WINDOWS заблокирован. Отправьте СМС на номер 3649.
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D
Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть “C:\WINDOWS\system32\userinit.exe” (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))
Кстати ДокторВеб написал генератор таких вот кодов.
Vse predlozhennue sposobu poproboval, i nichego ne polychilos(((( 4to, neuzheli Vindy perestavlyat nado???(
Люди спасибо вариант с биос реально помог
Откатите винду на пару дней назад… Уже на трех компьютерах помогло….
дашик,спасибо!!!После множества способов ваш помог избавиться от проблемы
Знакомая подхватила. дура.
консультировал по телефону. помог простой перевод даты на сутки вперед.
спасибо.
зы. дуры маст дай
Спасибо народ, что вы есть…
Я вчера с ура обнаружил у меня на домашнем компе такой вирус… предложили мне отправить на номер 9691 код 6005795 для разблокировки… а у меня денег столько не было на телефоне… в общем растроился.
Ничего не помогает (как было описано выше). Расстроился, но с Виндой ничего делать не стал.
Пошел на работу. Нашел в инете ваши комментарии – почитал, распечатал пути выхода из создавшейся ситуации.
С сайта DrWEB скачал сгенерированный код.
Вечером уже прихожу домой – а вируса нет. Не поверил – перезагрузил раз несколько – нет его…
Тут я вспомнил, что DrWEB писал о времени действия вируса – 2 часа, потом он себя удаляет из компа… Поэтому, если такое случилось – подождите! Не теребите комп. – может еще хуже наделаете…
Посмотрел все файлы, которые были в системе между 6 и 7 октября – остатков вируса не обнаружил.
Однако Ctrl+Alt+Del все таки не работает – Заблокировано администратором. Но тут-то я вспомнил, что у вас тут в обсуждениях наверху было решение и этой проблемы – помогло!
Вот. Сейчас вроде его (вируса) нет.
Еще раз спасибо!
с обеда до сего момента парился…
раз 30-40 перезагружался: то в обычном, то в безопасном режимах: в итоге все время заходил в безопасном режиме, чистил все временные файлы и папки, включая Temp в Doc..and…Set… – в ней постоянно exe-файлы с именем из 3 цифр и иконкой в виде ключика…
также в безопасном пускал msconfig, там в автозапуске постоянно два файла ctfmon.exe сидят: идон в c:\windows а другой в c:\windows\system32\ мля, какой из них отрубать???
опять перегружаюсь = все работает нормально до запуска IE…
надоело, и ентот коммент даже писать лень ((( надеюсь часа через 2 эта падла сама отрубится…
У меня жесткая версия попалась…
Ничего из вышеуказанного не помогло.
Перезагружайтесь в безопасном режиме с поддержкой коммандной строки, вызывайте Диспетчер задач, в вкладке Приложения выберете Новая задача, наберите msconfig, убирайте из автозагрузки ВСЕ! Перезагрузитесь, все должно заработать. После просканируйте CureItом системный диск.
У меня версия вируса WinLock.321
при загрузке операционки выскакивает сообщение от брандмауэра – пишет что версия не лицензионная, рабочий стол пропадает(ничего не работает кроме цифр, чтоб код набрать) и , типа, позвоните по стационарному городскому номеру ХХХХХХ или отправьте смс на 3649, смтоимость 50 руб,50 коп. Зашел в безопасном режиме-окно пропало, но прикол в том что ни один сайт с антивирусами не открывается ни через один браузер. В итоге поразмыслив отключаю в “панель управления -администрирование – службы” DNS – клиент. С этого момента наконец заработали все сайты с антивирусами и штатный антик тоже обновился. Я лично пробовал Avir ой ,нашел 32 вируса и решил проблему со злостным окном. У друга та же проблема была, только он умудрился отправить смс – сняли 170 руб!!
Подожду два часа(((
самое интересное, что мой вирус не дает мне открывать винду в безопасном режиме, восстановление не работает.
Через биос не знаю, как делать.
То, что на сайте доктора веба – не помогло(
Огромное спасибо, помогло через BIOS вперед. До этого ничего не запускалось и не удалялось.
пипец! А я ну полный чайник,2недели в инете,ну меня развели на200руб номер4161.ладно нашла этот сайт,теперь хоть понимаю что за тема((((((((
Ни фига не понимаю в компах,где чё прописывать не догоняю сейчас оставил на пару часов посмотрю может и вправду сам удалится,а до этого пробывал всё.
Комментарий от Серега [ Август 10, 2009, 09:05 ]
РЕБЯТА,НЕ НАДО СТРАДАТЬ ЕРУНДОЙ!ПРОСТО ЗАЙДИТЕ В БИОС И ПЕРЕКЛЮЧИТЕ ВРЕМЯ НА СУТКИ ВПЕРЕД,ЕСЛИ НЕ ПОМОГАЕТ ТО НА СУТКИ НАЗАД И ЭТА ХЕРНЯ ПРОПАДЁТ…ЗАТЕМ ПРОСТО ПОМЕНЯЙТЕ ВРЕМЯ НА ПРАВИЛЬНОЕ И ВСЁ!
что такое биос))))
где находится BIOS как найти.
СМОТРИТЕ СЮДА здесь все коды для разблокировки винды доктор веб постарался))))) https://news.drweb.com/show/?i=304&c=5
НАРОД СМОТРИТЕ КОДЫ РАЗБЛОКИРОВКИ!!!!
ПОМОГАЕТ 100%%%%%
был вариант с “эротическим видео”
востановление системы на неделю назад помогло. и в принципе оно помогает ОТ ВСЕГО, что пишет себя в реестр
Зря радовался! Эта зараза опять выскакивает. После кода разблокировки от Доктора. Захожу в инет и опять эта долбаная таблица выскакивает
Кстати менял время в БИОСЕ на год назад и на год вперёд. Ни какого результата.
Мне тоже помог биос, перевел дату на день вперед, а потом с панели задач восстановил обратно. Реально мерзкая тварь и вирус, и его создатель!!!
Но все таки, сука, он успел разорить меня на 180 руб.
А чего мой коммент удалили, тут чето непонятки какие, я тож опытом поделился, а его стерли, во разводчики-то!
Биос не помог, 3 кнопки так же нет, вот этот генератор помог.
Что я только не пробовал – ну ни фига не помогало – но! – сумел через ПУСК-Программы-Стандартные-Служебные-Восстановление системы – активировал предыдущие сутки – и ура!!! Правда опустошилась папка автозагрузки и соответственно исчез антивирусный гвардеец из трея – но это уже поправимо!!! (от 18 июля 2009 )
Спасибо ДЖИА! (от
Я вообщем то неожиданно увидела эту заставку (у Вас нелецензионный виндоус, отправте смс, получите код). Ну я отправила))) с телефона сняли около 120 рублей, сижу в инете, бац, опять заставка, думаю офигели суки!!!Вообщем есть какое-то время когда выключаешь и включаешь комп без заставки, быстро включить Пуск, Перезагрузить, когда начинает перезагружать и черный экран, нажимаешь F8, в безопасном режиме поставила на сканирование Malwarebytes’Anti-Malware, он что-то нашел, стер, но если зайдешь в инет, заставка по новой! Вообщем не долго думая чем эту хрень можно стереть, купила доктор Веб, его устанавила, а ключ в инете подтверждать, как я и мудохалась. Наберу ключ в окошке, включаю инет и быстрей подтверждать, а то заставка опять вылезет и все по новой. Короче оказалось, что доктор Веб я поспешила устанавливать, там базы обновлять, а за это время заствака меня бы догнала. Короче испсиховавшись звоню в поддержку доктор Веб и говорю, мля купила вашу прогу не могу установить, так и сяк. Они там сказали что мона с их сайта скачать на другой комп бесплатно DrWeb.Cureit (https://www.drweb.com/), весит всего 19 МБ, потом на флешке на мой комп, просканировать и удалить всю эту хрень, короче ура все получилось!!!
С биосом реально помогло,
Пароль может быть такой : 5748839
Ну смс отправлять дело нехитрое, но и итог плачевный… У подруги появилась проблема, на рабочий стол при загрузке вылезало сообщение о порно ресурсах на 6-ть часов(не помню, что именно написано), в безопасном тоже самое… Действия были такие, сначала курит от др.вэба- не помогло(пишет, ошибку в rar), далее сомодо стена, запретить все сетевые процессы- не помогло, тем же комодо: активные процессы, были заблокированы 3-ри процесса winlogan, сtfmon, route после этих действий, винда есесенна при критическом процессе, дала минуту на ребут(перезагруз), далее винда “встала”(explorer не грузит), В безопасном режиме, актив процесс, был обнаружен, но после остановки, его винда также не встаёт, БИОС был запоролен админом(его не кто не видел И альфа не помогла), обнуление вернулось к тому же паролю, ради прикола попробовал восстановление, чудо итить… всё в порядке, непонятно… Нормально сделанный троян и не блокирует восстановление(((
Сам не подципал такую заразу, но у брата была и узнакомого воспользовался советами вот отсюда и всё решилось https://programinet.narod.ru/antivirussms.html
Решил проблему сл. образом: зашел в безопасном режиме поверх вирусного c:\windows\ctfmon.exe записал настоящий ctfmon.exe из папки c:\windows\system32\ выставил атрибут только чтение. для того чтобы при повторной попытке записи вирус не смо записаться поверх. Ну а как универсальное стредство могу посоветовать в безопасном режиме пуск->выполнить->cmd->MSconfig->автозагруская отключить все, а потом постепенно выставлять галочки на известных вам файлах автозагрузки.
