В связи с наработанным опытом разблокировки WINDOWS от загрузочных вирусов, просящих отправить смс на определенный номер, решил поделиться простым, но эффективным алгоритмом разблокировки. Никаких смс, никаких переустановок, никаких точек восстановления. Механизм успешно отработан на 9 зараженных машинах (8 win xp и 1 windows 7).

Итак, если у вас появилось окошко в духе вот этого http://content.foto.mail.ru/mail/dusbabaev/_answers/i-5.jpg то поступаем следующим образом.

1. Перегружаем компьютер.
2. В процессе загрузки windows жмем F8 и заходим в режим выбора типа запуска и выбираем Безопасный режим с поддержкой коммандной строки
3. Открывается консоль, где мы проделываем следующее. С помощью комманды cd переключаемся в системную папку, а затем в папку с системными утилитами windows. В подавляющем большинстве случаев эта путь будет С:\Windows\System32
4. Запускаем утилиту редактирования реестра regedit.exe (просто вводим название файла и жмем Enter)
5. Находим следующую ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
6. Почти наверняка в нем будет находится параметр SHELL, которого быть не должно вообще в "здоровой машине", с неким значением, которое собой представляет путь до файла вируса. В некоторых модификациях вируса это может быть видоизмененный обязательный параметр USERINIT, но нужно учитывать, что если значение параметра имеет вид С:\%SystemRoot%\Userinit.exe - то так и должно быть.
Это может быть программа .exe или динамическая библиотека .dll. Путь до файла скорее всего будет следующим - C:\%SystemRoot%\Temp.
Удаляем этот параметр из данной ветки и выходим из regedit
7. Запускаем проводник windows explorer.exe (explorer.exe и Enter). Он должен запуститься.
8. Заходим в тут папку, в которой был обнаружен перехватчик загрузки в ветке winlogon и удаляем этот файл.
9. Перегружаем компьютер в нормальном режиме.
10. На всякий случай проверяем компьютер антивирусом. Также рекомендую использовать для проверки на вирусы и разные хакерские утилиты антивирусную утилиту Avz, найти в инете ее несложно просто погуглив.
Все.

Ну так то инфа нужная, но как ее прочитать когда комп залип!? Печатное издание хранить возле компа?

Алгоритм в принципе-то несложный, можете попробовать запомнить.

Не, не получится. У меня память не очень. Но все равно спасибо.

Очень актуальная информация Несколько дней назад словил подобное. Платить естессно не стал. Поскольку не обладал такой информацией, пару часов пришлось повозиться

По поводу ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
НЕ забываем, что паразиты грузятся не только через SHELL, но и USERINIT.
А ещё лучше запустить autoruns on Sysinternals и посмотреть всё, что так или иначе стартует в системе.
Ещё проверьте, что в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
нет левых маршрутов, таким образом паразиты блокируют доступ к антивирусным сайтам. И про %SystemRoot%\System32\Drivers\etc\hosts не забудьте.
А вообще алгоритм предельно очевидный, если понимаете что и зачем загружается, и чего не должно грузиться уж точно.

Про Userinit спасибо, правы, но мне на практике именно вариант в shell попадался. Включу в алгоритм.

Нынче упыреныши пошли такие, что подобным способом их не сковырнешь с экрана. В безопасном режиме тот же баннер висит. Помог только LiveCD.

еще паразиты любят в пользовательские ветки реестра прописываться - HKEY_CURRENT_USER, HKEY_USERS,
еще есть параметр taskman
и вообще вирусописатели не сидят сложа руки, и подкидывают периодически что-нибудь новенькое (из последнего - перезаписывают mbr) так что такие универсальные советы не помогут, если нет понимания, что и зачем делается

Ни разу не ловил за 5 лет исползования компа:)

Мой алгоритм: не лазить по порносайтам и сомнительным ссылкам типа: "Сенсация - чупакабра переспала с девушкой, и она родила! Смотрите фото!" Пользуюсь им, и никогда не ловил ничего подобного. Вирусня специфическая, и ловится в большинстве случаев вполне определенно.

Вообще-то вирусы уже давным давно использовали mbr для загрузки кода, ничего нового в этом нет. Правда борьба с ними не представляет ничего особого - fixmbr и все дела.
Понимание нужно во всём, что делаешь, иначе лучше даже не начинать

Данный баннер преимущественно обитает на многих порносайтах, а также видео сайтах разного содержания.
Не устанавливайте с левых сайтов ПО (например не обновляйте флеш плеер, директ Х, свой браузер, фаервол и т.д.).

Убить проще - безопасный режим, анлокер, поиск по имени процесса (но тут есть загвостка) и кик лишнее)

Универсальная и всегда актуальная тема для всего вирусняка на всех ОС (на винде которые),тупо переустановка винды без форматирования,время затрат около часа,зато все данные на месте и никакого гемора.

Глупость пишите.

И как тогда смотреть фото с чупакаброй?

Наивный чукотский парень... а с программами как будем? или у Вас окромя блокнота и пэйнта больше ничего не используется? Без форматирования - это как? Вручную удалять директории? Или переустановка в режиме обновления? тогда мимо - в зависимости от способа загрузки, зараза может остаться...Засекал время установки и конфигурирования своего стандартного набора, система+дрова - 1 час, минимальный набор софта - 2 часа, полное конфигурирование - 2 часа. Как видите, время установки системы здесь всего 20%.
Если уж на то пошло, делаем образ системного раздела, а при неудачном стечении обстоятельств его разворачиваем.

Формат Ц - единственное верное решение проблемы.

О, ещё один целитель...а если системный диск - не С, что тогда?
А ещё один вопросик, на понимание, Вы как быстрое или медленное полное форматирование рекомендуете и почему?
PS: не ну а чё, при носовом кровотечении жгут на шее тоже поможет. Слава богу такие целители не в медицину двинули...

У меня за 10 лет сложилось правило - не хранить ничего важного на системном диске. Если вдруг что-то там важное оказалось, то поставить поверх вторую винду, переместить что надо с системного диска, и сделать формат ц.

Насчет форматирования не вникал и не заморачиваюсь - всегда делаю быстрое форматирование.

Ну ладно Вам над форматЦевтами глумиться.
Фраза вполне так вменяема, только неокончена. В конце опустили "для любителей работать руками".

Но это оффтоп. А по теме, означенной в первом посте, придуман, например, вот такой велосипед для тех, кто реестр читать ленится:
http://support.kaspersky.ru/viruses/solutions?qid=208641245

При какой то проблеме хорошо помогает восстановление системы к более позднему состоянию. 5 минут и все комп уже работает без проблем.

А просто не работать в системе под привилегированной учёткой? а?

Кстати, вот появилось: Kaspersky Windows Unlocker
Описание: http://support.kaspersky.ru/viruses/soluti...e&qid=208641245
Образ диска: http://utils.kaspersky.com/Distr/WindowsUn...RD_Unlocker.iso

Мое правило: всегда при себе таскаю ERD Commander (Win PE), и AntiWinLocker LiveCD. Полторы минуты -- компьютер запускается нормально, а там уже антивирусником чистить.
Если, конечно, не MBR Locker поймали...

Можно просто откатить систему на дату до заражения системы, если конечно эта функция включена.

Есть еще вариант как разблокирововать виндовс, когда пишит типа "код найдете на чеке терминала оплаты" то вводим 6 или 8 значный код к примеру : 743745 или 73368430

А Вы до восстановления системы сможете достучаться в такой ситуации? На все 100 нет.


На чём основана такая рекомендация? Если просто поговорить хочется, то в РоВ или БВ.

Проверенно!

Вы утвержаете, что эти цифирки универсальны на все случаи блокировки?
Про этот сервис, конечно, не знаете:
https://www.drweb.com/xperf/unlocker/
https://www.drweb.com/xperf/unlocker/gallery/
Предупреждение за заведомо ложную рекомендацию.
При рецидиве буду карать.

Всё правильно, только это сейчас не работает. Последние месяцы пошла волна новых sms-блокираторов, на которые не действует возврат в контрольную точку, а антивирусы стирают их вместе с системой. Сталкивался сам и многие знакомые в последнее время - тоже. Работают эти вирусы через поисковики типа гугла: заказал картинки по теме - и есть заражение. Причём, характер картинок роли не играет, что особенно вырубает...

Обычно, приходится переустанавливать систему. И специалисты по компам, которые этим занимаются регулярно, то же советуют. Не отрицаю самой возможности действия алгоритма, просто, по опыту многих предполагаю, что переустановка надёжнее. Надо уметь, как крайний вариант. Тем более, что сейчас это проходит быстрее и проще.

Да-а. Есть такое дело...

Самые ленивые в борьбе с вирусами держат под рукой флэшки с LIFE CD. Сейчас входит "в моду" делать образ системы, говорят, это надёжнее, чем любой другой способ.

Весна чтоли... Вы о каком вхождении в моду пишите? Об этом тысяча питьсот раз писалось.

Быстрее и проще - делать резервные копии, или в особых случаях применять виртуализацию разделов.

Похоже на то. А мужики-то и не в курсе, то ли ещё будет.

Сейчас этот алгоритм не действует, блокиатр можно словить где угодно. Последний раз я его поймал, когда искал материалы по лекарствам. Из всех возможных вариантов, мне больше всего понравился вариант с Kaspersky Rescue Disk, 5-10 мин и блокиатора нет и винду переставлять не надо. Так что теперь этот загрузочный диск у меня всегда под рукой)

И что, антивирусы что ли совсем не спасают??

А я словил вирусню промахнувшись мимо крестика на баннере Причём на вполне вменяемом сайте (ни девушками, ни чупакабрами там и не пахло).

Сколько раз можно повторять, что безопасность системы держится не только на антивирусах, да и сами антивирусы реализуют разные подходы к защите.

Инструкция, как бороться с Винлокерами (Trojan.Winlock или Trojan.Ransom), в том числе и MBR-локерами.
1. Качаете загрузочный образ AntiSMS и записываете либо на оптический диск, либо на USB-флеш драйв с помощью утилиты.
2. В BIOS SETUP выставляете загрузку с нужного устройства, дожидаетесь запуска ОС и кликаете на значок AntiSMS на рабочем столе.
3. Перезагружаетесь в основную систему и запускаете быструю проверку антивирусным сканером, например, Cureit!.
4. Запускаете утилиту msconfig (Меню Пуск - Выполнить - печатаете msconfig OK - выбираете пункт Обычный запуск ОК. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5. Если интернет после вируса не работает - запустите утилиту AntiSMS в основной системе и выполните сброс настроек сети.

Краткий порядок действия утилиты:
Восстанавливаются критически важные места реестра (вроде Shell и Userinit), удаляются файлы autorun.inf в корне каждого логического диска, отладчики системных процессов в Image File Execution Options, все ограничения (Policies) пользователей и системы, вылечиваются все известные MBR-блокировщики.

Подробности см. по ссылке.