Rene-gad
29.04.2009, 20:38
Удаление Trojan-Ransom.Win32.Blocker своими руками
1. Если есть доступ к интернет
На http://news.drweb.com/show/?i=304&c=5 находится постоянно пополняемый генератор кодов разблокировки.
Если доступа нет - подождать пару часов или воспользоваться советом О.Зайцева
Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
http://images.kaspersky.com/ru/pictures/vlweblog/207758830.png
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:
1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.
Оригинальная статья: http://www.viruslist.com/ru/weblog?weblogid=207758824
После разблокирования системы:
2. Скачать и попытаться вылечить самому с помощью AVPTool (http://avptool.virusinfo.info/), Dr.Web CureIt (http://www.freedrweb.com/download+cureit/); LiveCD от имеющего их АВ производителя (Dr.Web (http://www.freedrweb.com/livecd/), VBA (ftp://anti-virus.by/pub/vbarescue-beta.iso)).
3. Если знаете как пользоваться программой АВЗ (http://z-oleg.com/avz4.zip) - удалить с помощью неё остатки вирусов.
Если вы не уверены в своих силах и знаниях, лучше не прибегать к самостоятельному лечению и после разблокировки обратиться к нашим специалистам по правилам (http://virusinfo.info/pravila.html). После их выполнения вам помогут.
1. Если есть доступ к интернет
На http://news.drweb.com/show/?i=304&c=5 находится постоянно пополняемый генератор кодов разблокировки.
Если доступа нет - подождать пару часов или воспользоваться советом О.Зайцева
Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
http://images.kaspersky.com/ru/pictures/vlweblog/207758830.png
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:
1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
http://images.kaspersky.com/ru/pictures/vlweblog/207758826.jpg
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
http://images.kaspersky.com/ru/pictures/vlweblog/207758827.jpg
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.
Оригинальная статья: http://www.viruslist.com/ru/weblog?weblogid=207758824
После разблокирования системы:
2. Скачать и попытаться вылечить самому с помощью AVPTool (http://avptool.virusinfo.info/), Dr.Web CureIt (http://www.freedrweb.com/download+cureit/); LiveCD от имеющего их АВ производителя (Dr.Web (http://www.freedrweb.com/livecd/), VBA (ftp://anti-virus.by/pub/vbarescue-beta.iso)).
3. Если знаете как пользоваться программой АВЗ (http://z-oleg.com/avz4.zip) - удалить с помощью неё остатки вирусов.
Если вы не уверены в своих силах и знаниях, лучше не прибегать к самостоятельному лечению и после разблокировки обратиться к нашим специалистам по правилам (http://virusinfo.info/pravila.html). После их выполнения вам помогут.