Винлокер просит 1000 руб на номер +79133971155..сволочь какая..
Начнем экзекуцию...без всяких прог..и загрузочных дисков и флешек..
Немного забегу вперед...и скажу...этот винлокер запускает одновременно два процесса _991.exe...и нужно быть быстрым как пуля, для того что бы их снять....
....теперь будем "играть в четыре руки"......
....начали..разминаем пальчики рук ( можно и ног ) жмем на клавиатуре:
Ctrl+Shift+Esc или CTRL+ALT+DEL удерживайте рукой ( можно и ногой)
Второй рукой на клавиатуре стрелочкой "вниз" ищем процесс _991.exe .....выделяем его и жмем Enter.....процесс будет снят.....далее стрелочкой "вниз" ищем второй процесс _991.exe...и так же выделяем его и жмем Enter.....
Возможно с первого раза у вас не получиться, диспетчер будет мигать, не отчаивайтесь, перезагрузитесь и все сначала...можно начать экзекуцию и со второго процесса..а потом первый....
Ну вот после наших действий и пустой рабочий стол......это уже гуд!!!!!!!!!!!
Далее вызываем диспетчер задач ( он у нас уже работает)..жмем Ctrl+Shift+Esc или CTRL+ALT+DEL-файл-новая задача-выполнить в окне пишем msconfig - ОК-вкладка автозагрузка - снимаем галочки с двух процессов _991.exe
или второй вариант:
Ctrl+Shift+Esc или CTRL+ALT+DEL-файл-новая задача-выполнить в окне пишем regedit - ОК
идем в ветку :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удаляем ключ на автозагрузку где прописан _991.exe
проделываем то же самое и в ветке реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
не забываем записать путь где наш вирус сидит...мне попалось два варианта:
первый C:\WINDOWS\Temp\_991.exe
второй С/ Documents and settings/Admin/Local setting/Temp/_991.exe
и соответственно:
...перезагрузка....
радуемся,,все работает,,,,ура!!!!!!!!
Пуск-найти-пишем _991.exe......нашли этот зловредный файл_991.exe и удаляем его навсегда...или..
Идем по пути C:\WINDOWS\Temp\_991.exe и удаляем _991.exe
Все!!!!!
Для mrbelyash сам файл этого баннера _991.exe в коллекцию:
Maksimys07 17.02.2012 20:06:
Прошу помочь с проблемой кто сталкивался!Поймал винлокер!просил пополнить номер 9137881250 на 500 р, через безопаный режим не заходит, комбинации Ctrl+Shift+Esc или CTRL+ALT+DEL не помогают.
BonoX 18.02.2012 00:12:
Доброго времени суток!Народ,помогите!Поймал ВИНЛОКЕР с номером +9137881250 просит 500руб. Кините если кто знает код,пожалуйста!СПАСИБО!
чуть выше расписан механизм снятия винлокера в картинках...
serega262 18.02.2012 20:09:
У меня тоже просит положить 1000 рублей на номер 8-913-935-88-63 . При загрузке нажимал ctrl-alt-delete . там процесса 991.exe нету . но в последний момент появляется какой-то странный процесс , его имя состоит из множества цифр . но он не завершается . я много раз пробовал . Что посоветуете ?
serega262 18.02.2012 20:09:
У меня тоже просит положить 1000 рублей на номер 8-913-935-88-63 . При загрузке нажимал ctrl-alt-delete . там процесса 991.exe нету . но в последний момент появляется какой-то странный процесс , его имя состоит из множества цифр . но он не завершается . я много раз пробовал . Что посоветуете ?
Те же яйца.....только с боку....
1000 руб.на номер+79137884581
Отличие от того что я описывал ранее....названия процессов..их два:
_991.exe и 0.9593327027395218.exe
Соответственно и два файла.
Сидит в С/ Documents and settings/Admin/Local setting/Temp/
Kassandra 18.02.2012 20:56:
Люди добрые..может и мне поможет кто?( Вылез баннер, просят пополнить счет на 500р. на номер МТС +79171040100..пишут что через 12 часов гавкнется моя система(( Заранее очень благодарна.
rahima 19.02.2012 14:31:
я не нашла среди ваших изобажений своего...но нашла на сайте dr.web.......правда та комбинация прокатила один раз, но после перезагрузки.....снова появилось и теперь эта комбинация не помогает.....у меня trojan winlock.5413.........подскажите пожалуйста чтомне делать....как разблокировать комп......он у меня новый(((((((((
Osha1 21.02.2012 16:47:
А что делать, если стоит windows 7, и при нажатии ctrl alt delete выскакивает синяя заставка, при выборе на которой "диспетчера задач" ничего не происходит?(
Вот тот номер: +79833178981
Все верно, но если нажать Ctrl+Shift+Esc... то диспетчер вызовется без синей заставки...только перезагрузитесь...и еще можно пробовать Ctrl-правый а не левый....
Emma Sharm 22.02.2012 20:42:
Ребята -тоже номер +79833178981
Просят штуку.
Не могу дать более инфы - за 3000 км от компа.
Дайте плиз инструкцию или ссылку на нее - я проиструктирую родных дома. Не могу сейчас лопатить просторы - сижу в Египтосии с Вая и домой не скоро - у мамы завал на работе будет если не помогу...
Спасибо всем мэтрам заранее!
Появился новый вымогатель: MBRlock bootkitlocker.gen32
Отличается тем, что шифрует таблицу разделов, в результате при загрузке с liveCD винчестер невиден, при перезаписи загрузочного сектора большая вероятность потерять всю информацию.
димид 09.03.2012 23:56:
уроды заблокировали винду даже клава не роботает чтоб код их долбаный вести..Ребята помогите мне как его сбить?Просит пополнить его счет на номер79091578395 и они его педики меняют то один номер то другой потом,незнаю что и делоть ,может снести винду,а жалко столько там прог класных накопил твсе коту под хвост
выложи фото того что у Вас на компе, т.е картинку винлокера...или стукни в асю 602-539-985
sealko 10.03.2012 16:25:
С trojan.mbrlock. у наших Украинский друзей-легко справилась из под реаниматора прога BootICE,повторный запуск x2z8 вызвал обычную перезагрузку в виндос
Ну что же...похоже время винлокеров уходит....последнее время попадаются еще mbrlocker.....да и школьники шутят....недавний пример....памятный информер..." Клуба любителей больших .......в"
Но я не об этом....
На смену винлокерам приходят шифровщики-блокировщики файлов.......которые как и винлокеры за денюжку вернут все ваши файлы...отличие одно..они не блокируют винду....а зачем?
Буквально вчера попался интересный шифровщик-вор....
Экзешный файл распаковывается в "Мои документы", запускает там WinRAR и архивирует всё, что там есть в архив с паролем. Файлы безвозвратно удаляет. В архиве комментарий как получить свои файлы обратно ( может быть проплата на счет, отправка смс, но тут вирусописатели-школота пошли дальше...
Вот сам вредоносный файл ( с кривой иконкой utorren.....
Я всrрыл этот файл 7zip ом, там 5 файлов ( см скрин выше)
Посмотрим текстовый......о чем нам пишут...
...комментировать не стану..сами читайте..я поржал
вскроем батник....комментарии излишни...
..ну и вскроем файлик с расширением .key.....об этом содержимом догадайтесь сами
только одно не учел "писатель-программист" это творение не работает на win 7...........а как известно ХР уже в прошлом.....
сам файлик для эксперимента спецам пароль прежний.
sealko 10.03.2012 17:04:
с MBRlock bootkitlocker.gen32- BootICE не справилась пробовал.А с украинским справиЛАСЬ ПРОГА ,- а прогу запустил Я.и у меня даже есть то что любят в Клубе любителей больших ч...в
Прошу прощения....нужно в комментариях отделять предложения запятыми или как то по другому формулировать, а то вводите в заблуждение...
..Удаляю свой предыдущий пост с картинкой......
С MBRlock bootkitlocker.gen32 ..легко справляется прога AntiSMS
Emma Sharm 10.03.2012 17:23:
Извините. Мистер zaruta. Не только одни... :))) Иногда довольно сообразительные встречаются. И тоже блондинки и тоже с голубыми глазами :)
Отчитываюсь - по дистанционному инструктажу маме - так как я все еще за 3000 км сижу в Египтосии - нашла 911.exe в процессах, но только его - никакого набора цифр.exe не обнаружилось.
Почистила - одна C/Wind/Prefetch и другая-aswAr.log. Антивируска (НОД) заупрямилась и отказывалась работать(видимо мама все-таки добралась до чего-то важного) - перебили. Перегрузили машину - вылез синий экран с ошибкой (с000021а) харда...Восстановили систему с диска.
Вроде бы все ок - работает как раньше...
НО-мучает меня вопрос - он(911.exe ) может быть в еденичном экземпляре или нет?Имею ввиду - цифренный дубляж 100% присутствовать должен или необязательно? Может плохо или не там искала? Поиск по системе ничего подозрительного не выдал.
Здравствуйте УВАЖАЕМАЯ Emma Sharm!
Я очень рад что у Вы одолели ненавистный троян-винлокер!
Чесно говоря я про него уже и думать забыл.....я вроде все описал в двух своих сообщениях:
Тут:
и здесь:
Тестировал на своей системе win 7 без всяких антивирусов..
У меня локер сидел тут: Сидит в С/ Documents and settings/Admin/Local setting/Temp/0.9593327027395218.exe и тут: C:\WINDOWS\Temp\_991.exe
наименование файла 0.9593327027395218.exe - генерируется случайно..в вашем случае может быть ...любым...
sealko 11.03.2012 20:19:
с этим ChatADMIN -я в реестре бегло пробежал по стандартным веткам -много выгреб всего-но где то что то пропустил видно.Да тож пока личные дела время нет дальше рыть.
а shifrator скачал и пока не трогал
..он блокирует винду? А файлы на дисках трогает?..завтра запущу..пощупаю так сказать в оочию
..выкладывай на форум результаты эксперимента..желательно со скринами
LAVMANI 11.03.2012 22:17:
победим мошенников вмести зайдете пожалуйста на этот сайт и оставте свою вредоносную (ссылку машенника и если можно краткое описание) победим мошенников в мести!!!
Да.....уж...1 человек оставил сообщение с сайтом и чем этот сайт плох?
Сегодня 13.03.2012 появился новый троян винлокер он блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.
ЯР200 13.03.2012 20:21:
Всем доброго вечера
мой ком заблокировали я много сайтов обшарил и кодов вводил и непомоло даже незнаю чё делать!!
Кстати вот и само сообщение помогите пожалуйста!!!
Внимание! Ваш ПК заблокирован за просмот и распространение порнографии с участием несовешеннолетних, элементами насилия, педофилии. Для дальнейшей работы вам необходими оплатить штраф в размере 500 рублей в любом терминале оплаты. Для этого в терминале оплаты пополните счет абонента МТС 89179042006 на сумму 500 рублей. Внимание: учитывайте комиссию терминала. По завершению платежа, в случае оплаты суммы равной штрафу, либо её превышающей, на фискальном чеке терминала оплаты вы найдёте персональный код, после ввода которого ваш ПК автоматически разблокирован. Любые попытки разблокировки без оплаты и ввода персонального кода, приведут к уничтожению оперативной системы и всех хранящихся файлов.
Сделайте пожалуйста фото того что у вас сейчас на экране и выложите сюда.....или стукните мне в асю ......( номер аси напишу при ответе на это сообщение) помогу!
у меня ХР диска нет загрузочного. Но взял там антольгия с ХР и дополнениями вот
1 Это mbr вирус..он прописан в загрузочном секторе..и стартует первым до запуска винды!
2. Снять его можно несколькими способами:
Первый: Биос-загрузка с установочного диска-консоль-команда fixmbr ( для ХР )
Второй: Биос - Загрузка с любого live CD + BOOTICE на флешке - жесткий диск с диском C:\ - Process MBR - Backup MBR - "Install / Config"- ок- перезагрузка.
я непомню на каком сайте поймал если найду то вышлю
только я нифига непонял из описаний мнето всего 15 отец придёт сним попробуем
просто я тут ничерта не понимаю
и спасибо за помощь
