Sys-Admin Forum

Ваш компьютер заблокирован. Зловредный баннер. Решение на WinSeven

Столкнулся с проблемой на WinSeven с таким Баннером
Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов.
Решение:

  • запускаем комп через F8
  • выбираем пункт Устранение Неполадок Компьютера
  • появляется окошко Параметры восстановления системы
  • нажимаем далее
  • в новом окне выбираем пользователя администратор или пользователя с правами администратора
  • нажимаем далее
  • в появившемся окне выбираем командная строка
  • там же вбиваем regedit
  • ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • там меняем Userinit ставим значение C:\WINDOWS\system32\userinit.exe
  • Shell ставим значение Explorer.exe
  • заходим через командную строку в раздел [b]C:\programdata[/b]
  • удаляем файл 22CC6C32.exe
  • заходим так же в раздел[b] C:\User\All Users\Application Data[/b]
  • удаляем 22CC6C32.exe

перезагружаем копьютер и радуемся.

Недавно тоже столкнулся, о чем написал статейку:
Удаление SMS вымогателя блокирующего систему

еще нашел место где такой же баннер может находится
в [u]c:\users\пользователь\AppData\Local\Temp[/u]

еще один Зловредный баннер но уже нашего производства стоимостью 15 000 тенге wpbt0.dll
место нахождение [b]C:\Documents and Settings\Admin\Local Settings\Temp[/b]

если это dll… то что интересно использовало данную библиотеку/…? Мне как то тоже попалась похожая dll никак не удаляющаяся, помнится был исполняемый файл в корне папки %appdata% который ее использовал…

Странно за 2 дня таких компов собралось почти 5-6 только у меня,
не учто наши умники решили подзаработать

Можешь статистику кинуть какие файлы появляются и в каких папках, так же информацию о пользователях… являются ли они администраторами на машинах или нет, а так же какой антивирус стоит и как лечишь?

Как я заметил вместе с ним несколько файлов появились в разделе
[b]C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files[/b]
все формата *.jpeg и *.gif.
Пропустили его два антивируса касперВоркстейшин6 и Eset антивирус,
Получилось удалить его Касперским Кристалом9,
другими антивирусами еще не пробовал как попадется дам еще список антивирусов которые могут поймать и вылечить.

Еще один Банер с текстом,
“Вы установили наш банер для доступа на наш сайт.”
Файл с банером находится в диске С:\
название файла userinit.exe (trojan.winlock.origin)
и в реестре было изменено Shell,
пришлось запускать с Лайф СиДи и проверить диски на вирусы,
Был обнаружен и удален Касперским 2011.

Хм наши соотечественники бьют рекорды,
зловредный баннер в тенге, местонахождение диск D:\
ОС Windows 7 ультимат
как заметил название avi.exe, странный файлик с атрибутами - системный , скрытый.
Удалил не сразу, искал в старых местах где обычно прячутся вирусы, но сюрприз ждал не там, в безопасном режиме кстати дает работать, пришлось искать файлы по дате изменения за последний дни и часы и все это проверять. Атаки становятся всё опаснее и умнее.

на диске D лежал прям в корне?

да, как скрытый, реестр не меняет вместо шелла не запускается а сам как то автозапуском, хотя проверял там его не видал

Благо нашел программу AntiSms для борьбы с баннерами,
радовался не долго =))
теперь появляются совсем другой формат вируса вроде 7zS2bgd.exe 300 гривней :sarcastic: место нахождение
[b]C:\Users\admin[/b] или же [b]C:\Users\администратор[/b]
Вирусы становятся умнее :lol: :sarcastic:

C:\Users\user файл 4559970.exe
Антивируса нет
Пользователь является администратором компа
Этот ноутбук приходит ко мне за 2 месяца во второй раз… говорит ер тостык хотел посмотреть :sarcastic:
И ещё говорит в этот раз уже 5000 тенге, наглеют, в прошлый раз было 2000

Поставь антивирус, понизь в правах :sarcastic:

Обновления,
Ваш ПК Заблокирован за нарушение закона РК
Место нахождение данного подарка.


А чем очищал?

Первый раз у кого нашел на ПК пришлось подключать HDD к другому, лечил MES от майкрасофта сохранить место положение доброго файла не удалось,
благо пришел еще один ПК =)) на нем лечил для проверки работоспособности ESET-ом тут и получилось за скринить место положение вируса.
Надеюсь это последние ПК с таким вирусом (баннером) а то несколько подряд в течении месяца даже для меня перебор :dash2:

Уже до Явы до брались)

  1. Для начала, нажмите кнопку перезапуска. Когда начнёт подгружаться Виндовс, бейте по кнопке F8.

  2. На мониторе возникнет менюшка, где описаны возможности входа в ОС. Выбирайте безопасный режим с поддержкой командной строки и смело жмите Энтер.

  3. Возникнет необходимость выбора системы. Выберите нужную вам и снова нажимает клавишу Enter. Если что-то не получается, значит, OS полностью заблокирована кибер-болезнью и лечение идёт по другому пути.

  4. Всё идёт по плану? Отлично. Ожидайте стартового экрана.

  5. Далее – «Пуск», «Выбор пользователя» «Администратор. В «Поиске» вбиваем «Выполнить» и используем команду regedit.

  6. Перед вами редактор реестра. Мы рассматривали его в одной из статей. Нуженпуть HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Два раза бьём мышкой Shell и переписываем значение. Вместо предыдущего должно стоять Explorer.exe.

После этой процедуры должна быть проведена перезагрузка. Более подробно можно ознакомиться тут: http://komphelp24.ru/