Удаление Trojan-Ransom.Win32.Blocker своими руками

Плиз хэлп! не работает данная комбинация

Сегодня подцепил, вероятно, новую модификацию.

Сегодня подцепил, вероятно, новую модификацию. требует отправить СМС с кодом 9056765 на номер 4066. Все вышеперечисленные методы входа в систему не работают. Ни один антивирус в системе ничего не обнаруживает. В реестре в папке Winlogon никаких изменений. Перевод часов в Биос спасает на 7-10 минут. Один плюс, что не запускается в безопасном режиме. Что посоветуете?

Ответ

Удалял вирус через " безопасный режим с командной строкой " после чего в командной строке вводил " explorer.exe " и [Enter] - Открывается проводник, а там с Flash карты (или с др. носителя) загрузил AVZ - <файл> - <мастер поиска и устранения проблем> - должен найти что то на подобии " проводник модифицирован.. " и после чего отметьте галочкой все нужные пункты и нажмите " Исправить отмеченные проблемы ", если не получится, тогда попробуйте выбрать нужные пункты <файл>- <Восстановления системы> - <...>

И еще одна модификация

попалась еще одна разновидность другу - фон картинки черный, требует отправить текс 309986 на номер 3649. при этом не запускается безопасный режим вообще - комп сразу уходит в ребут, а при описаной комбинации невозможно нажать на ссылку Веб-узел Майкрософт, что делать уто знает???

И снова ещё одна модификация

Вчера комп подцепил ещё одну модификацию - фон, темный полупрозрачный, красным шрифтом сообщает "Обнаружена пиратская версия Windows" (хотя лицензия поставлена месяц назад), хочет сообщение "#win1t5103" на номер 6008. Блокировка срабатывает и в безопасном режиме. Комбинации WIN+[кнопка] не действуют. Доступно лишь Ctrl+Alt+Del, а дальше только "Завершение работы", Диспетчер задач выводится, но под экраном блокировки, т.е. воспользоваться им нельзя.

Точно такая же ситуация, только просит сообщение "#win1t5100", подскажите как лечить эту заразу

Я сделал по другому!

Это было месяц назад.
Пришло сообщение от друга по аське типо:
Никого не узнаешь на этой фотке? и ссылка на гиф файл.
Без мыслей перешел по ней. на компе стоял каспер интернет секюрити 8 с нормальными обнавленными базами (видимо тогда он не ловился).
так вот перейдя по ссылке каспер ничего не сказал комп сильно затормозил. я отключился от интернета и перезагрузился. в ответ увидел синий экран смерти и предложение отправить смс. ага думаю не на того непали, гружусь под ф8 в безопасном режиме - и ничего. синий экран и перезагрузка.
комбинации клавишь в обычном режиме не помогают.
Получилось случайно...
Гружу комп под ф8 в режиме VGA и постоянно жму на ESC. Синий экран появился и сразуже исчез.
Далее защел в диспетчер задач и увидел странный процесс, под названием svcshost отличающийся всего 1 буквой от привычного нам.
Снес его. запустил через выполнить msconfig и из загрузки убрал его тоже.
ПОсле перезагрузки, синего экрана больше небыло. после полной проверки каспером он обнаружил 3 трояна в системных папках.
PS. От моего контакта в аське было отправлено всему моему листу контактов такое же сообщение. Незнаю взломан был мой уин или нет, но пас пришлось поменять сразу же.
Всем удачи. может поможет!!!

добрый день!
антивирус находит вирус лечит его, после лечения и перезагрузки невозможно открыть диски, выходит сообщение что невозможно найти md.exe, Trojan-Ransom.Win32.Blocker антивирус касперского находит вот это

Проблема,не знаю куда писать.Поэтому пишу сюда

кто-нибудь знает как убрать или вылечить "NTUSER"_ а то сейчас половина программ не работает и все ярлыки на рабочем столе не запускаются.Они все стали как "Adobe" документ,а их формат "LNK".Хотел вернуться на пару дней назад,но стандартные программы тоже не работают.Попробовал уже такие антивирусы как,Avast,Nod32,Dr,web,Panda,Kasperski а толку ноль,находят но не то что нужно.Нашёл этот вирус вручную,да только стиреть не могу,при нажатии на него,сразу выкидывает из папки.А данные с компьютера очень нужны.Пробовал их копировать на диск,копируются инфецированными.Помогите чайнику,буду признателен

Trojan-PSW.Win32.Dubalom.bu

Сегодня словил вирус, блокирующий ОС. Через explorer врубил KIS, обнаружен Trojan-PSW.Win32.Dubalom.bu, пока удаление отложено (мб из ДОС-а хочет удалить?) по результатам сообщу
ADD: ни фига не получилось, откатил на 2 дня назад, поставил на проверку вирусов, почему-то этот вирус не нашёл, в чём дело?

исправлено: HEMO, 26 авг 2009, 22:58

Ещё одна модификация

XP блокируется светло-серым полупрозрачным окном с серым шрифтом. Предлагают послать СМС на номер 9395 с кодом cwn2009. ОС также заблокирована в защищенном и VGA режиме. Комбинация Win+U не работает, точнее видно окно появляется за полупрозрачным, но на него не переключишься - Alt+Tab не работает. Диспетчер задач также нельзя вызвать. KIS7 и AVZ4.32 c обновлениями от 06,09,09 запущенные из WinPE ничего не находят.

Статья об этих вирусах

http://news.drweb.com/show/?i=304 c=5 (кстати, там, в картинках, нет того, который изображен здесь в статье!)

Предположим, экранной лупой уже пользовались и означенное окно со ссылкой не выдается. Что надо поправить на чистом незаражённом компьютере, чтобы при необходимости этим лазом снова можно было воспользоваться?

Проще говоря, как вернуть состояние галочки "Больше не выводить это сообщение" к первоначальному виду?

Решение проблемы с фишингом

Я тоже недавно подцепил один интересный вирус. Окно практически во весь экран, не даёт поставить антивирус на проверку и отключил диспетчер задач. я эту проблему решал следующим образом:
1.УДАЛЕНИЕ ВИРУСА
Нужно нажать ALT+ CTRL+ DEL и в окне нажал выход из системы, а так как у этого вируса большой приоритет естественно выскочило окно с кнопкой "Завершить сейчас". Я нажал(При нажатии это окно естественно закрылось. Желательно что бы у вас были открыты ещё какие либо программы, хотя бы со средним приоритетом, что бы система выдала такое же окно на завершение программы, но в нём нужно нажать на крестик) и сразу же начал открывать первые попавшиеся окна( типа "Мой компьютер" или любые другие папки). В конце концов это окно пропало, а выход из системы совершён не был. Теперь нужно быстренько обновить анти- вирус и в путь! Почистить "Критические области" а потом и весь комп. Если всё же вирус не пропадёт, перезагрузите комп, пока анти- вирус его сам не найдёт( Но для этого в его настройках должна стоять "проверка критических областей при загрузки системы")
2. ВОССТАНОВЛЕНИЕ ДИСПЕТЧЕРА ЗАДАЧ
Если ты не админ, то не получиться, а так диспетчер включается здесь: Путь такой: ПУСК_ВЫПОЛНИТЬ вводишь gpedit.msc и жмешь ОК. Выбираешь "КОНФИГУРАЦИЯ ПОЛЬЗОВАТЕЛЯ"_"АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ"_"СИСТЕМА"_"ВОЗМОЖНОСТИ Ctrl+Alt+Del" Открываешь и смотришь "УДАЛИТЬ ДИСПЕТЧЕР ЗАДАЧ". Эта политика должна быть НЕ ЗАДАНА. Альтернатива для вызова диспетчера задач комбинация Ctrl+Shift+Esc. Также можно воспользоваться каким-нибуть твикером, например "XP Tweaker Russian Edition". Сайт программы http://www.xptweaker.net Последний вариант включить диспетчер в реестре. Для этого надо найти в реестре следующий параметр HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System SetValue "DisableTaskMgr"=dword:00000000 (0) Значение параметра dword: "0"-диспетчер включен, "1"- выключен.

Еще пара способов удаления СМС Вируса

http://rent-it.net.ua/doc/virus/udalenie_virusa_otpravte_sms_n a_nomer.html

лечить систему от блокеров

здесь всё описано как перестраховаться и удалять информеры, банеры,смс вымогатели, лечить систему от блокеров всё просто как вилосипед
http://karsaz.ucoz.ru

лечить систему от блокеров

все делайте так же при загрузке нажимаем много раз ф8 но выбираем пункт загрузка последней удачной конфигурации и нажмите ентер но должно быть включено восст.системы. так что включайте восст.системы если не хотите головной боли

я придумал новое название для Trojan-Ransom.Win32.Blocker

название:Trojan-Ransom.Win32.Lochoiskatel'.Debiloid.Gavnu'k

А на висте как? если при нажатии сочетания клавишь Win+U, нет ссылки на "Веб-узел Майкрософт"??? Подскажите.

Trojan-Ransom.Win32.PornoBlocker.wi

дПВТЩК ДЕОШ
чППВЭЕ ОЕ ХДБЕФУС ЪБЗТХЪЙФШ ЛПНР РП ЧЙОДПК, - ЕУФШ МЙ ЧЩИПД?

Способ не является универсальным. Однако в ряде случаев помогает такой рецепт.

1. Грузимся в Безопасном режиме (F8 сразу после загрузки BIOS при загрузке компьютера). Если заблокирован Безопасный режим - грузимся с LiveCD. С любого :)

2. Заходим в папки:
C:\Documents and Settings\All Users\
C:\Documents and Settings\Имя_Пользователя
C:\Documents and Settings\Имя_Пользователя\Application Data
C:\Documents and Settings\Имя_Пользователя\Local Settings
C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data
C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка

и аккуратно упаковываем в архив все exe-файлы, после чего их удаляем. Удобнее всего это сделать, организовав поиск в папках по маске "*.exe", потому что нужно проверить вложенные папки по этим путям тоже.

3. Упаковываем в zip-архив, а затем удаляем абсолютно всё здесь:
C:\Documents and Settings\Имя_пользователя\Local Settings\Temporary Internet Files
C:\Documents and Settings\Имя_пользователя\Local Settings\Temp
C:\WINDOWS\Temp
C:\Temp

4. Пробуем загрузиться в нормальном режиме. Если удалось - сразу делаем логи AVZ и размещаем в соответствующем разделе VirusInfo.info или на оффсайте Касперского. zip-архивы, полученные в пп.2 и 3 отправляем в вирлаб, чтобы определить, что там вредное, а что - следует вернуть назад.

исправлено: Fixxxer, 17 июн 2010, 20:42

Пипец

Поймал какую то заразу, просит не смс, а пополнить счет через терминал и типа на чеке код будет. Что делать????

HELP

У меня блокер, требует пополнить счёт через терминал на номер БИЛАЙН 8-965-312-17-72, после чего я смогу получить шифр для разблокировки через напечатанный чек. Смотрел и по Касперскому и по DR.web, ничего не нашел. Фон новый, нигде не нашел его.
Какой-то новый RANSOM. Что за ерунда, и как с ней бороться?
Заранее спасибо.

Также встречался с Trojan-Ransom.Win32.Blocker, блокирует систему во всех режимах, загружается в безопасном режиме, Win+U не работает.

Вернул систему к жизни путём отката системных файлов к точке восстановления на пару недель назад - это через восстановление системы при загрузке Win 7.

На работе появился Trojan-Ransom Win32.Porno Blocker...

Этот паразит намертво блокирует вход в систему и загружается вместе с Windows.Я не думаю,что IE выйдет поверх баннера.Ясно,что даже оплатив и получив чек из терминала,вы не получите ни какого номера.И тем более понятно,что сотовые сети имеют с этого навар,ведь надо деньги как-то обналичить...
Мне удалось справиться следующим образом.Комбинация клавиш Ctrl+Alt+Delete выводит диспетчер задач.Но он оказался частично скрыт за баннером.Принудительно держа эти клавиши,мне удалось добиться того,что баннер начал мерцать и диспетчер задач проступил полностью.Переключившись на запущенные процессы,я удалил процессы с символом XXX.Баннер исчез,но при перезагрузке появился вновь.Примечательно,что ни AVZ ни Dr.Web CureIt при сканировании не обнаружили,а тем более не удалили паразита.
И только открыв на сайте лаборатории Касперского форум по ручному удалению порно-блокеров мне удалось найти информацию,как найти нужные ключи для выявления и удаления этого паразита.

Как лечили мы...

Проблема: Компьютер с баннером синего цвета не дающий загрузить рабочий стол, обвиняющий пользователя в педофилии:

(Пошлите деньги на номер МТС бла-бла-бла:)

Решение: LiveCD от DrWeb к сожалению не помог (загружали в досе, а комп 'запущен' - очень много папок с архивами -темпами и тд потеряли только время: отмена и установка Live CD от Касперского:

Далее по плану:

Установка в БИОС загрузки с DVD или СВ

Установка LiveCD

1.Обновление баз из Инета
2.Запуск сканирования
3.Нахождение вируса Trojan-Ransom.Win32

Листинг ниже (может кому пригодится)

Проверка объектов: выполняется (событий: 15, объектов: 18218, время: 00:06:35)
24.05.11 19:21 Задача запущена
24.05.11 19:21 Обнаружено: Trojan-Ransom.Win32.PornoAsset.fa C:/Documents and Settings/All

Users/Application Data/22CC6C32.exe
24.05.11 19:21 Обнаружено: Trojan-Ransom.Win32.PornoAsset.fa C:/Documents and Settings/All

Users/Application Data/ZfuK0fvK0gv.exe
24.05.11 19:21 Не вылечено: Trojan-Ransom.Win32.PornoAsset.fa C:/Documents and Settings/All

Users/Application Data/22CC6C32.exe Отложено
24.05.11 19:21 Не вылечено: Trojan-Ransom.Win32.PornoAsset.fa C:/Documents and Settings/All

Users/Application Data/ZfuK0fvK0gv.exe Отложено
24.05.11 19:22 Обнаружено: Backdoor.Win32.Buterat.bbz C:/Documents and Settings/Dell/Application

Data/netprotocol.#xe
24.05.11 19:22 Не вылечено: Backdoor.Win32.Buterat.bbz C:/Documents and Settings/Dell/Application

Data/netprotocol.#xe Отложено
24.05.11 19:24 Обнаружено: Exploit.Java.CVE-2010-0840.aa C:/Documents and

Settings/Dell/Application

Data/Sun/Java/Deployment/cache/6.0/43/3f0cc4ab-340d9fd2/tools/Commander.class
24.05.11 19:24 Не вылечено: Exploit.Java.CVE-2010-0840.aa C:/Documents and

Settings/Dell/Application

Data/Sun/Java/Deployment/cache/6.0/43/3f0cc4ab-340d9fd2/tools/Commander.class Отложено
24.05.11 19:24 Обнаружено: Exploit.Java.CVE-2010-0840.aa C:/Documents and

Settings/Dell/Application Data/Sun/Java/Deployment/cache/6.0/43/3f0cc4ab-340d9fd2/tools/Syntax.class

24.05.11 19:24 Не вылечено: Exploit.Java.CVE-2010-0840.aa C:/Documents and

Settings/Dell/Application Data/Sun/Java/Deployment/cache/6.0/43/3f0cc4ab-340d9fd2/tools/Syntax.class

Отложено
24.05.11 19:24 Обнаружено: Exploit.Java.CVE-2010-0840.aa C:/Documents and

Settings/Dell/Application

Data/Sun/Java/Deployment/cache/6.0/43/3f0cc4ab-340d9fd2/tools/XmlStandard.class
24.05.11 19:24 Не вылечено: Exploit.Java.CVE-2010-0840.aa C:/Documents and

Settings/Dell/Application

Data/Sun/Java/Deployment/cache/6.0/43/3f0cc4ab-340d9fd2/tools/XmlStandard.class Отложено
24.05.11 19:25 Обнаружено: Backdoor.Win32.Buterat.bbm C:/Documents and Settings/Dell/Local

Settings/Temp/jar_cache36418.#mp
24.05.11 19:25 Не вылечено: Backdoor.Win32.Buterat.bbm C:/Documents and Settings/Dell/Local

Settings/Temp/jar_cache36418.#mp Отложено

После перезагрузки пришлось в ручную чистить кэши-темпы и тд:но на рабочий стол уже попали!!!

После проверка компа утилитой AVZ (тоже нашла вирусы:) и на всякий пожарный NOD-32 запустили и тоже нашлись вирусы:

После полной проверки в усиленном режиме все нормально!
Источник http://wordpress.drcomp.su/?p=2270

Лечение..

Я так лечил: http://itpanic.ru/2011/07/03/%D1%83%D0%B4%D0%B0%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%B0-sms/
Правда, без антивируса все равно не обойтись. Однозначно нужно прогонять после чистки реестра