Поиск по этому блогу

среда, 14 декабря 2011 г.

Trojan.WinLock.3333 универсальная инструкция




Телефоны и номера счетов меняются.
У этого баннера есть коды разблокировки.
Их можно поискать здесь

https://www.drweb.com/xperf/unlocker/
http://sms.kaspersky.ru/

Если Вам не удалось найти код разблокировки, то воспользуемся одним хитрым способом.

1)При включении компьютера нажать и держать клавишу F8
(Здесь я слегка обманываю.Дело в том, что в некоторых моделях ноутбуков вход в биос тоже вызывается с помощью F8. Поэтому нажимаем клавишу не сразу же после включении, а на 1-2 сек позже)
Пока не появится меню дополнительных вариантов загрузки.



2)Выбираем Восстановление службы каталогов (только на контролере домена Windows).
3)Нажимаем Энтер.




4)Еще раз нажимаем Энтер.


После этого ждем загрузки системы




5)Нажимаем Да.


Появляется рабочий стол.

6)Теперь нажимаем Пуск-Выполнить



7)Появится окошко "Запуск программы". Вводим в появившееся окошко слово msconfig


8)В появившемся окошке Настройка системы переходим во вкладку Автозагрузка.


Как правило этот винлок прописывается на Рабочем столе или в папке Temp.
Сам файл делается скрытым и в ненастроеном Проводнике не виден.

Имя файла, как правило состоит из набора цифр и начинается с нуля.
Например 0.7097480452486065.exe или 0.8341312541728995.exe
В одельных случаях имя файла бывает другим, например 312.exe

9)Дальше мы просто снимаем галочку и нажимаем ОК.



10)Появится окошко с вопросом о перезагрузке....выбираем Перезагрузка.

Система должна загрузиться без винлока.

--------------------------------------------------------------------------------------------

Если все прошло на УРА, безмерно гордимся собой :) и пытаемся помочь другим.


А для этого мы попытаемся найти сам файлик винлока (да-да...он все еще в системе и не удален...лежит себе мертвым грузом).

I. Нажимаем Пуск-Панель управления



II. Нажимаем на Переключение к классическому виду


III. Выбираем Свойства папки



IV. Щелкаем по вкладке Вид



V. Опускаемся чуть ниже (c помощью ползунка 1) и щелкаем по Показывать скрытые файлы и папки (на рис. под номером 2)


VI. Нажимаем Применить , а после нажимаем OK

VII. Теперь на Рабочем столе ищем скрытый файл 


Отправляем этот файлик мне на почту mrbelyash@yandex.ru постараюсь достать код разблокировки. Возможно он поможет кому-нибудь еще.
Или же отправляем в антивирусные лаборатории.

https://vms.drweb.com/sendvirus/

http://support.kaspersky.ru/virlab/helpdesk.html

117 комментариев:

sprut1k комментирует...

Жму Вам лапу за огромную помощь мне и другим пользователям.
Киев. Украина

12p0mah комментирует...

Ваша инструкция помогла. В папке temp был файл 222.exe, но ни в скрытых файлах на рабочем столе, ни в папке temp его нет. Поиск по диску также не дал результатов. Где найти этого мерзавца что бы выкорчевать?

mrbelyash комментирует...

12p0mah дайте мне этот 222.exe это он

12p0mah комментирует...

Так в этом и проблема. Найти его на жёстком диске не удаётся. В связи с этим и задал вопрос. Где его искать, может какие то танцы с бубном особые нужны?

mrbelyash комментирует...

12p0mah вы msconfig запускали?

mrbelyash комментирует...

12p0mah собственно могу к вам удаленно залезть и найти его. Пишите на почту.

Анонимный комментирует...

8987 935 4867 помогите с кодом

Елена комментирует...

сделала как написано в инструкции. перезагрузила комп, все осталось как прежде(((

mrbelyash комментирует...

Елена пишите на почту...удаленно к вам залезу и почищу

Максим комментирует...

Спасибо за инструкцию, очень подробно и доходчиво.
У касперского код расблокировки не нашел, у доктор-веба нашел, но он не подходил, а Ваша инструкция помогла.

Кстати у меня было в автозапуске было сразу два файла, оба в папке temp, но они тоже как и у Елены не нашлись. Причем еще до того, как нашел Вашу инструкцию, я в безопасном режиме удалил из папки temp все и скрытые и не скрытые файлы,но это никак не влияло на блокировку.
Когда удалял я просмотривал папку temp, и там не было этих "паразитов", я это точно помню, там вообще не было с расшерением exe, такие файлы у меня сразу бы вызвали подозрения.

Еще раз спасибо.

mrbelyash комментирует...

Максим есть пару вопросов...напишите мне на почту.

Максим комментирует...

Отправил Вам пиьмо :-)

Максим комментирует...

Не получается отправить Вам вирусы, почтовик против :-), подскажите как быть.

mrbelyash комментирует...

заархивировать с паролем-тут ни один антивир не чихнет

Анонимный комментирует...

380971218086 помогитес колом
зарание спасибо

Алексей комментирует...

Большое спасибо! Помогло! Правда на радости сразу их удалил, когда увидел расположение в "автозагрузке". Могу сказать телефон: 8-(987)-934-28-92.
Еще раз Спасибо!

Анонимный комментирует...

помогите, баннер с номером 9139512515 просят 500 р

Анонимный комментирует...

Спасибо, помогла инструкция.

mrbelyash комментирует...

А файлик чего мне не прислали ?
;(

Анонимный комментирует...

Инструкция хорошая, но не помогла. Ноут когда включашь, даже загрузки нет - сразу нужно выбрать пользователя и пароль. Клавиши F не работают. Просит смс на номер 8 917 127 9550 (номер не меняется!). Коды разблокировки не смог подобрать. Помогите.

Fouley комментирует...

Не помогло,после загрузки опять вылезло окно с номером +79171422447. Может есть у кого код? На сервисах пишут что кода нет.

mrbelyash комментирует...

так не бывает....безопасный режим стартует раньше чем появляется выбор пользователя.

Fouley комментирует...

В общем начудил я. Удалось запустить винду в безопасном режиме с поддержкой командной строки. Сделал откат системы,но вместо положенного профита у меня теперь пустой экран с обоями. В безопасном режиме всё запускается и работает,даже интернет. Что мне делать?(((

mrbelyash комментирует...

начудил?
Пиши на почту

Анонимный комментирует...

Спасибо, сделал все как в инструкции и помогло.

юрий комментирует...

Выбираю Восстановление службы каталогов, но загружается рабочий стол с банером(( по чему?

mrbelyash комментирует...

может со старого бюлдера...а безопасный с командной строкой?

юрий комментирует...

что под билдером подразумевать?

mrbelyash комментирует...
Этот комментарий был удален автором.
mrbelyash комментирует...

утилита которой их штампуют...в паблике 4 версии (насколько мне известно).хотя конечно судить просто по рисунку вкорне не верно..нужно иметь сам файл на руках для анализа.

юрий комментирует...

в смысле бюлдера?

юрий комментирует...

не интересовался чем их штампуют) но в безопасном зашел и банер тоже висел, вызвал диспетчер задач,но он моргал и все таки частыми нажатиями мышки снял задачу. но при этом я же видел что в диспетчере стояло в задачах, то есть название файла, вируса, я его записал,после снятия задачи, я его начал искать, нажал пуск и в поиске вбил его название,но не чего не нашлось(( и в автозагрузку зашел со значением ноль выключил. запустил комп в обычном режиме и он снова вышел(( опять в безопасном вошел банер висел, включил диспетчер задач он также моргал ,еле снял задачу и зашел в автозагрузку и значение посмотрел 0 , но уже стоит галочка включено((

perchik комментирует...

Огромное спасибо, что не оставили без внимания мою просьбу!Пока ждала ответа- справились с проблемой! так что файлик прислать не могу - удалили сразу!если будет такая проблема в дальнейшем, обязательно пришлю! Еще раз thanks!!!

Наталья комментирует...

СПАСИБО ОГРОМНОЕ, я все сделала по инструкции. До этого 2 дня промучались, думали уже переустанавливать Виндоуз.

Анонимный комментирует...

Спасибо отличная инструкция, всё удалили, всё работает...

Анонимный комментирует...

Подскажите пожалуйста. У меня виндовс 7 , и опция Восстановление службы каталогов (только на контролере домена Windows) отсутствует. Есть лиш безопасный режим, там отключал автозагрузку, но банер всеравно остался.

mrbelyash комментирует...

на почту пишите mrbelyash@yandex.ru

Alfar комментирует...

Прошу также помощи!

Сделал все по инструкции, но в автозагрузке пусто, в папке Temp и на рабочем столе ничего нет. Функция показа скрытых файлов и папок включена.

Единственное, что могу сделать - войти в режиме восстановления службы каталогов. Больше ничего критичного найти не могу.

На почту сообщение продублировал, заранее спасибо большое!

Владислав комментирует...

Огромное спасибо за помощь !!!! банер убрал но этот файл ___991.exe я тоже не могу найти ! подскажите как его обнаружить ?

Анонимный комментирует...

Спасибо, банер убрал, два скрытых файла в папке темп, __991.ехе и другой начинается с ноля, оба за архивировал и послал вам на почту.

Анонимный комментирует...

mr belyash ты в мэйле есть??

mrbelyash комментирует...

да есть

Анонимный комментирует...

прив пункт 5 не появлянтся

Анонимный комментирует...

подскажите плиз как убрать банер от мтс +79179483613

Riise комментирует...

Спасибо, друг! Весь день мучался из-за отца, который решил включить игрушку с раб.стола братику младшему - а в итоге словил данный баннер (wtf???). Благодаря твоей статье всё-таки одолел эту хрень. Спасибо)

Анонимный комментирует...

Этот трой только блокирует винду или еще пассы и данные ворует?

Анонимный комментирует...

У меня БИОС с f8 запускается, а безопасный режим нет.

mrbelyash комментирует...

на 1-3 секунды позже нажмите F8

Анонимный комментирует...

На баннере счет на оплату надо на Ваш адрес высылать.
Файлы заблокированы, баннер еле нашла, он просто в папочке на столе. Мне вот интересно, это они вашим адресом пользуются или это ваш продукт я словила?

Анонимный комментирует...

здравствуйте! я поимал бан виндовс заблокириван. у меня вин7 максимальная по вашей инструкцыи не получилось появился просто чёрный экран и всё! у меня стоит 3 системы заходил с другой лазал по папкам ни чего не нашёл! помогите не охото менять систему!

Анонимный комментирует...

Огромное спасибо , воспользовался инструкцией , баннер убрал но файлы к сожалению так и не нашел, лежали где то в папке temp . Дочистил уже окончательно Касперским

LA комментирует...

На почту вам выслал образец новой дряни. Находится в темпе, что забавно скрин выложенный в начале темы от него но ключи не подходят _)

mrbelyash комментирует...

в архиваторе паролем закрывали?
а то на почте ничего нет.

Airwolf комментирует...

WinLock обычно прописывается в HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon смотрим параметры "Shell" (значение должно быть "Explorer.exe" и больше ничего не добавлено) и "Userinit" (значение "C:\WINDOWS\system32\Userinit.exe," в конце строки должна быть запятая и тоже больше ничего лишнего). Если в этих параметрах записано что-то другое, то это и есть ваш винлок, исправляйте. Иногда в этой ветке все в порядке, тогда посмотрите HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon если есть параметр "Shell" то это ваш винлок, по указанному адресу можете найти сам файлик (отправить кому-либо, поюзать итд) после чего сам параметр "Shell" нужно удалить. Добраться до реестра можно через безопасный режим с поддержкой коммандной строки или LiveCD ERDCommander (там есть утилита редактирования реестра).
А вот так как говорит автор удалить не получится, из автозагрузки мы удалим только первопричину возникновения винлока, а не его последствия.

Анонимный комментирует...

Код разблокировки баннер на номер +79179486832

Анонимный комментирует...

помогите с кодом 8 987 960 06 25

mrbelyash комментирует...

http://mrbelyash.blogspot.com/2012/04/trojanwinlock3333-89879600625.html

mrbelyash комментирует...

код: 785767496269615

Анонимный комментирует...

Помогите с кодом 89879600174

mrbelyash комментирует...

Мне что вам на ночь вслух прочитать инструкцию?

Анонимный комментирует...

заблокировали комп вымогатели 500 р. Давно собирался занятся профилактикой. Нужна помощь!

Анонимный комментирует...

Все.вы гений. Просто гений.картинка исчезла.все работает.побоялись выполнить второй этап.и выслать вам папку!с вирусом.спасибо большое.праВда все виснет.и не очень хорошо все работает

Анонимный комментирует...

Спасибо, все отлично помогло, к сожалению, не записал номер гада, но помню что номер МТС зарегистрирован в Самарской области, код 987 ............ последняя цифра 01.

Анонимный комментирует...

Здрастье! Я поймал сегодня этот вирус с номером 89878150197. Может кто нить знает код? Все делал по инструкции не помогает.

Анонимный комментирует...

блокировка номер 380971566097 помогите

Анонимный комментирует...

Спасибо большое, вроде как помогло, но есть одна проблема, я не могу найти этого поразита

mrbelyash комментирует...

могу удаленно подключиться к вам и поискать

Анонимный комментирует...

Что для этого надо зделать

mrbelyash комментирует...

пишите на почту mrbelyash@yandex.ru

Анонимный комментирует...

ВСЕ ПРОШЛО на УРА!!! безмерно горжусь Вами
сам чайник, но справился
файл отправил на почту

Анонимный комментирует...

Здравствуйте! Поймали вирус, телефон 8(987) 965 53 51. По инструкции выйти на страницу не получается, появляются английские слова. Что Делать?

mrbelyash комментирует...

подробнее что там за слова?

Анонимный комментирует...

Спасибо Вам за подробную инструкцию. Все получилось, только в безопасный режим надо было зайти через F 5 на моем компьютере.
Удачи и процветания. Вы очень помогли (конец месяца).

Анонимный комментирует...

спасибо за инструкцию!
сегодня выловили новую версию - курсор не пускает за пределы окна банера.
за целый день, при помощи другого компа дошёл до загрузки винды и был пустой рабочий стол. прописал SHELL.EXE и свершилось чудо=)))
ещё раз спасибо!!!

Вячеслав комментирует...

Огромное спасибо, все заработало.

Анонимный комментирует...

Привет!
У меня винлок сидел в папке Temp.

Он был не из цифр начинающийся с нуля как например 0.7097480452486065.exe или 0.8341312541728995.exe.
Конкретно у меня файл назывался 124kkk290347.exe Имейте ввиду.

Сделал все по схеме на сайте. Отключил его из автозагрузки, перегрузился и все заработало.

Анонимный комментирует...

Спаибо ребята!

Анонимный комментирует...

все делаю по инструкции, но в автозагрузке ничего не нахожу как ни странно....а телефон +79874320703....попробовал через реестр там тоже не видно вируса....

mrbelyash комментирует...

сможете ветки реестра экспортировать ?

Анонимный комментирует...

Все сделал по инструкции. Вычислит антивирусником остатки. Баннера больше нет. Но вот беда, после загрузки системы автоматически выпадает меню "настройка системы", где во вкладке "Автозагрузка" по-прежнему виден элемент вируса показывающий командой в реестр. Несколько беспокоит. Как убрать этот "след"?

mrbelyash комментирует...

в редакторее реестра

Анонимный комментирует...

помогло -спасибо требовало деньги не кошелек B186943389719 и другие номера - все время разные. файл обозначался 81.exe . заархивировал вышлю на почту. а след (предыдущ пост) убрал при помощи ccleaner в разделе автозагрузка

Анонимный комментирует...

Спасибо. Помогло. Просило 300 грн на Вебмани U218213366864

Анонимный комментирует...

Спасибо за помощь!!!! Все помогло!!!

Анонимный комментирует...

Помогите с кодом вот номер 380975730701

Анонимный комментирует...

это же винлок созданый через Winlocker builder

mrbelyash комментирует...

да

Анонимный комментирует...

помогите с банером, 2000р на мтс +79137765842 в безоп. Режим не входит, ухоит на перезагрузку, моя почта pojsouz@mail.ru

Анонимный комментирует...

спасибки , сайт супер , всё сделал как написано , только баннер чуток другой , не украинский а русский , и ещё попотел чуток-у меня 7 а не XP,а ток всё круто спасибо большое

Анонимный комментирует...

У меня стоит седьмая винда и когда я нажимаю F8 у меня появляются ссылки только на безопасный режим и обычную загрузку. Что мне делать?


Заранее благодарю.

Анонимный комментирует...

Всё я разобралась, оказывается можно просто в безопасном режиме провести восстановление данных, долго, но действует

Анонимный комментирует...

удалила clownfish.... все заработало!

Анонимный комментирует...

Не получается зделать по инструкции. Этот гадёныш клавиатуру блокирует. не могу ничего выбрать, запускается обычная загрузка. Как быть?

Max Sokulsky комментирует...

А в безопасном режиме откат запустить тоже не можете?
клава usb ?

Анонимный комментирует...

Подскажите пожалуйста, при попытке удалить он открылся и все заново пошло-поехало.
При повторе процедуры выяснилось что у меня теперь их 2 одинаковых. Как быть? Вам копию отправил на почту.
Спасибо

Max Sokulsky комментирует...

на почту в архиве под паролем отправляйте..не пришло

Анонимный комментирует...

ИНСТРУКЦИЯ НЕ ПОМОГАЕТ,МОЖЕТ ДЛЯ ВИСТА НУЖНА ДРУГАЯ. МОЖЕТ КТО ПОМОЖЕТ ,РЕБЕНОК-ИНВАЛИД ПЛАЧЕТ:( ,А НИЧЕМ НЕ МОГУ ПОМОЧЬ. В КОМПЬЮТЕРАХ НЕ РАЗБИРАЮСЬ .ПРОСЯТ ПРИСЛАТЬ 2000 НА НОМЕР +79137832143 МНЕ ТАКУЮ СУММУ БЫСТРО НЕ СОБРАТЬ.

Max Sokulsky комментирует...

а вот так?
http://stop-winlock.ru/manual/375-drweb-livecd-beta-vs-winlock.html

Max Sokulsky комментирует...

вы напишите что именно не получается

Анонимный комментирует...

Дохожу до 5 пункта и дальше без выбора "да" или "нет" начинается загрузка и опять появляется эта гадость :(

Max Sokulsky комментирует...

попробовать безопасный режим с поддержкой командной строки

Анонимный комментирует...

ПОМОГИТЕ ВЫСКОЧИЛ БАННЕР ПРОСЯТ 2000 РУБЛЕЙ НА НОМЕР +79138994254 за раннее большое спасибо

Анонимный комментирует...

Помогите выскочил банер просят 2000 руб телефон +79137832143 на который нужно положить,заранее спасибо

Анонимный комментирует...

Мужик, жму тебе руку и снимаю шляпу, спасибо огромное!!! Случайно наткнулся на твою инструкцию когда уже в отчаянии хотел жёсткий диск менять, т.к. эта погань не давала даже винду переустановить...

Анонимный комментирует...

Спасибо!

Анонимный комментирует...

спасибо, вы меня спасли. 3 дня мучалась, а с вашей помощью за 5 минут вылечила комп. *Алёна, схватившая 3 вируса разом

Анонимный комментирует...

89104594132
код 11111111113

Респект вам ребята!!!:-) огромное спасибо!:-) как вот и что теперь вам перекинуть?

Max Sokulsky комментирует...

В смысле? Я вроде ничего у вас не просил.

Анонимный комментирует...

89162953797 просят закинуть 1200 руб. Что делать? Помогите пожалуйста!

Анонимный комментирует...

Помогите пожалуйста, по инструкции не получается.

Max Sokulsky комментирует...

что именно не получается?

Георгий Оськин комментирует...

496915725307498 код

Георгий Оськин комментирует...

Вот должно помочь 50504404

Анастасия Дорис комментирует...

Здравствуйте, Max Sokulsky! Помогите,пожалуйста! у меня windows 8, не все получается,что вы описали. Может вы знаете код для номера 911 793 30 69

Анонимный комментирует...

На компе trojan.winlock.3333 по вашей инструкции прошлась, но на рабочий стол файл не выкидывается....перед этим dr.web запускала, вроде он все удалил, а картинка та же! в папке temp ничего такого, как описано у Вас нет! Номер кошелька 79054019914!
Помогите пожалуйста!!!

Анонимный комментирует...

мужик что бы у тебя руки не болели, респект и уважуха

Анонимный комментирует...

Ааааааааааа я в панике я всё По инсирукции делаю и не чего не могу(( помогите плизз