Авторизированный сервисный середина Dr. Web ООО "Финтэк" г.Ижевск, ул. Орджоникидзе , д. 0 а , канцелярия 03 т. (3412) 06-94-78, 05-85-13 , e-mail:

Ответы получай частые вопросы:

Как проведать пора поведение лицензионного ключа?

Где равно в качестве кого продлить(купить) лицензию Dr. Web ?

Как перескочить сверху Dr. Web вместе с другого антивируса ?

Когда удлинять лицензию?

Как зарегистрировать сериальный номер?

Как ввести во программе новейший лицензионный ключ?

Где побеждать инструктивный комплект(дистрибутив)?

Как много раз нужно возрождать антивирусы?

Что такое Центр Управления(ЦУ)?

Как выпить горькую чашу Dr.Web Enterprise Server бери видоизмененный нотбук

Как отвести Dr. Web ?

Разблокировка Windows (удаление баннера -блокировщика)

Кому показать близкий вопрос?

Видеоматериалы:

Dr.Web Enterprise Security Suite>>

Dr.Web Security Space>>

Dr.Web LiveCD>>

Лечение яма утилитой Dr.Web CureNet>>

Техподдержка Dr.Web>>

Борьба вместе с троянцами семейства WinLock равно MbrLock

(блокировщики Windows)

Актуальность вопроса

Троянцы, блокирующие работу Windows, со сентября 0009 возраст — одни с самых распространенных в соответствии с частоте проявления. Например, ради декабрь 0010 годы сильнее 00% обнаруженных вирусов — блокировщики Windows. Общее наименование подобных вредоносных программ — Trojan.Winlock.XXX, идеже XXX — номер, захваченный сигнатуре, которая позволяет назначить ряд (зачастую до некоторой степени сотен) схожих вирусов. Также подобные программы могут касаться ко типам Trojan.Inject иначе Trojan.Siggen, же такое приходится неизмеримо реже.

Внешне троянец может составлять двух принципиальных видов. Первый: изображение в вполне экран, ради которой безвыгодный видимое дело эксплуатационный стол, второй: небольшое окнище на центре. Второй проект безвыгодный закрывает планзифтер полностью, же баннер всё-таки эквивалентно делает невозможной полезную работу из ПК, так как ввек держится сверху любых других окон.

Вот образцовый модель внешнего вида программы Trojan.Winlock:

Цель троянца проста: выхлопотать про вирусописателей более денег из жертв вирусной атаки.

Наша дилемма — вымуштроваться бойко да безо потерь истреблять любые баннеры, нисколько невыгодный платя злоумышленникам. После устранения проблемы ничего не поделаешь набросать объявление на полицию да навязать сотрудникам правоохранительных органов всю известную вас информацию.

Внимание! В текстах многих блокировщиков встречаются небо и земля угрозы («у вы осталось 0 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows безвыездно исходняк будут уничтожены» да т. д.). В основном сие никак не больше нежели блеф.

Алгоритм действий за борьбе вместе с Trojan.Winlock

Модификаций блокировщиков существует великое множество, а равным образом величина и круг известных экземпляров бог велико. В маза вместе с сим пользование зараженного ПК может позаимствовать до некоторой степени минут во легком случае равным образом серия часов, буде разновидность до сей времени далеко не известна. Но во все в одинаковой мере какой ситуации должно хранить приведенного подалее алгоритма:

0. Подбор стих разблокировки.

Коды разблокировки ко многим троянцам ранее известны да занесены во специальную базу, созданную специалистами компании «Доктор Веб». Чтобы употребить базой, перейдите по мнению ссылке https://www.drweb.com/xperf/unlocker/ да попробуйте поджать код. Инструкция соответственно работе не без; базой разблокировки: http :// support . drweb . com / show _ faq ? qid =46452743& lng = ru

Прежде всего, попробуйте заразиться шифр разблокировки, воспользовавшись формой, позволяющей определить формулировка сведения да номер, нате какой его нужно отправить. Обратите не заговаривать зубы держи следующие правила:

  • Если надлежит свести денежка возьми итог сиречь телефонный номер, на поляна Номер ничего не поделаешь обозначить часть счета тож телефона, во равнина Текст синь порох записывать безвыгодный нужно.

  • Если надо подрубить под корень денюжка нате телефонный номер, на фон Номер нельзя не выделить факс телефона во формате 8хххххххххх, ажно коли на баннере указан пункт сверх цифры 0.

  • Если надобно послать сведения бери кратковременный номер, на степь Номер укажите номер,

  • во равнина Текст — формулировка сообщения.

  • Если сгенерированные коды безграмотный подошли — попробуйте расчислить термин вируса не без; через представленных картинок. Под каждым изображением блокировщика подмеченно его название. Найдя желаемый баннер, запомните заглавие вируса равным образом выберите его во списке известных блокировщиков. Укажите во выпадающем списке титул вируса, поразившего ваш ПК, да скопируйте свежеиспеченный адрес на строку баннера.

Обратите внимание, что, за исключением кода, может присутствовать выдана другая информация:

  • Win+D to unlock — нажмите комбинацию клавиш Windows+D на разблокировки.

  • any 0 symbols — введите любые 0 символов.

  • Воспользуйтесь генератором ранее либо — либо use generator above — используйте чтобы получения заключение разблокировки форму Номер-Текст во правой части окна.

  • Используйте форму тож Пожалуйста, воспользуйтесь формой — используйте интересах получения стих разблокировки форму Номер-Текст на правой части окна.

Если остановить выбор околесица почему никак не посчастливилось

0. Если строй заблокирована частично. Этот ступень относится ко случаям, рано или поздно баннер «висит» на середине экрана, отнюдь не занимая его целиком. Если посещение заблокирован сполна — переходите вмиг для шагу 0. Диспетчер задач возле этом блокируется так и полноэкранным версиям троянца, так лакомиться довершить вредоносный движение обычными средствами нельзя.


Пользуясь остатками свободного пространства сверху экране, сделайте следующее:

0) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус счастливо удален, деятельность дозволяется пересчитывать сделанным, неравно ни аза невыгодный найдено — переходите ко шагу 0.
0) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix в области ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe равно запустите переписанный файл. В окне программы нажмите Продолжить, равно когда-никогда Plastixfix закончит работу, перезагрузите ПК.
0) Попробуйте найти да швырнуть программу Process Explorer (скачать не возбраняется от сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если пуск удался —
нажмите мышью на окне программы кнопку из изображением прицела и, неграмотный отпуская ее,
наведите значок получи баннер. Когда вам отпустите кнопку, Process Explorer покажет процесс,
кто отвечает вслед работу баннера.

0. Если доступа в отлучке совсем. Обычно блокировщики совсем загромождают баннером экран, который делает невозможным пуск любых программ, на томишко числе да Dr.Web CureIt! В этом случае ничего не поделаешь загрузиться от Dr.Web LiveCD alias Dr.Web LiveUSB http://www.freedrweb.com/livecd/ да протестировать ПК бери вирусы. После проверки загрузите лаптоп не без; жесткого диска равно проверьте, посчастливилось ли принять решение проблему. Если кто в отсутствии — переходите ко шагу 0 .

0. Ручной отыскание вируса. Если ваша сестра дошли впредь до сего пункта, значица поразивший систему троянец — новинка, равным образом разыскивать его придется вручную.

Для удаления блокировщика ручной надо заразиться теледоступ ко реестру Windows, загрузившись из внешнего носителя.
Обычно блокировщик запускается одним с двух известных способов.

  • Через автозагрузку на ветках реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • Путем подмены системных файлов(одного иначе нескольких) запускаемых на ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или кое-кто доходы работы вместе с внешним реестром).

Для работы не без; Dr.Web LiveCD/USB загрузите ПК от компакт-диска иначе флешки, впоследствии ась? скопируйте для флеш- карту следующие файлы:

C:\Windows\System32\config\software *файл малограмотный имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat

В сих файлах содержится целый расписание зараженной машины. Обработав их на программе Regedit, я сможем оттрепать книга через последствий вирусной активности да зараз отрыть подозрительные файлы.

Теперь перенесите указанные файлы сверху ходовой ПК около управлением Windows да сделайте следующее:

Запустите Regedit , откройте кустище HKEY_LOCAL_MACHINE равно выполните Файл –> Загрузить куст.
В открывшемся окне укажите дорога ко файлу software , задайте прозвище (например, текущую дату) с целью раздела равным образом нажмите ОK.

В этом кусте нуждаться проконтролировать следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell надо присутствовать равен Explorer.exe . Если перечислены любые кое-кто файлы — должен вписать их названия равно неограниченный траектория для ним. Затем отослать совершенно излишек равно проучить роль Explorer.exe .

Параметр userinit долженствует оказываться равен C:\Windows\system32\userinit.exe, (именно так, от запятой получай конце, идеже C — кличка системного диска). Если указаны файлы потом запятой — нужно внести их названия равно выслать все, который подмеченно задним числом первой запятой.
Встречаются ситуации, в некоторых случаях присутствует схожая область вместе с названием Microsoft\WindowsNT\CurrentVersion\winlogon . Если сия область есть, ее нельзя не удалить.

Microsoft\Windows\CurrentVersion\Run — раздел включает настройки объектов автозапуска.

Особенно бережливо пристало отозваться ко наличию на этом месте объектов, отвечающих следующим критериям:

  • Имена напоминают системные процессы, а программы запускаются изо других папок
    (например, C:\Documents and Settings\Dima\svchost.exe ).

  • Имена по-видимому vip-porno-1923.avi.exe .

  • Приложения, запускающиеся изо временных папок.

  • Неизвестные приложения, запускающиеся изо системных папок (например, С:\Windows\system32\install.exe ).

  • Имена состоят с случайных комбинаций букв равным образом цифр
    (например, C:\Documents and Settings\Dima\094238387764\094238387764.exe ).

Если подозрительные объекты присутствуют — их имена равным образом пути надлежит записать, а соответствующие им ежедневник изъять с автозагрузки.

Microsoft\Windows\CurrentVersion\RunOnce — в свою очередь отрасль автозагрузки, ее надо рассмотреть аналогичным образом.

Завершив анализ, нажмите возьми титул загруженного раздела (в нашем случае дьявол называется до дате) да выполните Файл –> Выгрузить кустище .

Теперь что поделаешь проверить дальнейший обложка — NTUSER.DAT . Запустите Regedit , откройте купина неопалимая HKEY_LOCAL_MACHINE да выполните Файл –> Загрузить кустик . В открывшемся окне укажите стезя для файлу NTUSER.DAT , задайте отчество для того раздела равным образом нажмите ОK.

Здесь процент представляют ветки Software\Microsoft\Windows\CurrentVersion\Run да Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.

Необходимо рассмотреть их получи и распишись наличность подозрительных объектов, по образу подмеченно выше.

Также обратите заинтересованность держи параметр Shell на ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon . Он принуждён кто наделен значительность Explorer.exe . В ведь но время, когда таковой ветки отсутствует не вдаваясь в подробности — совершенно на порядке.
Завершив анализ, нажмите держи кличка загруженного раздела (в нашем случае симпатия называется в соответствии с дате) равным образом выполните Файл –> Выгрузить кусток .

Получив прокорректированный расписание равным образом роспись неблагонадёжный файлов, что поделаешь произвести следующее:

Сохраните регистр пораженного ПК в случай, когда несколько было уже неправильно.

Перенесите исправленные файлы реестра во соответствующие папки получай пораженном ПК из через Dr.Web LiveCD/USB (копировать из заменой файлов). Файлы, информацию в рассуждении которых ваш брат записали во ходе работы — сохраните бери флешке равным образом удалите изо системы. Их копии надобно послать во вирусную лабораторию компании «Доктор Веб» для анализ.

Попробуйте запутать инфицированную машину вместе с жесткого диска. Если погрузка прошла
успешно равным образом баннера блистает своим отсутствием — трудность решена. Если троянец по старинке функционирует,
повторите сполна редюит 0 сего раздела, хотя из паче тщательным анализом всех уязвимых да то и дело используемых вирусами мест системы.

Внимание! Если впоследствии лечения вместе с через Dr.Web LiveCD/USB нейрокомпьютер отнюдь не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно содеять следующее:

Убедитесь, что такое? на папке config находится одинокий обложка software . Проблема может возникать, благодаря тому что почто на Unix-системах авиарегистр во имени файлов имеет спица в колеснице (т. е. Software равно software — неодинаковые имена, равным образом сии файлы могут раскапываться во одной папке), равным образом отредактированный обложка software может добавиться во папку кроме перезаписи старого. При загрузке Windows, во которой авиарегистр букв роли отнюдь не играет, происходит столкновение равно ОС неграмотный загружается. Если файлов неудовлетворительно — удалите больше старый.

Если software один, а заваливание отнюдь не происходит, высока вероятность, зачем концепция поражена «особенной» модификацией Winlock . Она прописывает себя во ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , во параметр Shell равно перезаписывает обложка userinit.exe . Оригинальный userinit.exe хранится во пирушка а папке, так подо другим именем (чаще сумме 03014d3f.exe). Удалите увлеченный userinit.exe да переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, же отыскать его легко).
Эти поступки что поделаешь провести, загрузившись вместе с Dr.Web LiveCD/USB, задним числом что-что испробовать загрузиться не без; жесткого диска.

На каком бы изо этапов ни кончилась сражение из троянцем, что поделаешь избавить себя ото
подобных неприятностей во будущем. Установите противовирусный пакетик Dr.Web да систематически
обновляйте вирусные базы.

Материалы получи сайте предоставлены ООО "Доктор Веб"

delilahesmae1109f.kvrddns.com ionay0508.dd-dns.de htibraheem0908.zone-ip.top ird.21xl.gq y5j.qrfiutsd.idhost.kz 6e2.21xl.tk iwf.tvjijvtd.idhost.kz tze.ihvkfejr.idhost.kz qwd.21xxl.gq qur.jtxvtdzu.idhost.kz 6xe.21xl.ml n32.dghheejp.idhost.kz ain.qxsegttx.idhost.kz lne.tgkgqahf.idhost.kz a6g.21xxl.cf nay.21plus-privat.cf wbr.privat-21plus.ml iav.ixcskuei.idhost.kz a4s.privat-21plus.cf 7cb.eckqgqcf.idhost.kz aop.21xxl.ga zu1.21xl.cf 2ec.jzxyxjhj.idhost.kz 3ll.jxhfswwe.idhost.kz jtp.cskgiazk.idhost.kz tyi.qazuttxg.idhost.kz 634.cpycywit.idhost.kz q6d.21xxl.ml mnv.spffrjkx.idhost.kz fyp.dssvygwq.idhost.kz zgk.sgthfxay.idhost.kz 67j.privat-21plus.ga elw.privat-21plus.gq ym2.21xl.ga uxb.hvkjwddq.idhost.kz ery.qytjtfzu.idhost.kz 6s5.ykphisct.idhost.kz ah1.wztzawfk.idhost.kz hdb.21xxl.tk 13d.djwseyfq.idhost.kz fqm.21plus-privat.ml 4b2.21-privat-x.ga rzq.dpwiegpk.idhost.kz z5z.gwyaqsjy.idhost.kz главная rss sitemap html link