# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Блокировка Windows

## bolshoy kot

Файл распространяется как xvidDecoder_nn_.exe (_n_ - цифры) с сайтов порнографического содержания, рекламируемых всплывающими баннерами. При запуске извлекает (загружает из Интернета?) файл и сохраняет его как файл с расширением *.tmp (например, _don1.tmp_) в папку временных файлов. Затем файл запускается на выполнения. При этом файл создает файл с расширением BIN и остается в процессах. При этом файл don1.tmp регистрируется в ключе автозапуска Userinit вместе с настоящим userinit.exe. После перезагрузки файл запускается и выводит сообщение "Windows заблокирован" с предложением отправить SMS. Загрузка в безопасном режиме также заканчивается предложением ввести код.
Удаление:
*Вариант 1. Использование калькулятора кода*
http://news.drweb.com/show/?i=304&c=5&p=0&lng=ru
С вариациями вируса, требующими отправить не только цифры, но и букву перед ними, работает не всегда.
*Вариант 2. Использование Windows LiveCD, другой Windows или иного LiveCD*
1. Загрузится с LiveCD
2. Найти и удалить файл blocker.exe и blocker.bin
3. Найти во временной папке файл *.tmp имеющий двойника *.bin и удалить их
4. По возможности отредактировать реестр HKLM\Software\Microsoft\Windows NT\Winlogon, параметр Userinit, оставить лишь *C:\WINDOWS\system32\userinit.exe,*, вместо *C* может быть другая буква, если диск ОС не *C:*, тогда букву не менять, то есть удалить все после *userinit.exe,*. Запятую оставить!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## priv8v

это описание?

----------


## SDA

> Файл распространяется как xvidDecoder_nn_.exe (_n_ - цифры) с сайтов порнографического содержания, рекламируемых всплывающими баннерами. При запуске извлекает (загружает из Интернета?) файл и сохраняет его как файл с расширением *.tmp (например, _don1.tmp_) в папку временных файлов. Затем файл запускается на выполнения. При этом файл создает файл с расширением BIN и остается в процессах. При этом файл don1.tmp регистрируется в ключе автозапуска Userinit вместе с настоящим userinit.exe. После перезагрузки файл запускается и выводит сообщение "Windows заблокирован" с предложением отправить SMS. Загрузка в безопасном режиме также заканчивается предложением ввести код.
> Удаление:
> А) http://tinyurl.com/DrWebCalculator
> Б)
> 1. Загрузится с LiveCD
> 2. Найти и удалить файл blocker.exe и blocker.bin
> 3. Найти во временной папке файл *.tmp имеющий двойника *.bin и удалить их


Не все так просто, например http://virusinfo.info/showthread.php?t=43896
Поэтому после самолечения необходимо сделать логи в соответствии с правилами http://virusinfo.info/pravila.html для дальнейшей очистки системы. Даже если вышеуказанные последствия не наступят, чистку реестра от следов зловреда, без классифицированной помощи хелпера, простой пользователь не проведет.

----------


## bolshoy kot

AndreyKa, ссылка на оригинал, вставленная Вами у меня не открывает калькулятор кода, поэтому и дал свою.

----------


## AndreyKa

Тогда, вам, в раздел Помогите стоит обратиться.

----------


## bolshoy kot

> Тогда, вам, в раздел Помогите стоит обратиться.


Т.е.? У вас открывается калькулятор?
p.s. теперь у меня все открывается

----------


## puzatik10

Удаление:
*Вариант 1. Использование калькулятора кода*
http://news.drweb.com/show/?i=304&c=5&p=0&lng=ru
С вариациями вируса, требующими отправить не только цифры, но и букву перед ними, не работает.



А у меня получиось, сработало. Спасибо

----------


## paha2

А как защищаться от подобной гадости?? я один раз словил эту гадость, но обошолся удалением учетной записи и созданием новой (благо у меня учетка не одна)! А вот знакомый попался на более жесткую вещь, у него ничего не работало, полностью был заблокирован комп, даже не получалось откатиться с загрузочного acronis true image, пришлось винду переустанавливать.

----------


## SDA

> даже не получалось откатиться с загрузочного acronis true image, пришлось винду переустанавливать.


Что то фантастическое  :Smiley:  или скорее всего неправильная работа с программой, ошибки при создании образа. Кстати, наряду с загрузкой образа с внешнего носителя, существует загрузка акрониса до загрузки ОС нажатием F11 (восстановление из "безопасной зоны" созданной программой на харде, где установлена ОС).

----------


## bolshoy kot

*paha2*, не ставить кодеки для просмотра видео с подозрительных сайтов.

----------


## ZZot

12082011.jpg

народ, подскажите пожалуйсто, что это за зверь и как с ним бороться? извините,если не в той ветке написал. аська 581837498

----------


## thyrex

*ZZot*, я ответил Вам в дневнике

----------

