22 Окт 2010

В разделе Советы

Разблокировать Windows через терминал?

Мой постоянный читатель Вова Макаров из Контакта сообщил мне на днях,  что мошенники, заставляющие платить за разблокировку Windows изменили тактику и теперь    просят не отправлять СМС, а платить через терминалы. Код для разблокирования Windows должен придти якобы на чеке. Разумеется это обман. Однако следует заметить, что способ, описанный http://shperk.ru/sovety/ochen-prostoj-sposob-spravit… несколько изменился. Однако не слишком сильно.

Давайте почитаем, что теперь пишут мошенники:

Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счет абонента БИЛАЙН №89055449221 на сумму 400 рублей
После оплаты, на выданном терминалом чеке оплаты, Вы найдете, который необходимо ввести в поле, расположенное ниже
По завершении оплаты, на выданном чеке оплаты, Вам будет выдан код разблокировки, который необходимо ввести в форму расположенную ниже. После разблокировки системы, Вам необходимо удалить все незаконно размещенные материалы на Вашем ПК.
В случае отказа от платы, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены, в связи с угрозой Вашего ПК пользователям сети Интернет. пароли выложенные на сайте не помогают.

Как видим, ничего нового. разве что вместо СМС появились терминалы. Хрен редьки не слаще. По-прежнему следует понимать, что платить мошенникам ни за какие «услуги» не следует. Виндоус надо лечить. Причина всех этих блокировок — банальный вирус. Даже если вы заплатите, вирус в компьютере останется и кто знает, когда он в очередной раз проснется?

По сути, все рекомендации, данные мной в статье Очень простой способ справиться с вымогателями, или “Microsoft заблокирован,  для разблокировки отправьте sms на номер 3055. У вас з часа” сохраняют свою силу.

Хотя кое-что все же следует помнить:

  1. Заблокировали Windows — не пугаемся, а звоним другу и просим открыть страницу http://www.drweb.com/unlocker/index/ и заполняем поля «Номер» и «Текст СМС»
  2. Если вас просят пополнить счет через терминал, а не отправить смс, то вводите просто номер этого счета в поле «Номер» , а поле «Текст смс» оставляете пустым.
  3. Если вас просят пополнить счёт, который выглядит как idxxxxxxx, то отбрасываем id и вводим в поле (номер) только цифры.
  4. Если номер выглядит, как 8xxxxxxx, то пробуем вводить в поле (номер) номер с 8 и без восьмерки и проверяем все коды.

Вот и все. После этого прогоняете компьютер антивирусом. например, бесплатным антивирусом Cure.iT от того же доктора Веба. Можно прогнать антивирусом Зайцева (AVZ).

Обязательное условие — загрузите новую версию антивируса. Тот, который у вас стоял (если стоял) почему-то пропустил вирус. Возможно, вирус его заблокировал или повредил. Так что загружайте новый.

Будьте осторожны при лечении. В последнее время часто попадаются сообщения, что при удалении вируса можно повредить системные файлы и Виндовс потом восстановить будет очень сложно. У меня недавно была именно такая ситуация — оказалось, что проще переустановить Windows 7, нежели восстановить ее после последствий некорректного лечения антивирусом Avira, который стоял на домашнем компьютере.

Если по каким-то причинам технология «Звонок другу» не работает, то можно попытаться воспользоваться загрузочным диском Windows (LiveCD). Если у вас нет такого диска, то обязательно скачайте образ и создайте его — в момент «Ч» он может вам очень пригодиться.

Вот как описывает процесс такого леченияСергей0011 на сайте Dr.Web:


Лечим Trojan.Winlock.2194.


Симптомы уже описаны ниже: черный экран, злобное сообщение о блокировке Виндовс в результате якобы пиратского использования ПО, требуется отправить 400 рублей на некий телефон оператора БИЛАЙН. Я излечил данный недуг с помощью BartPE, можно также использовать и LiveCD и любую другую приблуду, загружающую операционку с CD, лишь бы до реестра добраться. Грузим операционку с CD, Пуск — Выполнить вводим команду regedit(редактирование реестра), появляется редактор реестра, но не тот что нам нужен. Нам нужен реестр того пользователя из-под которого работает вирус. Для этого в открывшемся редакторе реестра выбираем ветку HKEY_USERS, открываем её. Выбираем меню Файл — Загрузить куст. В появившемся окне ищем папку с нужным нам пользователем. Обычно это C:\Documents and Settings\нужный пользователь\ В этой папочке находим файл ntuser.dat выбираем его и жмем Открыть. В следующем окне вводим имя ветки HKEY_CURRENT_USER жмем ОК. Во вновь загруженной ветке находим раздел RUN он располагается по такому пути:HKEY_USERS\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Вот здесь мы и найдем первую половину камня преткновения. У меня это был параметр PC Health Status со значением C:\Documents and Settings\user\Application Data\iqjeqdpg.exe Сразу видно белиберда какая то. Безжалостно мочим этот параметр. А вместе с ним и файл, расположенный по этому пути. Смотрим мож еще чего нить там заблудилось неправильного на ваш взгляд с подобной белибердой. Но аккуратненько, можно и лишнего замочить. В общем в этой ветке дело сделано. Снова выбираем ветку HKEY_USERS, там выделяем нашу загруженную HKEY_CURRENT_USER и жмем Файл — Выгрузить куст. Далее загружаем куст HKEY_LOCAL_MACHINE. Для этого вновь Файл — Загрузить куст, идем по следующему пути c:\Windows\System32\config, там выбираем куст под наименованием software, загружаем его в окне с именем раздела пишем тоже software. В данной ветке идем по пути HKEY_USERS\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Здесь также удаляем тот же самый параметр PC Health Status У вас может быть и что то другое, так же смотрим на наличие неких посторонних параметров, их тоже удаляем. Далее обязательно идем по ветке HKEY_USERS\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем параметр Shell, его значение должно быть только explorer.exe, если оно иное, запоминаем путь до вредоносного файла, прописанного в данном параметре и удаляем этот файл, изменяем параметр на explorer.exe. После всего этого пробуем перезагрузиться уже с нормальной операционкой а не с CD… и поздравляем себя, и интернет!

Описано все верно. Кстати, очень часто после лечения пользователи жалуются на то, что диспетчер задач блокирован администратором. Справиться с проблемой можно путем правки ветви реестра < «HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System» из которой нужно удалить  «DisableTaskMgr»

Диспетчер задач станет доступен.