Удаление вируса баннера - WinLock. Без переустановки Windows

YouTube · Сообщение **DesignerMix** » 26 апр 2014, 15:19

В этом видео я попытался рассказать как работает винлокер, по какому пути он проходит для заражения системы и как без переустановки windows удалить вирус winlocker.
Этот способ поможет вам и в том случае если компьютер был заражен через Skype (окупай читеряй, школолокеры и т.д.).

По этой ссылке можно скачать ERD Commander для всех версий Windows
Если у вас нетбук (без CD\DVD-ROM) то смотрите видео о том как сделать загрузочную флешку или HDD
Вам интересно на что еще способен ERD Commander? Тогда смотрите видео про сброс пароля

Вот пути в реестре в которых вирус чаще всего себя прописывает:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

zlordus · Сообщение **zlordus** » 21 май 2014, 19:51

Как вариант можно использовать утилиту от Лаборатории Касперского: http://support.kaspersky.ru/viruses/disinfection/8005 Пока ещё ни разу не подводила.

Сообщение **solomax** » 01 июн 2014, 01:25

zlordus писал(а):Как вариант можно использовать утилиту от Лаборатории Касперского: http://support.kaspersky.ru/viruses/disinfection/8005 Пока ещё ни разу не подводила.

Вы правы, но все мы, к сожалению, знаем людей, пишущих такие вирусы для того, чтобы заснять на видео то, как создатель вируса издевается над запустившим его человеком. Они используют готовые исходники, но пароль меняют. Тут утилита от Лаборатории Касперского не поможет.

YouTube · Сообщение **DesignerMix** » 01 июн 2014, 11:35

solomax писал(а):Вы правы, но все мы, к сожалению, знаем людей, пишущих такие вирусы для того, чтобы заснять на видео то, как создатель вируса издевается над запустившим его человеком. Они используют готовые исходники, но пароль меняют. Тут утилита от Лаборатории Касперского не поможет.

Не будьте столь критичны. Утилита помогает очень даже неплохо даже если пароль был изменен. По ссылке которую дал zlordus описаны разные способы удаления вируса и наверняка один из них поможет кому-то решить проблему.

solomax писал(а):Насчёт заражения через Skype вы правы. Если это явление распространится, то такие методы должны помочь.

На самом деле этот способ подходит для разнообразных локеров и прочих вирусов блокирующих работу Windows и он актуален по сей день я до сих пор продолжаю им пользоваться и уже восстановил очень много компьютеров и ноутбуков. А то о чем вы говорите появилось сравнительно недавно и просто является еще одной разновидностью WinLocker'а. Этот ролик был снят 12 авг. 2012 г. тогда школьники еще не записывали видео вроде "окупай читеряй" и прочей подобной фигни.

Сообщение **solomax** » 01 июн 2014, 11:41

DesignerMix писал(а):
solomax писал(а):Вы правы, но все мы, к сожалению, знаем людей, пишущих такие вирусы для того, чтобы заснять на видео то, как создатель вируса издевается над запустившим его человеком. Они используют готовые исходники, но пароль меняют. Тут утилита от Лаборатории Касперского не поможет.
Не будьте столь критичны. Утилита помогает очень даже неплохо даже если пароль был изменен. По ссылке которую дал zlordus описаны разные способы удаления вируса и наверняка один из них поможет кому-то решить проблему.

solomax писал(а):Насчёт заражения через Skype вы правы. Если это явление распространится, то такие методы должны помочь.
На самом деле этот способ подходит для разнообразных локеров и прочих вирусов блокирующих работу Windows и он актуален по сей день я до сих пор продолжаю им пользоваться и уже восстановил очень много компьютеров и ноутбуков. А то о чем вы говорите появилось сравнительно недавно и просто является еще одной разновидностью WinLocker'а. Этот ролик был снят 12 авг. 2012 г. тогда школьники еще не записывали видео вроде "окупай читеряй" и прочей подобной фигни.

Извините, я про другое подумал, не перейдя по ссылке. Думал, что это сервис "Введите СМС и текст - дадим варианты кодов". Просмотрев сейчас, я соглашаюсь с тем, что это программа может помочь.

zlordus · Сообщение **zlordus** » 02 июн 2014, 22:20

Да, к сожалению нашему существуют не только простые локеры, тупо препятствующие доступу к системе. Есть и такие гадости, как шифраторы, которые за несколько часов зашифровывают все более или менее важные данные: документы, фотографии. А после окончания своей гнусной деятельности просят за дешифровку N-ную сумму (к примеру нашумевший в своё время "Сушите вёсла"). Используя 256-битное AES-шифрование, злоумышленники не оставляют жертве никаких вариантов. Либо платить, либо ждать, пока кто-нибудь заплативший где-либо не выложит пароль от модификации, совпадающей с вашей.

dobaa · Сообщение **dobaa** » 05 июн 2014, 07:55

Много раз выручала вот эта программа http://www.antiwinlocker.ru/ ,все очень просто,запустился как Live-cd все очень просто и интуитивно понятно

Сообщение **Alex** » 23 июн 2014, 20:39

На диске ChipXP есть утилита AntiSMS, еще не попадался локер который бы устоял. Ну а когда система загружается уже, проходил Kaspersky Virus Removal Tool. С ERD конечно наглядно, но когда 5-6 компов в очереди хочется быстрых решений.

Сообщение **diagnoz** » 23 июн 2014, 23:42

Дополнительно так же пользуюсь и Dr.Web LiveCD. в Kaspersky Rescue Disk предпочитаю как терминальный режим так и графический. но скажу, что не однократно попадались winlocker`ы которые Rescue Disk не брал, в лоб не видел. плюс проводил перебор по базе готовых кодов. приходилось руками находить его на диске и руками удалять в реестре его следы через редактор реестра с Rescue Disk. причем были случаи, что при явной угрозе, и ее деактивировании, после перезагрузки снова все возвращалось. приходилось искать другие пути решения.

YouTube · Сообщение **DesignerMix** » 23 июн 2014, 23:51

diagnoz писал(а):причем были случаи, что при явной угрозе, и ее деактивировании, после перезагрузки снова все возвращалось. приходилось искать другие пути решения.

В этом случае 100% вирус оставался где-то в автозагрузке компьютера и повторно себя прописывал после удаления. Я тоже делал видео в котором рассказывал как можно обнаружить вирусы в автозагрузке, удалить их оттуда и вообще как настроить автозагрузку Windows (всех версий) в продвинутом режиме. Если интересно вот это видео - https://www.youtube.com/watch?v=I0BwOufWGoA

Сообщение **diagnoz** » 24 июн 2014, 16:20

diagnoz писал(а):где-то в автозагрузке компьютера и повторно себя прописывал после удаления

согласен с Вами. используя не хитрые ключи cmd

sergeypavlenko

если установлена Windows 7 или более новая то легко можно сбросить банер путем принудительного сбоя системы и отката к точке востановления вирус стирается полностью

sergeypavlenko

и для закрепления результата рекомендую воспользоватся антивирусом Avast который имеет функцию сканирования до загрузки системы плюс сканирует файлы при запуске системы

dersu uzala · Сообщение **dersu uzala** » 19 фев 2015, 19:02

На моей практике попадался винлокер, который прописывался в mbr область, т.е. там даже система не загружалась, сразу после прохождения POST вылазил баннер. Решилось просто, загрузка с лайвсиди или установочного диска и командой fixmbr.
В свое время наблюдал эволюцию винлокеров, как они развивались от самых простых, которые можно было убрать запустив диспетчер задач и убив процесс, до более извращенных, способных блокировать диспетчер задач, безопасный режим и назначающие ограничения на права юзера. Сегодня походу мода на винлокеры закончилась

, сейчас популярны браузерные баннеры.

YouTube · Сообщение **DesignerMix** » 19 фев 2015, 19:32

dersu uzala писал(а): сразу после прохождения POST вылазил баннер. Решилось просто, загрузка с лайвсиди или установочного диска и командой fixmbr.

Да, тоже несколько раз с таким встречался. Первый раз когда увидел долго не мог понять как-же с ним бороться, но потом тоже узнал что этот вирус прописывается в загрузчике.

dersu uzala писал(а): Сегодня походу мода на винлокеры закончилась , сейчас популярны браузерные баннеры.

Просто с винлокерами довольно качественно научились бороться, а новых способов заражения видимо не придумали. Я слышал довольно реалистичные прогнозы о том, что скоро появятся вирусы (банеры, локеры и т.д.) которые будут обращаться к пользователю по имени используя информацию из соц. сетей т.к. API находится в открытом доступе и довольно просто собирать такую информацию. Это будет на мой взгляд очень действенно, ведь если пользователь увидит свое имя и фамилию в предложении вроде "Валентин Пупкин вы распространяете нелицензионное программное обеспечение, за это вы должны уплатить штраф... бла бла бла" то он более охотно поверит в подобное чем если-бы к нему просто обращались на Вы.

dersu uzala · Сообщение **dersu uzala** » 19 фев 2015, 21:02

DesignerMix писал(а): Просто с винлокерами довольно качественно научились бороться

Это точно! Я как то с ними руками справлялся, даже не сражу обнаружил, что появились программки доступные простым смертным, которые с легкостью удаляли винлокеры.

DesignerMix писал(а): Я слышал довольно реалистичные прогнозы о том, что скоро появятся вирусы (банеры, локеры и т.д.) которые будут обращаться к пользователю по имени используя информацию из соц. сетей

Хм... интересненько. Но я бы с удовольствием посмотрел на лицо юзера, который бы словил подобный вирус

. (блин, какой я зловредный иногда

)

Сообщение **player** » 28 фев 2019, 02:04

я так понимаю, что адблок совсем уже устарел? о нем не слова. ваши предложения поновее? извините, я пока только вьезжаю во все на уровне пользователя. советовать вживую некому

YouTube · Сообщение **DesignerMix** » 28 фев 2019, 06:51

player, adblock к этой теме не имеет ничего общего. Adblock удобен для блокирования рекламы на сайтах и он не устарел а наоборот постоянно обновляется.

Сообщение **player** » 03 мар 2019, 00:12

спасибо. я только вникаю. наверное еще тупить буду

Сообщение **player** » 18 апр 2019, 09:23

первый вариант по видео сработал. спасибо

Компьютерный форум