GammaTester's Avatar
21 августа 2012, 6:10
 

Бесплатные утилиты Касперского для диагностики и лечения:

http://support.kaspersky.ru/viruses/utility

Trojan-Ransom.Win32.Xorist
Trojan-Ransom.Win32.Rector
Net-Worm.Win32.Kido
Virus.Win32.Sality.aa,ae,ag,bh
Virus.Win32.Virut.ce,q
Trojan-Spy.Win32.Zbot
Worm.Win32.Radminer
Trojan-PSW.Win32.Kates
Virus.Win32.Xpaj
Rootkit.Win32.PMax
Trojan-Ransom.Win32.Digitala

и др.

http://support.kaspersky.ru/images/main/logo_02.gif
 
GammaTester's Avatar
21 августа 2012, 6:25
 

Бесплатная лечащая утилита Dr.Web CureIt!

http://www.freedrweb.com/cureit/

На Вашем ПК установлен другой антивирус, но Вы сомневаетесь в его эффективности?

С помощью утилиты Dr.Web CureIt!® без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.

Как выяснить, инфицирован ли Ваш компьютер?

Скачайте Dr.Web CureIt!, сохранив утилиту на жесткий диск.
Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
Выберите режим защиты – усиленный или обычный.
Дождитесь окончания сканирования и изучите отчет о проверке.

http://st.drweb.com/static/new-www/freeImg/logo.jpg


 
GammaTester's Avatar
04 сентября 2012, 12:18
 

Драйверы скачать можно здесь:

http://drivers.softpedia.com/
или по-русски (через переводчик Гугла)

и здесь:
http://drp.su/ru/
 
GammaTester's Avatar
07 ноября 2012, 1:18
 

Удаление вируса "Компьютер заблокирован" (WinLock)

1-й способ — сменить дату в биосе (BIOS) компьютера. Для тех, кто с компьютером не на ты постараюсь обьяснить как зайти в BIOS. На системном блоке есть кнопка перезагрузки — нажмите на нее, если компьютер включен. Если компьютер выключен, то включите его. Через пару секунд после начала загрузки компьютера нажмите и удерживайте на клавиатуре клавишу DELETE. Если Вы успешно вошли, то на экране будет на синем фоне на английском меню биоса. В биосе Вам нужно зайти в раздел Standard CMOS Features, там будет поле текущей даты, измените дату на более раннюю. После изменения даты нажмите Esc и Вы попадете в основное меню. Для сохранения данных выберите Save & Exit Setup, после этого нажмите y, чтобы подтвердить сохранение. Этот способ поможет решить проблему с баннером блокиратором работы windows, но вирус нужно еще найти и удалить.

2-й способ — зайдите с мобильного телефона или с другого компьютера на сайты антивирусов Доктора веба http://www.drweb.com/unlocker/index или Касперского http://www.kaspersky.ru/support/viruses/deblocker и поищите в этих разделах ключ для разблокировки.

3-й способ — найти и удалить вирус самому. Последовательность действий: при загрузке Windows нажимаем F8, и выбираем загрузку в безопасном режиме с поддержкой командной строки; загружается окно, в которое вносим команду regedit, откроется реестр, в нем будьте осторожны НЕ УДАЛЯЙТЕ ЧТО ПОПАЛО, переходите по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и находите справой стороны файл с названием Shell; запишите путь к нему, который там прописан и кликайте 2 раза и стираете этот путь; далее вписываете в командную строку explorer.exe перезагружаетесь, Windows уже включится без проблем и без блокировочного баннера. Теперь переходите по тому пути, который записали, и удаляете сам файл этого вируса! Таким образом Вы удалите вирус, заблокировавший Windows.

4-й способ — нажмите F8 при загрузке Windows и попробуйте запустить восстановление системы выбрав контрольную точку восстановления. После удачного восстановления, нужно удалить вирус, запускайте антивирусную программу и сканируйте весь компьютер.

5-й способ — в строке быстрого запуска видны значки этих вирусов. При наведении курсора на значек высвечивается имя файла, зачастую, оно состоит из набора цифр. Через поиск находите этот файл. Просто так файл удалить не получится. Сначала его переименовываем, а потом удаляем, и не забудьте почистить корзину. И на всякий случай просканировать систему антивирусом.

6-й способ — отформатировать локальный диск на котором установлена Windows. Но этот вариант приведет к потере данных, хранившихся на локальном диске. И это самый радикальный способ борьбы с блокиратором системы, применяйте его только в том случае, если приведенные выше способы разблокировки Windows не помогли.
Как удалить вирус после разблокировки? Скачивайте программу cureit, которая удаляет трояны блокираторы Windows. Вот ссылка http://www.freedrweb.com/cureit/?lng=ru Вирус зачастую прописывается в папке C:\System Volume Information

7. Универсальная процедура лечения
Суть процедуры в том, чтобы любой ценой добраться до реестра зараженной системы. Кстати, если реестр не запускается (иногда вирус его отключает) его можно включить так: Пуск — Выполнить… в поле Открыть: введите gpedit.msc — Групповая политика Политика «Локальный компьютер» –Конфигурация пользователя – Административные шаблоны Система — справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра (Состояние по умолчанию Не задана) вызовите окно Свойства: Сделать недоступными средства редактирования реестра установлен переключатель Включен поставьте Отключен (или Не задан) — Применить –OK
Итак, до реестра мы добрались теперь проделывайте следующие действия:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там — параметр shell, где должно быть указано explorer.exe и параметр userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe.
Тут 2 варианта: либо в этих параметрах написана ерунда — т.е. пусть к вирусу, либо все в порядке, на первый взгляд. Если в параметрах написано что то кроме explorer.exe и userinit.exe — запоминаем то, что написано (не забудьте потом по этому пути удалить вирус) затем меняем на нормальные значения. Бывает так, что написано explorer и userinit, но никто не мешает хакерам в словах использовать совместно с английскими буквами использовать в слове explorer русскую букву «е». Так что в любом случае меняйте значения на explorer.exe и userinit.exe.
Зачастую, сами файлы explorer.exe и userinit.exe в вашей системе модифицированы вирусом после заражения, так что необходимо заменить их на исходные. Скачать исходные версии можно, например, отсюда и отсюда соответственно. Нормальные файлы стоит положить в папки: для explorer.exe это C:\windows\, для userinit.exe это C:\Windows\system32. Также оба файла необходимо поместить в папку C:\Windows\system32\dllcasche (может быть скрыта). Все файлы при копировании необходимо перемещать с заменой.
Надеюсь вы не закрыли реестр, т.к. нам нужно здесь сделать еще кое что:
Найдите ветку HKEY_LOCAL_MACHINE\SOFTWARE\MISROSOFT\WindowsNT\CurrentVersion\Image File Execution Options\ и если там есть taskmgr.exe — удалите ее.. совсем. Этот параметр отвечает за подмену диспетчера задач калькулятором.
Затем, необходимо проверить еще парочку укромных уголков. а именно: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр). Этот параметр создает вирус, чтобы заблокировать диспетчер задач. Winlock вобще практически не использует этот параметр, но проверить стоит.
После того как все параметры проверены и отредактированы. Необходимо удалить файлы вируса (путь к ним мы увидели в реестре в параметрах shell и userinit) вручную или утилитами AVZ или Cureit. (ссылки выше).
Теперь можно перезагружать компьютер — вирус удален. Не забудьте выполнить полную проверку ПК антивирусом.

П.с. Так почему же называется вирус порнодетектором? — да просто самая большая вероятность поймать такого зверя это просмотр порно-контента. Еще конечно можно словить при нажатии на баннер «Установите обновление» на каком либо сайте или «Ваш компьютер под угрозой, устраните опасность», но это второе и третье места.

Удачи с удалением Winlock.

 
GammaTester's Avatar
07 ноября 2012, 1:22
 

Защита от Trojan Winlock

Для того чтобы снова не пришлось возиться с удалением Trojan Winlock на компьютере необходимо установить антивирус и firewall (Интернет-экран).

Многочисленные рекомендации в основном склоняются к связке:
Антивирус Avast + Emsisoft Online Armor Free FirewallArmor
 
GammaTester's Avatar
07 ноября 2012, 1:24
 

Маленькое дополнение по поводу новых модификаций вируса WinLock.

Ищите файлы:
C:\Windows\explorer.scf
C:\docs&settings как-то там\ms.exe


 
ukachaka's Avatar
08 ноября 2012, 11:55
 

Короче поставил ради эксперимента Online Armor. Штуковина хорошая, только в итоге совсем "придавила" систему на ноутбуке. Пришлось снести.
 
GammaTester's Avatar
20 октября 2013, 1:27
 

Новый, очередной вирус-шифровальщик, просит биткоины

http://img12.nnm.me/3/4/6/1/5/5eb8de5cbd1c66a052b66f8e654_prev.jpg

В последнее время распространились вырусы-вымогатели. Попадая на компьютер вредная программа шифрует файлы пользователя и требует перевести определённую сумму "автору" вируса через платёжные интернет системы. Так как вирус использует RSA1024 + AES256 шифрование то расшифровать их без закрытой части ключа, известной злоумышленнику, невозможно. Приходится либо слать деньги злоумышленнику (по опыту скажу, ключ они высылают), либо восстанавливать данные из бекапа или терять их (

Итак, появилась новая зверушка под названием CryptoLocker.

Целевая аудитория зверя — машины от ХР до 7-ки 64-бит. Зловред распространяется во вложениях почты и не фиксируется антивирями сразу (тестировано на MSE, Trend Micro WFBS, Eset, и Касперском).

Зловред использует public 2048-bit RSA ключ и берёт private ключ с C&C сервера для зашифровки документов в алфавитном порядке на диске, а так же на всех расшареных сетевых папках где имеет доступ к записи (у многих так были зашифрованы сетевые бэкапы). При активации вирус создаёт Зашифрованные файлы попадают под маску: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, *.pdf, *.tif

Закончив своё тёмное дело или при отключении от интернета, CryptoLocker выводит окошко наподобие того что вы видите вверху и просит $300 или 2BTC на определённый счёт, за расшифровку данных. На всё про всё жертве даётся 72 часа (правда таймер можно обмануть через BIOS), после чего малварь самоудаляется. Так же, на данный момент многие провайдеры уже заблокировали C&C сервера, и поэтому некоторые жертвы не смогут даже выкупить свои файлы.

Делайте бэкапы, друзья, делайте регулярные бекапы.
И если на сервере это, как правило, дело системного администратора,
то домашние данные — только под вашей защитой.
 
06 сентября 2016, 5:48
 

Добрый вечер! Может вы поможете, вчера в систему пролез вирус и поменял расширения всем файлам на cbf. Я использовал 2 антивируса, такой дешифратор , также применял эту инструкцию – но толку 0. Пробовал менять расширение вручную – 0.
Помогите пожалуйста! Есть шанс вернуть файлы? Денег на выкуп нету :(