Сегодня я расскажу о таком неприятном вирусе, который делает так, что windows заблокирован, приём почти наглухо (обычно, нельзя открыть ни диспетчер задач, ни попасть в безопасный режим, да и вообще как-то взаимодействовать с системой) и просит отправить смс или вовсе сходить к терминалу и положить деньги на счет автора этого вируса, а потом, якобы, должна наступить разблокировка. На самом деле никакой разблокировки Вашего Windows не будет и Вы просто потеряете свои деньги, поэтому крайне не рекомендуется отправлять что-либо кому-либо в любом виде.

Не смотря на то, что это удивительная пакость и она принесла много вреда обычным людям и их компьютерам, в том числе и в офисах, надо всё таки отдать должное изобретательности автору вируса ведь, как-никак, наживаться на пользователях

Windows идея шикарная и, как я понимаю, прибыльная, ведь вирус постоянно развивается, модифицируется и улучшается всеми возможными и невозможными способами. Во-вторых, дело даже не столько в идее, сколько в самой её реализации, так как сие чудо не прописано просто в автозагрузке, а лежит гораздо глубже и срабатывает даже в безопасном режиме, а так же при диагностическом запуске (загрузка только основных драйверов и служб), что составляет некоторые трудности по разблокировки заблокированного windows, а трудности это всегда интересно.

 

Работая системным администратором в одной достаточно крупной компании у наших девчат периодически такие проблемы возникали (да, не хотели наши хозяева тратиться на нормальный антивирус, да и винду запретили обновлять, параноики), первое время у них были истерики, потому что читали то, что вирус писал (про детское порно и т.д.), и боялись кары от начальства, что в прочем было мне на руку, пивом я был отблагодарён не один раз. В целом мне понравилось, как вирус задуман, но не остановило, а посему я предлагаю Вам набор решений по устранению этой гадости, блокирующей работу Windows и требующей оправки смс, а так же поведаю о том, что делать, если после удаления вируса у вас чистый рабочий стол или другие проблемы. Все эти способы я испытал на достаточно большом количестве компьютеров и на большом количестве разновидностей этого вируса. Так что хоть один способ но должен помочь. Это была предистория.

Решаем проблему

Описанные ниже решения актуальны почти для всех версий вируса за редким исключением. Если у Вас по-прежнему windows заблокирован не смотря на все манипуляции и ухищрения, то свяжитесь со мной – займемся разблокировкой вместе. Ну а теперь несколько вариантов и способов решения проблемы (пробуйте все по очереди, пока не придете к успеху):

Вариант 1 (коды раблокировки windows):

На сайте dr.web есть коды разблокировки и найти их можно тут. Просто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки. Так же, как вариант, Вы можете на сайте ввести номер куда просят отправить смс и текст сообщения, а затем нажать на кнопку “найти” и получить код.

После разблокировки тут же начинаем лечить систему нормальным антивирусом.

Если после разблокировки у Вас чистый рабочий стол, то читайте конец статьи.

Вариант 2 (с помощью бесплатной утилиты ):

  1. Берем рабочий не вирусованный компьютер и флешку.
  2. Скачиваем avz, записываем его на флешку.
  3. Переходим к зараженному компьютеру. Перед загрузкой Windows, а точнее перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“ . Если не получается туда попасть, например не успеваете нажать F8, то можете зажать её сразу как только нажимаете кнопку питания на ПК
  4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку. Это такое (обычно) чёрное окно с (обычно) серым текстом.
  5. Вставляем нашу флешку с AVZ в компьютер.
  6. Теперь нам нужно её открыть, для этого в командной строке пишем команду: explorer и жмём кнопку enter (на клавиатуре).
  7. Ждем пока появится знакомый нам “Мой компьютер“ (для блондинок: ну да, да, Ваш компьютер)
  8. Открываем нашу флешку и запускаем avz.exe
  9. Затем там выбираем “Файл — Мастер поиска и устранения проблем“. В появившемся окошке выбираем: “Системные проблемы” – “Все проблемы” и жмем кнопочку “Пуск“. Ставим все галочки кроме тех, что начинаются с “Разрешен автозапуск с..” и “Отключено автоматическое обновление системы“. После чего жмем “Исправить отмеченные проблемы“.

  10. Там же выбираем “Настройки и твики браузера” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.

  11. Там же выбираем “Приватность” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.

  12. Далее жмем “Закрыть“, а затем, все в том же AVZ, выбираем “Сервис” – “Менеджер расширений проводника” и в появившемся списке снимаем галочки со всех строчек, которые написаны черным (а не зеленым цветом), после чего мы можем эти строчки смело удалять. Просто выделяем строку и жмём на чёрный крест на верхней панели.

  13. После этого запускаем “Сервис” – “Менеджер расширений IE” и удаляем (именно удаляем, методом нажатия крестика) ВСЕ строки в списке.

  14. Перезагружаемся и видим, что этой гадости больше нету

  15. Если всё получилось то производим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то либо воспользуйтесь способом третьим (ниже по тексту), либо просто все в том же “Безопасном режиме с поддержкой командной строки” сделайте полное сканирование системы программой AVZ.

Вариант 3 (с помощью программы AVZ скрипта для неё):

  1. Берем чистый компьютер (т.е. без вирусов) и флешку.
  2. Скачиваем avz, записываем его на нашу флешку.
  3. Переходим к зараженному компьютеру. Заходим в “Безопасный режим с поддержкой командной строки“, как это делать смотрите выше в варианте 2 пункте 3.
  4. Ждем загрузки и командную строку.
  5. Вставляем нашу флешку в компьютер.
  6. В командной строке пишем команду: explorer и жмём кнопку enter (на клавиатуре).
  7. Ждем пока появится “Мой компьютер
  8. Заходим на флешку и запускаем avz.exe
  9. Выбираем “Файл” – “Выполнить скрипт“. После этого перед вами появится окно, куда можно писать скрипты.

  10. Вставляем в появившееся окно скрипт:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile(‘C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa21.exe’,»);

QuarantineFile(‘C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe’,»);

QuarantineFile(‘C:\Program Files\AskBarDis\bar\bin\askBar.dll’,»);

DelBHO(‘{638E9359-625E-4E8A-AA5B-824654C3239B}’);

DelBHO(‘{1A16EC86-94A1-47D5-A725-49F5970E335D}’);

QuarantineFile(‘C:\Documents and Settings\All Users\Application Data\zsglib.dll’,»);

QuarantineFile(‘C:\Documents and Settings\All Users\Application Data\phnlib.dll’,»);

QuarantineFile(‘Explorer.exe csrcs.exe’,»);

QuarantineFile(‘C:\WINDOWS\System32\drivers\68ed4e7b.sys’,»);

DeleteFile(‘C:\WINDOWS\System32\drivers\68ed4e7b.sys’);

DeleteFile(‘Explorer.exe csrcs.exe’);

DeleteFile(‘C:\Documents and Settings\All Users\Application Data\phnlib.dll’);

DeleteFile(‘C:\Documents and Settings\All Users\Application Data\zsglib.dll’);

DeleteFile(‘C:\Program Files\AskBarDis\bar\bin\askBar.dll’);

DeleteFile(‘C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe’);

DeleteFile(‘C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa21.exe’);

DelBHO(‘{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}’);

DelBHO(‘{3041d03e-fd4b-44e0-b742-2d9b88305f98}’);

DelBHO(‘{201f27d4-3704-41d6-89c1-aa35e39143ed}’);

DelCLSID(‘{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}’);

DeleteFileMask(‘C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5?, ‘*.*’, true);

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Важно! Где вместо Ваш_аккаунт надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть vasya, может быть pupkin или что-то еще, т.е. имя пользователя под которым Вы входите в систему.

  1. Жмем кнопочку “Запустить“. Ждем окончания работы скрипта.

  2. Перезагружаемся и видим, что блокировки windows больше нету, а значит проводим полную очистку системы нормальным антивирусом.

Сразу оговорюсь, что данный скрипт помогает не очень часто. К сожалению есть всего пара модификаций вируса, который блокирует windows, который можно победить этим скриптом. Хотя в целом мне этот скрипт не раз помог, поэтому я его и публикую. Но если он вдруг не помог, то попробуйте провести полное сканирование системы с удалением заражённых файлов через программу AVZ.

Вариант 4

Этот вариант порой помогает для старых версий вируса, поэтому не факт что он вам поможет, но чем чёрт не шутит, всякое бывает.

Заходим в BIOS (кнопочка DEL сразу после включения/перезагрузки компьютера, или F2, всё зависит от вашей материнской платы) и переводим там часы на неделю вперед (как вариант, можно попробовать так же на неделю назад). Вирус, возможно(!), отключится, после чего запускаем систему и проверяемся нормальным антивирусом.

Вариант 5

Используем  от компании Dr.web, который позволяет просканировать систему с CD-диска и очистить её от этой пакости, которая блокирует работу windows, и от некоторых других вирусов. Вообще лив сиди от доктора веба тема отдельного разговора, и возможно даже не в одной статье.

Скачать образ программы можно прямо с нашего блога – ссылка на LiveCD. Данное решение, по крайней мере на момент написания данного поста, было бесплатным. Теперь насчёт установки: нам просто надо записать образ на диск. Сделать это можно несколькими способами, но я рекомендую один единственный, а именно:

  1. Берем чистый диск, вставляем его в CD-ROM
  2. Скачиваем программку (с нашего сайта) для записи SCD Writer.
  3. Скачиваем образ по ссылке выше.
  4. Запускаем SCD Writer, там выбираем Диск — Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи (скорость записи советую ставить ближе к минимальной, это часто помогает избежать ошибок при прожиге болванок) и ждем окончания записи.

Дальше нам, надо сделать так, чтобы загрузка происходила не с жесткого диска, а с только что записанного CD. Для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера, или, как я говорил, кнопка F2), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM. После чего сохранить изменения и перезагрузить компьютер. Загрузившись с диска выбираем первый пункт в появившемся меню, а затем запускаем Dr.Web Scanner, запускаем само сканирование кнопочкой Start и ждем окончания, после чего, обрабатываем найденные вирусы, давая команду удалить их.

Вариант 6

С помощью скриптов Kaspersky Virus Removal Tool.

  1. Берем чистый компьютер и флешку.
  2. Скачиваем Kaspersky Virus Removal Tool и устанавливаем его  на флешку.
  3. Идем к зараженному компьютеру и заходим в “Безопасный режим с поддержкой командной строки“.
  4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
  5. Вставляем флешку в компьютер.
  6. В командной строке пишем команду: explorer и жмём клавишу enter.
  7. Ждем пока появится знакомый нам “Мой компьютер
  8. Заходим на флешку и запускаем Kaspersky Virus Removal Tool
  9. В программе переходим на вкладку “Ручное лечение” и вставляем в окошко, по очереди, скрипты ниже, а затем нажимаем кнопочку “Выполнить”. Внимание! “По очереди” означает, что сначала вставляем первый и жмем кнопочку “Выполнить”, затем первый убираем, вставляем второй и снова жмем кнопочку “Выполнить” и так все скрипты.

begin

SearchRootkit(true, true);

QuarantineFile(‘Base.sys’, ‘CHQ=N’);

QuarantineFile(‘explorer.ex’, ‘CHQ=N’);

QuarantineFile(‘hpt3xx.sys’, ‘CHQ=N’);

QuarantineFile(‘C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys’, ‘CHQ=S’);

QuarantineFile(‘C:\WINDOWS\system32\drivers\cmudau .sys’, ‘CHQ=S’);

QuarantineFile(‘C:\WINDOWS\System32\Drivers\dump_n vatabus.sys’, ‘CHQ=S’);

QuarantineFile(‘C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys’, ‘CHQ=S’);

QuarantineFile(‘C:\WINDOWS\system32\Drivers\usbVM3 1b.sys’, ‘CHQ=S’);

QuarantineFile(‘C:\WINDOWS\system32\DRIVERS\wg111v 2.sys’, ‘CHQ=S’);

QuarantineFile(‘C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp’, ‘CHQ=S’);

BC_QrFile(‘C:\WINDOWS\System32\Drivers\dump_nvatab us.sys’);

BC_QrFile(‘C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s’);

BC_QrFile(‘C:\WINDOWS\system32\Drivers\usbVM31b.sy s’);

BC_QrFile(‘C:\WINDOWS\system32\DRIVERS\wg111v2.sys ‘);

BC_QrFile(‘C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp’);

BC_Activate;

RebootWindows(true);

end.

var

qfolder: string;

qname: string;

begin

qname := GetAVZDirectory + ‘..\Quarantine\quarantine.zip’;

qfolder := ExtractFilePath(qname);

if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);

CreateQurantineArchive(qname);

ExecuteFile(‘explorer.exe’, qfolder, 1, 0, false);

end.

begin

Executerepair(;

Executerepair(16);

ExecuteWizard(‘TSW’, 2, 2, true);

RebootWindows(true);

end.

begin

ExecuteStdScr(3);

RebootWindows(true);

end.

  1. Ждем перезагрузки, смотрим заблокирован windows или нет. Если все в порядке, то проверяемся на вирусы нормальным антивирусом.

На случай, если не работает безопасный режим или Dr.Web LiveCD не помогает

Часто некоторые пишут о модификациях вируса, которые не позволяют попасть в безопасный режим (т.е баннер актуален и там, либо же безопасный режим вовсе не грузится), либо же LiveCD вирус не находит и не удаляет.

Действительно такое имеет место быть, но и здесь можно сделать, как говорится, ход конём, а именно, начать с восстановления интерфейса, а потом уже убить вирус. Чтобы восстановить интерфейс (т.е сначала разблокировать систему хоть как-то) необходимо воспользоваться всеми рекомендациями с подзаголовка “Решаем проблемы после удаления вируса, который блокировал систему“, а именно, ниже по тексту.

К слову, после проделывания оного (т.е упомянутой разблокировки путём всего, что идет ниже по тексту)рекомендуется сначала загружать систему в безопасном режиме дабы очистить вирус, а потом уже в обычном (ибо возможна повторная блокировка, если вирус прописан в автозагрузке).

Решаем проблемы после удаления вируса, который блокировал систему

Просто удалить вирус, заблокировавший windows и требующий отправки смс, часто бывает не достаточно, т.к. он может менять настройки реестра, и после удаления Вы можете увидеть чистый рабочий стол и курсор мышки. Так же может не открыться ни диспетчер задач, ни что-либо еще, не будет никакого доступа в панель пуск и никуда вообще. Можно конечно попробовать вылечить систему из безопасного режима, но, как правило, и он заблокирован и компьютер попросту перезагружается при попытке входа туда. Однако всё же есть способ лечения.

Если не работает диспетчер задач:

  • Скачиваем avz.
  • Распаковываем архив, запускаем программу.
  • В окне программы выбираем “Файл” – “Восстановление системы”
  • Ставим галочку “Разблокировка диспетчера задач” и давим в кнопочку “Выполнить отмеченные операции“.
  • Закрываем программу, пробуем запустить диспетчер задач.

 

 

Комментарии

comments powered by Disqus