22 Окт 2010

В разделе Советы

Разблокировать Windows через терминал?

Мой постоянный читатель Вова Макаров из Контакта сообщил мне на днях,  что мошенники, заставляющие платить за разблокировку Windows изменили тактику и теперь    просят не отправлять СМС, а платить через терминалы. Код для разблокирования Windows должен придти якобы на чеке. Разумеется это обман. Однако следует заметить, что способ, описанный http://shperk.ru/sovety/ochen-prostoj-sposob-spravit… несколько изменился. Однако не слишком сильно.

Давайте почитаем, что теперь пишут мошенники:

Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счет абонента БИЛАЙН №89055449221 на сумму 400 рублей
После оплаты, на выданном терминалом чеке оплаты, Вы найдете, который необходимо ввести в поле, расположенное ниже
По завершении оплаты, на выданном чеке оплаты, Вам будет выдан код разблокировки, который необходимо ввести в форму расположенную ниже. После разблокировки системы, Вам необходимо удалить все незаконно размещенные материалы на Вашем ПК.
В случае отказа от платы, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены, в связи с угрозой Вашего ПК пользователям сети Интернет. пароли выложенные на сайте не помогают.

Как видим, ничего нового. разве что вместо СМС появились терминалы. Хрен редьки не слаще. По-прежнему следует понимать, что платить мошенникам ни за какие «услуги» не следует. Виндоус надо лечить. Причина всех этих блокировок — банальный вирус. Даже если вы заплатите, вирус в компьютере останется и кто знает, когда он в очередной раз проснется?

По сути, все рекомендации, данные мной в статье Очень простой способ справиться с вымогателями, или “Microsoft заблокирован,  для разблокировки отправьте sms на номер 3055. У вас з часа” сохраняют свою силу.

Хотя кое-что все же следует помнить:

  1. Заблокировали Windows — не пугаемся, а звоним другу и просим открыть страницу http://www.drweb.com/unlocker/index/ и заполняем поля «Номер» и «Текст СМС»
  2. Если вас просят пополнить счет через терминал, а не отправить смс, то вводите просто номер этого счета в поле «Номер» , а поле «Текст смс» оставляете пустым.
  3. Если вас просят пополнить счёт, который выглядит как idxxxxxxx, то отбрасываем id и вводим в поле (номер) только цифры.
  4. Если номер выглядит, как 8xxxxxxx, то пробуем вводить в поле (номер) номер с 8 и без восьмерки и проверяем все коды.

Вот и все. После этого прогоняете компьютер антивирусом. например, бесплатным антивирусом Cure.iT от того же доктора Веба. Можно прогнать антивирусом Зайцева (AVZ).

Обязательное условие — загрузите новую версию антивируса. Тот, который у вас стоял (если стоял) почему-то пропустил вирус. Возможно, вирус его заблокировал или повредил. Так что загружайте новый.

Будьте осторожны при лечении. В последнее время часто попадаются сообщения, что при удалении вируса можно повредить системные файлы и Виндовс потом восстановить будет очень сложно. У меня недавно была именно такая ситуация — оказалось, что проще переустановить Windows 7, нежели восстановить ее после последствий некорректного лечения антивирусом Avira, который стоял на домашнем компьютере.

Если по каким-то причинам технология «Звонок другу» не работает, то можно попытаться воспользоваться загрузочным диском Windows (LiveCD). Если у вас нет такого диска, то обязательно скачайте образ и создайте его — в момент «Ч» он может вам очень пригодиться.

Вот как описывает процесс такого леченияСергей0011 на сайте Dr.Web:


Лечим Trojan.Winlock.2194.


Симптомы уже описаны ниже: черный экран, злобное сообщение о блокировке Виндовс в результате якобы пиратского использования ПО, требуется отправить 400 рублей на некий телефон оператора БИЛАЙН. Я излечил данный недуг с помощью BartPE, можно также использовать и LiveCD и любую другую приблуду, загружающую операционку с CD, лишь бы до реестра добраться. Грузим операционку с CD, Пуск — Выполнить вводим команду regedit(редактирование реестра), появляется редактор реестра, но не тот что нам нужен. Нам нужен реестр того пользователя из-под которого работает вирус. Для этого в открывшемся редакторе реестра выбираем ветку HKEY_USERS, открываем её. Выбираем меню Файл — Загрузить куст. В появившемся окне ищем папку с нужным нам пользователем. Обычно это C:\Documents and Settings\нужный пользователь\ В этой папочке находим файл ntuser.dat выбираем его и жмем Открыть. В следующем окне вводим имя ветки HKEY_CURRENT_USER жмем ОК. Во вновь загруженной ветке находим раздел RUN он располагается по такому пути:HKEY_USERS\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Вот здесь мы и найдем первую половину камня преткновения. У меня это был параметр PC Health Status со значением C:\Documents and Settings\user\Application Data\iqjeqdpg.exe Сразу видно белиберда какая то. Безжалостно мочим этот параметр. А вместе с ним и файл, расположенный по этому пути. Смотрим мож еще чего нить там заблудилось неправильного на ваш взгляд с подобной белибердой. Но аккуратненько, можно и лишнего замочить. В общем в этой ветке дело сделано. Снова выбираем ветку HKEY_USERS, там выделяем нашу загруженную HKEY_CURRENT_USER и жмем Файл — Выгрузить куст. Далее загружаем куст HKEY_LOCAL_MACHINE. Для этого вновь Файл — Загрузить куст, идем по следующему пути c:\Windows\System32\config, там выбираем куст под наименованием software, загружаем его в окне с именем раздела пишем тоже software. В данной ветке идем по пути HKEY_USERS\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Здесь также удаляем тот же самый параметр PC Health Status У вас может быть и что то другое, так же смотрим на наличие неких посторонних параметров, их тоже удаляем. Далее обязательно идем по ветке HKEY_USERS\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем параметр Shell, его значение должно быть только explorer.exe, если оно иное, запоминаем путь до вредоносного файла, прописанного в данном параметре и удаляем этот файл, изменяем параметр на explorer.exe. После всего этого пробуем перезагрузиться уже с нормальной операционкой а не с CD… и поздравляем себя, и интернет!

Описано все верно. Кстати, очень часто после лечения пользователи жалуются на то, что диспетчер задач блокирован администратором. Справиться с проблемой можно путем правки ветви реестра < «HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System» из которой нужно удалить  «DisableTaskMgr»

Диспетчер задач станет доступен.

 

Метки:

  • http://shperk.ru shperk

    Базу dr.Web смотрели? Ссылка есть в статье

  • danil

    да у меня также ,весь интернет облазил нечего нету 1500 просят через терминал

  • Ne Kto Ne Chto

    красно белый экран через терминал просит 900 р на номер билайн ну где такой 89688989341 что делать незнаю уже всё перепробывал

  • http://shperk.ru shperk

    Похоже, что на ваш случай противоядия пока нет…

  • Настя

    просят на абонент билайн 79054015380 положить 1000 рублей. все сайты посмотрела,нигде нет подходящего кода,даже доктор веб не помог,пишет,что не нашел :с

  • Настя

    все сайты посмотрела,кода подходящего нигде нет. просят пополнить счет абонента билайн +79054015380 на сумму 1000 рублей. док. веб не помог

  • Novosadv

    у меня требует внести 2000 р.на 79831253617 и внести номер лицевого счёта с чека.

  • Viktormail1990

    добрые люди помогите 
     не могу найти код на номер 89652915736
     просить оплатить через терменал  900 рублей

  • Natasha Morozowa-83

    У МЕНЯ ПРОСИТ ВНЕСТИ 1000 РУБ НА НОМЕР +79876528713

  • Smagomed

    просит внести 500 р на номер 8 909 4308849 внести надо код помогите уничтожают магомед

  • http://shperk.ru shperk

    Воспользуйтесь LiveCD — грузитесь с него и открываете для редактирования реестр зараженной системы

  • Lelya9531

    Как почистить реестр с диска?на заблокированном компьютере?который не открывает безопасный режим?

  • http://shperk.ru shperk

    Увы, не всегда помощь может подоспеть оперативно. Попробуйте загрузиться с CD и почистить реестр

  • Jo777

    Автору огромное спасибо!!! Подробно и понятно объяснил универсальный способ борьбы с блокираторами любого вида.

  • Gelred

    Пишет то же самое только номер 89117063002

  • Gelred

    Требует положить на номер как написано МТС 89117063002       500руб, помогите пожалуйста. Коды пробовал не подходят и ПК не переходит на английский язык. Буду очень благодарен

  • Zaharovanatoliy

    Помогите, пожалуйста, не знаю что делать: просит 500 рублей на терминал. Коды от доктора Веба не подходят, что делать???

  • Bob354

    У меня требует внести 500 р на 7-917-955-89. 

  • Pingback: Блокировка Windows троянами (устранение проблемы) | Обрывки страниц...()

  • Foxy-ksu

    народ помогите не могу найти код на номер мтс 89182027910 просить оплатить через терменал 400 рублей все перепробывала уже плакать начела…..!!очень буду презнательна за помощь….

  • dim

    У меня требует внести 500 р на 89652661413. Коды на Вэбе не помогли, Каспер изучает новую проблему.

  • http://shperk.ru shperk

    Спасибо за развернутый отчет.
    Пароли действительно сейчас все чаще не поспевают за новыми вирусами.
    Но способы борьбы все же есть.

  • Tony_K

    Провоевал с этим вирусом 9 часов. Признаюсь большую часть времени я
    делал себе LiveCD на нетубуке, но все же)
    Могу описать ситуацию так:
    Коды
    и пароли пока что к таким вирусам не поспевают. Самое эффективное —
    чистка реестра.
    В моем случае косяк был в строке:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

    NTCurrentVersionWinlogon в параметре Shell
    НО! хочу сделать
    правку! Загружать куст software из папки C:WindowsSystem32config
    нужно в ветке HKEY_USERS и по факту этот куст будет разворачиваться в
    реестре (открытом из под LiveCD) в
    виде:HKEY_USERSsoftwareMicrosoftWindows
    NTCurrentVersionWinlogon
    это
    такой коммент для чайников вроде меня к способу указанному в материале
    автора

    Так вот!
    Параметр shell у меня имел значение не
    explorer.exe (как и должен был быть), а:
    C:Documents and
    SettingsAll UsersApplication Data22CC6C32.exe
    По этому же адресу
    лежит и сам вирус.

    НО! Его удаление и правка реестра вас не
    спасут. При перезагрузке он появится снова. Потому что вирус поражает
    файлы USERINIT.EXE и TASKMGR.EXE в папке System32 из которых и
    восстанавливается. Я слил их с нетбука (благо одинаковые операционки) и
    заменил прямо из под LiveCD. Перезагрузился, рабочий стол, иконки все на
    месте. Касперский с радостным визгом сообщил мне что у меня заражены
    эти 3 файла. Что это за крик отчаяния я честно не понял, но разрешил ему
    их «вылечить».

    PS Попутно в папке Application Data я удалил файл
    с именем вроде SS888888oo.exe. Ни дата его создания, ни название, ни
    набор букв вместо имени разработчика доверия у меня не вызвали. Пока
    система работает стабильно!

    Спасибо всем кто разбирается с
    проблемой и пытается помочь!  Провоевал с этим вирусом 9 часов. Признаюсь большую часть времени я
    делал себе LiveCD на нетубуке, но все же)
    Могу описать ситуацию так:
    Коды
    и пароли пока что к таким вирусам не поспевают. Самое эффективное —
    чистка реестра.
    В моем случае косяк был в строке:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

    NTCurrentVersionWinlogon в параметре Shell
    НО! хочу сделать
    правку! Загружать куст software из папки C:WindowsSystem32config
    нужно в ветке HKEY_USERS и по факту этот куст будет разворачиваться в
    реестре (открытом из под LiveCD) в
    виде:HKEY_USERSsoftwareMicrosoftWindows
    NTCurrentVersionWinlogon
    это
    такой коммент для чайников вроде меня к способу указанному в материале
    автора

    Так вот!
    Параметр shell у меня имел значение не
    explorer.exe (как и должен был быть), а:
    C:Documents and
    SettingsAll UsersApplication Data22CC6C32.exe
    По этому же адресу
    лежит и сам вирус.

    НО! Его удаление и правка реестра вас не
    спасут. При перезагрузке он появится снова. Потому что вирус поражает
    файлы USERINIT.EXE и TASKMGR.EXE в папке System32 из которых и
    восстанавливается. Я слил их с нетбука (благо одинаковые операционки) и
    заменил прямо из под LiveCD. Перезагрузился, рабочий стол, иконки все на
    месте. Касперский с радостным визгом сообщил мне что у меня заражены
    эти 3 файла. Что это за крик отчаяния я честно не понял, но разрешил ему
    их «вылечить».

    PS Попутно в папке Application Data я удалил файл
    с именем вроде SS888888oo.exe. Ни дата его создания, ни название, ни
    набор букв вместо имени разработчика доверия у меня не вызвали. Пока
    система работает стабильно!

    Спасибо всем кто разбирается с
    проблемой и пытается помочь!

  • http://shperk.ru/shperk/aHR0cDovL3d3dy5mYWNlYm9vay5jb20vcGVvcGxlL9CQ0L3RgtC+0L0t0JrQu9Cw0L/QvtGD0YHQvtCyLzEwMDAwMTA3OTI5MDQzNA== Антон Клапоусов

    Провоевал с этим вирусом 9 часов. Признаюсь большую часть времени я делал себе LiveCD на нетубуке, но все же)
    Могу описать ситуацию так:
    Коды и пароли пока что к таким вирусам не поспевают. Самое эффективное — чистка реестра.
    В моем случае косяк был в строке:
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
    NTCurrentVersionWinlogon в параметре Shell
    НО! хочу сделать правку! Загружать куст software из папки C:WindowsSystem32config нужно в ветке HKEY_USERS и по факту этот куст будет разворачиваться в реестре (открытом из под LiveCD) в виде:HKEY_USERSsoftwareMicrosoftWindows
    NTCurrentVersionWinlogon
    это такой коммент для чайников вроде меня к способу указанному в материале автора

    Так вот!
    Параметр shell у меня имел значение не explorer.exe (как и должен был быть), а:
    C:Documents and SettingsAll UsersApplication Data22CC6C32.exe
    По этому же адресу лежит и сам вирус.

    НО! Его удаление и правка реестра вас не спасут. При перезагрузке он появится снова. Потому что вирус поражает файлы USERINIT.EXE и TASKMGR.EXE в папке System32 из которых и восстанавливается. Я слил их с нетбука (благо одинаковые операционки) и заменил прямо из под LiveCD. Перезагрузился, рабочий стол, иконки все на месте. Касперский с радостным визгом сообщил мне что у меня заражены эти 3 файла. Что это за крик отчаяния я честно не понял, но разрешил ему их «вылечить».

    PS Попутно в папке Application Data я удалил файл с именем вроде SS888888oo.exe. Ни дата его создания, ни название, ни набор букв вместо имени разработчика доверия у меня не вызвали. Пока система работает стабильно!

    Спасибо всем кто разбирается с проблемой и пытается помочь!

  • [DS]

    помогите плиз!!!! просят оплатить через любой терминал быстрой оплаты счёт билайн№9650497942 пробовал вводил номер в доктор веб коды которые он выдал не подошли

  • Vaipishnick

    А вот, собственно LiveCD&USB ьам и инструкции по созданию есть, качаем
    http://oni-ne-proidut.ru/goodsoft.html
    LiveCd&USB скачаете и загрузитесь с него.

  • Гость

    требует код на 89653585028 и номер терминала. без номера терминала код не отправляется что делать

  • B Bulanow2009

    Большое спасибо! Помогло!

  • vika

    помогите плиз!!!! просят пополнить счет билайн 9654272469 через терминал на сумму зоо рублей …..не могу нигде коды на этот номер найти …..вводила номер в доктор веб коды которые он выдал неподош_ли заранее спасибо)))безопасный режим не работает и вводятся только цифры(

  • vika

    помогите плиз!!!! просят пополнить счет билайн 9654272469 через терминал на сумму зоо рублей …..не могу нигде коды на этот номер найти …..вводила номер в доктор веб коды которые он выдал неподош_ли заранее спасибо)))безопасный режим не работает и вводятся только цифры(

  • Aspen-rubiroid

    У меня тоже белый экран на мониторе и просят пополнить счет абонента билайн 89670958192 на 500 рублей.Помогите пожалуйста?

  • http://shperk.ru shperk

    Попробуйте следующие коды разблокировки:

    1. CHILDREN OF DUNE
    2. FRANK HERBERT
    3. gbpltw
    4. RAMMSTEIN
    5. 70000004
    6. 16342131
    7. qwaszxvbh
    8. put
    9. izvini (для ввода кода использовать комбинацию Win+R)
    10. relby7534
    11. kaka
    12. sorysory
    13. sy4ki
    14. PLANET HELL
    15. planet hell
    16. WISH I HAD AN ANGEL
    17. Feed mi haed
    18. FEED MY HEAD
    19. 31428961
    20. LORD OF THE LAST DAY
    21. WE ROCK
    22. 8059547
    23. 80640897
    24. SHAME ON THE NIGHT
    25. NOGLUES
    26. DNKEYS
    27. poputal
    28. in-male
    29. pret
    30. 123456
    31. lord
    32. bingo
    33. zxas12345
    34. kisskiss
    35. йц321
    36. zx123456
    37. qw12345
    38. qwas12345
    39. as12345
    40. qa321
    41. TNMTTF
    42. 73050487
    43. 36420102
    44. 128
    45. dfvgbh789
    46. 99105784
    47. 11111 (ввести во все поля, пробовать 2 раза)
    48. VALDEZ
    49. Ввести 11111 во все поля, повторить ввод 2 раза
    50. DNRATE
    51. 80633210
    52. 8893020
    53. DNITEMS
    54. 232999757
    55. DUCK HUNT
    56. DTLP
    57. SHAZAM
    58. SKY DESTROYER
    59. Ввести 11111 во все три поля, нажать «закрыть», 2 раза подряд
    60. TETRIS
    61. DIGGER
    62. avc0cet
    63. s1d0r
    64. p1d0r

  • Lexx12s

    у меня белый экран просят пополнить счет абонента билайн 89637733948 на сумму 500 рублей помогите пожалуйста пока комп не сломал

  • http://shperk.ru shperk

    Не надо переводить никаких денег. В статье четко расписан алгоритм
    действий.

  • http://shperk.ru shperk

    Не надо переводить никаких денег. В статье четко расписан алгоритм
    действий.

  • Cuwak

    на номер 8(906)7982926 тоже просили положить 500 рублей…. Но я скорее винду переустановлю или комп с десятого этажа скину, чем этим пи…..расам платить буду….

  • http://shperk.ru shperk

    найдите код для разблокировки на сайте Касперского или Доктора Веба. ссылка
    есть в статье

  • Ego0rov

    просят отправить 500р на номер89091575373

  • Dmitry

    Респект за статью, все сделал как написано и заработало!!!!
    единственное, пропали иконки с рабочего стола, сами проги работают.
    До это пытался найти коды, прогонял Касперским и Cureit’ом. Cureit в результате удалил вирус, а статейка помогла избавиться от банера.

    тема была вот такая, в черно-красным тонах:

    На выданном чеке будет написан код доступа к системе. Введите его в форму ниже. яяяя$ ОПЛАТА С ВАШЕГО МОБИЛЬНОГО ТЕЛЕФОНА: яяяя* Если Вы абонент МТС, введите команду *115# яяяя; После оплаты, в ответном СМС придет код доступа к системе. ‹ яяяя¤ Ваша операционная система заблокирована за нарушение использования сети интернет.
    Обнаружены следующие нарушения:
    Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии.
    Данная блокрировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
    Для разблокировки операционной системы вам необходимо оплатить 400 рублей.
    яяяяЙ После разблокировки системы. Вам необходимо удалить все материалы порнографического содержания.

    Внимание!
    Все файлы на вашем винчестере зашифрованы криптостойким алгоритмом ГОСТ 28147-89.
    Не пытайтесь самостоятельно удалить защитный механизм.
    Это сделает невозможным расшифровку файлов, и последующую разблокировку Вашего ПК
    У вас есть 24 часа для введения кода разблокировки, в противном случае все документы, фото, видео материалы будут удалены.

  • http://shperk.ru shperk

    Боюсь что тут, не видя вашего экрана, я ничем помочь вам не смогу.

  • Дима

    не могу найти то окно в которое нужно вводить код! помогите!

  • http://shperk.ru shperk

    Следовали инструкциям по запуску CureIt? Для борьбы с такими гадами его надо
    запускать в безопасном режиме, по возможности отключив все сервисы, которые
    только возможно.

  • http://shperk.ru shperk

    Следовали инструкциям по запуску CureIt? Для борьбы с такими гадами его надо
    запускать в безопасном режиме, по возможности отключив все сервисы, которые
    только возможно.

  • http://shperk.ru shperk

    Следовали инструкциям по запуску CureIt? Для борьбы с такими гадами его надо
    запускать в безопасном режиме, по возможности отключив все сервисы, которые
    только возможно.

  • http://shperk.ru shperk

    Следовали инструкциям по запуску CureIt? Для борьбы с такими гадами его надо
    запускать в безопасном режиме, по возможности отключив все сервисы, которые
    только возможно.

  • Bujhm

    — на буквах это выглядит всё очень ровно и просто.
    Следуя написанному, разблокировал троянскую засаду кодом сгенерированым на ДрВеб сайте, затем проверил свеженьким Curet. Но вот что-то скан ничего не нашол О_о. А ведь кабанчик-то есть (с). И кабанчик не первой свежести. {небольшое панико}

  • Alex55 76

    Вирус поймал при скачивании музыки с какого-то сайта. Так что аккуратнее ребятки.
    Для тех кто оказался в этой ситуации совет — не суетитесь. Пробуйте те коды, которые сообщают на форумах по этой теме. Если коды не подходят — подождите денёк — появиться новый код, который закроет баннер. Я «словил» вирус вчера, коды не помогли, сегодня закрыл свеженьким, сегодня это был DNSTUFF. Когда баннер закроется обязательно найдите вирус антивирусником!

  • Pingback: отправить смс на билайн « Эхо блогосферы()