более простой случай и самый распространённый);

2. безопасный режим загрузился, но вы видите всё тот же противный вирус (этот случай немного сложнее).

Рассмотрим сначала случай №1:

Перед нами окно командой строки (кстати забыл сказать, что вы должны зайти под администратором или пользователем с администраторскими правами). В этом окне мы набираем
regedit

Это команда для редактирования реестра. Соответственно перед нами появится окно в котором слева расположены 5 основных ветвей реестра. Дальше мы их открываем по такому пути:
HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> winlogon



Здесь справа, как показано на рисунке, нас интересует то, что прописано в Shell. На здоровом компьютере должно быть написано explorer.exe. Но не спешите удалять лишнюю хрень сначала посмотрите, на заражённом компьютере там будет полный путь до исполняемого файла вируса. Возвращаемся к командной строке и набираем там
explorer.exe

Откроется "Мой компьютер". Далее проходим по пути до нашего вируса и просто удаляем его. Теперь можно исправить Shell в реестре. Что бы там ни было написано удаляем всю строку и пишем explorer.exe. Теперь можно перезагрузить компьютер. Поздравляю, вирус удалён, но я бы рекомендовал ещё для профилактики пройтись по всему компу каким-нибудь антивирусом, например у касперского есть неплохая бесплатная утилита http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Теперь случай №2:

Как бы мы не загружались, всё равно вирус лезет через все щели. В этом случае нам понадобится загрузиться с какого-либо стороннего носителя (CD или flash). Конечно при таком раскладе нам понадобится второй (здоровый) компьютер. Нам нужен образ windows Live CD (windows потому что, необходимо править реестр). Я например использую Reanimator Live CD, вам не составит труда найти в интернете его образ и записать на диск. А что если вирус на нетбуке, на нём же нету cd-rom'а? Тогда нам придётся создать загрузочную флэшку.

Создание загрузочной флэшки

Сделать это очень просто, софта предостаточно, например UltraIso.
Для этого нам нужен образ нашего Live CD и флэшка.
Запускаем программу UltraISO, нажимаем открыть, выбираем образ Live CD и открываем его. Далее в меню самозагрузка->создать образ жёсткого диска. Откроется окно, в нём выбираем из выпадающего меню нашу флэшку и жмём начать. Всё загрузочная флэшка готова.


Далее в биосе ставим загрузку с флэшки (на всех нетбуках эта возможность есть) или с диска, смотря что имеется в наличии.

Вот мы загрузились, теперь открываем пуск и в поле "Выполнить" вводим: regedit. Откроется окно редактирования реестра, но т.к. мы загружены с Live CD реестра нашей заражённой винды здесь нет, его необходимо подгрузить. Для этого щёлкаем праой кнопки мыши по любой ветке реестра -> создать -> раздел, как показано на рисунке ниже.



Затем выбираем меню "файл"->"Импортировать" тут нам нужно С:/WINDOWS/System32/config/software открываем и теперь в созданном нами разделе повторяем процедуру, описанную в первом случае.

После удаления вируса необходимо экспортировать нашу очищенную ветку назад. Для этого выбираем меню "файл"->"Экспортировать" и назад в С:/WINDOWS/System32/config/software. После этого перезагружаем компьютер, всё, вирус удалён!


--------------------
Всё для веб-мастера - html шаблоны
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Karleone12
Karleone12
сообщение 18.1.2011, 21:22; Ответить: Karleone12
Сообщение #2


Участник
***

Группа: User
Сообщений: 225
Регистрация: 6.9.2010
Поблагодарили: 52 раза
Репутация:   5  


Еще вроде можно просто системную дату поменять вперед, и пропадет. В некоторых случаях срабатывает
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
worldwar87
worldwar87
Topic Starter сообщение 18.1.2011, 21:23; Ответить: worldwar87
Сообщение #3


Новичок
*

Группа: User
Сообщений: 24
Регистрация: 12.12.2010
Поблагодарили: 3 раза
Репутация:   0  


(Karleone12 @ 18.1.2011, 20:22) *
Еще вроде можно просто системную дату поменять вперед, и пропадет. В некоторых случаях срабатывает


Да тоже слышал что на 2 дня назад сдвигать можно, но сколько мне компов не приносили с подобным, ни разу не получилось

Сообщение отредактировал worldwar87 - 18.1.2011, 21:24


--------------------
Всё для веб-мастера - html шаблоны
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
simpliex
simpliex
сообщение 18.1.2011, 21:50; Ответить: simpliex
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 1928
Регистрация: 11.4.2009
Из: Москва
Поблагодарили: 524 раза
Репутация:   101  


У меня с датой прокатывало, в биосе на 2 дня переносишь, перезагружаешь, всё норм должно быть, если не помогло, на месяц, год меняешь вперёд.


--------------------
Осторожно! Должник.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
proekt-gaz
proekt-gaz
сообщение 19.1.2011, 10:52; Ответить: proekt-gaz
Сообщение #5


Бывший
******

Группа: Active User
Сообщений: 1294
Регистрация: 23.3.2010
Из: Ростов
Поблагодарили: 313 раз
Репутация:   63  


Еще можно зайти на сайт антивирусника и найти там коды для этих баннеров. Ввести код, а затем удалить все херь из реестра и с компа.


--------------------
Программа раскрутки
Бесплатное увеличение посещаемости
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
liquidon
liquidon
сообщение 19.1.2011, 21:43; Ответить: liquidon
Сообщение #6


Участник
***

Группа: User
Сообщений: 153
Регистрация: 19.1.2011
Из: Пенза
Поблагодарили: 24 раза
Репутация:   5  


(proekt-gaz @ 19.1.2011, 9:52) *
Еще можно зайти на сайт антивирусника и найти там коды для этих баннеров.

Очень много не рабочих стало, лучше всегда иметь в запасе live CD


--------------------
Чтобы тебя любили — приходится быть со всеми хорошим каждый день.
Чтобы ненавидели — напрягаться не приходится вообще.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Gomer1705
Gomer1705
сообщение 19.1.2011, 23:43; Ответить: Gomer1705
Сообщение #7


Бывалый
****

Группа: User
Сообщений: 491
Регистрация: 12.3.2010
Из: за Урала
Поблагодарили: 78 раз
Репутация:   12  


(proekt-gaz @ 19.1.2011, 11:52) *
Еще можно зайти на сайт антивирусника и найти там коды для этих баннеров. Ввести код, а затем удалить все херь из реестра и с компа.

Сталкивался когда-то(когда не был установлен лицензионный антивирусник) с аналогичным, после закачки кряка для Sonnar'а. Пробовал вводить коды с сайта касперского, но ни один код не мог удалить баннер. Решил проблемы, как написал ТС, только немного проще: просто подредактировав раздел shell и проверив путь до файла баннера.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Boxster
Boxster
сообщение 20.1.2011, 0:10; Ответить: Boxster
Сообщение #8


Устал уставать
*****

Группа: Active User
Сообщений: 714
Регистрация: 7.11.2008
Из: Неизвестность
Поблагодарили: 222 раза
Репутация:   41  


(proekt-gaz @ 19.1.2011, 9:52) *
Еще можно зайти на сайт антивирусника и найти там коды для этих баннеров. Ввести код, а затем удалить все херь из реестра и с компа.


Пробовал неоднократно - никакие коды не помогают, всё это туфта!

ТС, второй способ несколько проблематичен, если нет, как Вы уже сказали, под рукой дополнительной машины. Логичнее было бы упомянуть об откате системы с сохранённой точкой восстановления (пару дней назад убил такой винлок на ноутбуке брата, когда он прописался в загрузке даже в безопасном режиме, откат на 2 часа, важные данные не потерялись).

Надеюсь, Вы не будете против, если я опубликую ссылку на запись из своего дневника тоже по Winlock, который стал результатом данной темы (http://www.maultalk.com/topic75460s0.html). Там описан метод удаления, когда Winlock не заполоняет экран полностью, а перезагружаться нежелательно, если есть несохранённые во время сеанса данные.

То за 2 года ничего подобного не было, то за неделю сразу 2 случая - у себя и брата...
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
install
install
сообщение 20.1.2011, 0:16; Ответить: install
Сообщение #9


Яндекс ЛОХ
*******


Группа: Active User
Сообщений: 3530
Регистрация: 28.5.2009
Из: Нижневартовска
Поблагодарили: 1376 раз
Репутация:   201  


Boxster, да я лично сам подхватил тоже самое зашел на касперского там не было кода, на доктор вебе код подошел.
Так что коды помогают, но видать в не в каждом конкретном случае.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
worldwar87
worldwar87
Topic Starter сообщение 26.1.2011, 10:09; Ответить: worldwar87
Сообщение #10


Новичок
*

Группа: User
Сообщений: 24
Регистрация: 12.12.2010
Поблагодарили: 3 раза
Репутация:   0  


да способов вообще много) например седьмая винда бэкапы реестра делает, можно просто с бекапа ветку софтваре копирнуть и всё хорошо будет)

Просто приятно когда своими руками эту вирусню просто уничтожаешь=)


--------------------
Всё для веб-мастера - html шаблоны
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Требуется почистить сайты от вирусов
6 Mukis 362 10.12.2017, 15:40
автор: qpPeW
Открытая тема (нет новых ответов) Эксперты рассказали об отличиях вирусов Bad Rabbit и ExPetya
0 MissContent 525 26.10.2017, 9:55
автор: MissContent
Открытая тема (нет новых ответов) Статья 25632 симв. Искусство.
0 gold15 700 25.3.2017, 13:57
автор: gold15
Открытая тема (нет новых ответов) Чистим ваши сайты от вирусов с гарантией!
7 Skiper95 3023 21.2.2017, 16:33
автор: ilsim
Горячая тема (нет новых ответов) Чистим сайты от вирусов, рекомендации, проверка сервера на уязвимость!
80 Rxp 36229 16.2.2017, 15:05
автор: Andro11


 



RSS Текстовая версия Сейчас: 17.12.2017, 16:32
Дизайн