Программы-вымогатели. Классификация. Способы лечения

Программы вымогатели, что это такое, каков их механизм и какими средствами можно с ними бороться? Эти вопросы будоражат российский Интернет с середины 2009 года по сегодняшний день. В начале 2010 года я написал цикл статей о программах вымогателях класса Trojan-Ransom, к которым относятся многим печально известный «eKAV antivirus», «Internet Security» и многие другие, а также и порно баннеры.

Эти статьи вы найдете по следующим адресам:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

· Как убрать (удалить, разблокировать) порно баннер

По многочисленным просьбам моих благодарных читателей, в этой статье я даю классификацию вредоносного программного обеспечения, программ вымогателей, одолевающих рядовых российских пользователей всемирной сети Интернет на протяжении очень долгого времени. Более того, я считаю себя обязанным давать все больше и больше сведений по этому поводу, так как действие вредоносного ПО в последнее время приобретает масштабы вселенской эпидемии и стремится захватить компьютеры все большего числа ничего не подозревающих начинающих, средних и опытных пользователей.

Классификация программ вымогателей

По виду выполняемых действий вредоносные программы вымогатели подразделяются:

1. Программы вымогатели, ограничивающие доступ к сайтам;

2. Вредоносные программы, ограничивающие работу с браузером;

3. Программы вымогатели, блокирующие доступ к службам и функциям операционной системы;

4. Вредоносные программы, ограничивающие действия пользователя в операционной системе;

5. Программы вымогатели, шифрующие файлы на пользовательской машине.

классификация программ вымогателей trojan ransom

Все перечисленные программы относятся к классу вредоносных программ Trojan-Ransom. Избавится от действия программ из пп.1 и 2 не представляет никакой сложности и может быть осуществлено вручную без помощи антивирусных приложений. С программами из пп.3 и 4 справится сложнее и, даже приходится прибегать к помощи специального программного обеспечения. Программы из п.5 чаще всего не поддаются разблокировке без помощи высококвалифицированных специалистов и дорогостоящего программного обеспечения.

Рассмотрим каждый пункт классификации вредоносных программ вымогателей в отдельности.

Программы вымогатели, ограничивающие доступ к сайтам

В случае, когда программа вымогатель ограничивает доступ к некоторым сайтам (как правило это социальная сеть «Одноклассники», «ВКонтакте», поисковые машины «Яндекс», «Google», сайты разработчиков антивирусов Касперского, Dr.WEB и многие другие, всего около трехсот доменных имен), мы встречаемся с действием вирусной программы Trojan-Ransom.BAT.Agent.c. Когда пользователь вводит адрес, который внесен в заблокированную базу, он получает перенаправление на сайт разработчика вредоносного ПО и видит примерно следующую надпись: «Ваш браузер заблокирован. Если Вы хотите разблокировать ваш компьютер и полноценно пользоваться сайтами необходимо отправить SMS” и далее следует окошко с предложением выбрать оператора сотовой сети и страну проживания пользователя.

В данном случае мы имеем дело с обычным файлом с расширением *.bat и размером всего 13 килобайт, изменяющим файл HOSTS, хранящийся на компьютере пользователя. Механика вредоносной работы такого файла мы рассмотрим в одной из следующих статей нашего блога.

Для достижения лучшего эффекта своей деятельности Trojan-Ransom.BAT.Agent.c модифицирует файл HOSTS таким образом, что пользователь оказывается не на сайте, адрес которого был введен в адресную строку браузера, а на странице злоумышленника, где выставляются требования для разблокировки компьютера и возврата к нормальной работе браузера выслать СМС на короткий номер с определенным текстом. Как оказывается ясным в дальнейшем, текст этого СМС абсолютно не важен для кибер-мошенника, потому что он изначально не собирался высылать вам код разблокировки, ему это просто не нужно и влечет для него лишние затраты.

Префиксы коротких, как правило четырехзначных, номеров, арендуются преступниками у операторов СМС биллинга. Цена за одну SMS определяется самим арендатором короткого номера и может быть ограничена только пределами его жадности и финансовых аппетитов. Чаще всего фактическая сумма взимаемая с пользователя за одну СМС значительно превышает ту, что указана в «информационном сообщении» на сайте, куда был перенаправлен посетитель.

Если клиент решает отослать SMS, то с его телефонного счета снимается сумма, заложенная злоумышленником при аренде короткого номера, а если средств на счету недостаточно, то они запишутся в долг и будут вычтены при следующем пополнении баланса телефонного счета.

Из этой суммы на счет Интернет-злоумышленника поступает только около сорока процентов от полученной обманным путем суммы, остальные деньги уходят на счета арендодателя короткого номера и СМС оператора. Полученные деньги вымогатель получает путем, личного или через посредников, обналичивания средств с кошельков известных систем виртуальных денег WebMoney, Яндекс.Деньги и других.

Программа-вымогатель Trojan-Ransom.Win32.Agent, в отличие от описанной выше действует более конкретно и целенаправленно. Она ограничивает вход посетителей, используя описанные технологии и психологические приемы, только на домен социальной сети vkontakte.ru.

Метод «лечения» программ-вымогателей, ограничивающих вход на некоторые сайты, очень прост и не затруднит даже неискушенного в компьютерных технологиях пользователя. Для разблокировки компьютера необходимо очистить файл HOSTS (%SYSTEM%\drivers\etc\hosts) и удалить из него при помощи любого текстового редактора все строчки, кроме 127.0.0.1 localhost. Кроме этого необходимо, безусловно, удалить и сам файл вредоносной программы-вымогателя, дабы не получить рецидива преступления, просканировав систему с помощью антивирусной программы с загруженными последними обновлениями или обратившись на любой онлайн сервис по борьбе с вредоносными программами, например virusinfo.info.

Вредоносные программы, ограничивающие работу с браузером

В случае с программами вымогателями, ограничивающими работу с браузером, в его окне возникает окно или баннер, часто порно баннер, без возможности его закрытия. Такой баннер сильно мешает или совсем не позволяет работать в окне обозревателя Интернет. В отличие от окон со всплывающей рекламой, работающими по технологии pop-up, к которым все давно привыкли и почти не обращают на них внимания, от таких баннеров невозможно избавиться стандартными методами. К таким вредоносным программам, как правило, относятся
Trojan-Ransom.Win32.Hexzone и Trojan-Ransom.Win32.BHO. Очень подробно мы описывали методы борьбы с такими программами в статье «Как убрать (удалить, разблокировать) порно баннер», но для более глубокого усвоения материала, кратко повторим, что для того, чтобы избавится от вредоносной программы, ограничивающей работу браузера необходимо:

— Открыть окно «Управление надстройками» из меню Сервис > Надстройки > Включение и отключение надстроек.

— Определить вредоносную надстройку среди списка в открывшемся окне. Обычно, это те надстройки, в колонке «Издатель» которых, либо ничего нет, либо значится надпись «Не проверено»

— Отключить найденные вредные надстройки, установив им статус «Отключено».

— Перезагрузить браузер, чтобы убедиться в том, что вредоносное дополнение больше не действует.

— Если описанные действия не помогли, скорее всего, было отключено не то дополнение, попробуйте поочередно отключать все надстройки из открывшегося списка и наверняка найдете нужную.

Более подробно об отключении и удалении вредоносных программ, мешающих работе браузера читайте в статье «­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­Как убрать (удалить, разблокировать) порно баннер

Программы вымогатели, блокирующие доступ к службам и функциям операционной системы

Этот вид программ-вымогателей подробно описан мной в статьях:

· Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер

· eKav antivirus – борьба, профилактика, последствия

· eKav antivirus — разблокировать и удалить навсегда!

· На смену eKav antivirus приходит новый вымогатель по имени Internet Security

К ним относится такой вид программ-вымогателей категории Trojan-Ransom, который не позволяет, при появлении окна с требованием «выкупа», ни закрыть само это окно, ни открыть никакие другие приложения, в том числе и «Диспетчер задач» Windows. Стандартные сочетания клавиш Windows перестают действовать, хотя сама клавиатура находится в рабочем состоянии. Курсор мыши двигается, но щелчки остаются без ответа. Если прибегнуть к простой перезагрузке машины кнопкой Reset, баннер вымогатель появится вновь, а данные несохраненные в прошлом сеансе будут утрачены навсегда. Кроме того, для удаления подобного вида программ в любом случае требуется перезагрузка компьютера.

Чтобы не потерять несохраненные данные, если компьютер находится в сетевом окружении, можно попробовать сделать следующее:

Инструкция №1.

— Запустить на удаленном компьютере командную оболочку cmd.exe

— Выполнить следующие команды:
wmic
/NODE:<имя компьютера>
/USER:<имя пользователя на атакованном компьютере>

— Ввести пароль на заблокированной машине

— В выведенном списке работающих процессов выбрать подозрительный, который не относится к Windows и запущенным программам пользователя, и выполнить команду: process where name=”<имя блокирующего процесса>” delete

— После завершения этого процесса на компьютере пользователя исчезнет баннер вымогатель. Далее надо провести действия по удалению программы-вымогателя с компьютера пользователя, описанные здесь.

Инструкция №2.

— Если баннер вымогатель появился не сразу, а после перезагрузки машины и нет опасности потерять несохраненные данные, перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Repair Your Computer» (Восстановление Вашего Компьютера);

— После ввода пароля, появится окно с диалогом, в котором необходимо выбрать пункт «System Restore»

— Начнет работать мастер восстановления системы, следуя указаниям которого, необходимо выбрать точку восстановления от той даты, когда компьютер нормально работал.

Инстукция №3.

— Если Инструкция №2 не помогла, то необходимо использовать способ ручного удаления вредоносного трояна при помощи Безопасного режима операционной системы Windows

— Перезагрузить компьютер, во время загрузки нажимать клавиш F8, до появления меню со списком режимов загрузки.

— Выбрать режим загрузки «Safe mode with Command Prompt» (Безопасный режим Загрузки с запуском командной строки)

— После загрузки Windows в этом режиме, появляется возможность запускать из командной строки любые приложения, с помощью которых возможно обезвредить вредоносное программное обеспечение. Для поиска названий процессов, которые необходимо будет удалить, воспользуйтесь другим, незараженным компьютером.

Инструкция №4.

— Если Безопасный режим отключен программой вымогателем, загрузите машину с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Найдите ветку реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

— Измените значение ключа Userinit на C:\Windows\system32\userinit.exe

— Удалите вирусный файл в Userinit

— Перезагрузите компьютер в нормальном режиме

Вредоносные программы, ограничивающие действия пользователя в операционной системе

Трояны семейства Trojan-Ransom, Trojan-Ransom.Win32.Krotten и Trojan-Ransom.Win32.Taras используют имеющуюся в Windows возможность изменять набор функций пользователей конкретной машины. В большинстве случаев после действия такой программы вымогателя, на зараженной машине можно запустить только один браузер, и то только для того, чтобы полюбоваться на сообщение о выкупе. Другие программы и процессы запустить не удастся, все функции пользователя будут блокированы.

Разблокировать действия таких троянов можно следуя инструкциям:

Инструкция №1

— Загрузитесь в безопасном режиме и войдите в систему под именем другого пользователя.

— Часто действия пользователя, отличного от того, который запустил программу-вымогателя, ничем не ограничены.

— Удалите аккаунт «зараженного» пользователя и создайте нового, под именем которого и продолжайте работать. Программа-вымогатель больше не должна ничем себя проявить. Программы такого типа изменяют системные настройки всего один раз запустившись.

— Об удалении программы-вымогателя читайте в статье по этой ссылке.

Инструкция №2

— На компьютере товарища скачайте из Интернета программку AVZ и сохраните ее на флэшке.

— Загрузитесь с загрузочного диска LiveCD, ERDCommander, Acronis или другого на ваш выбор.

— Скопируйте содержимое папки с утилитой AVZ с флэш-носителя на рабочий стол, переименуйте в скопированной папке файл AVZ.exe на iexplore.exe, таким образом замаскировав полезную нам программу под Internet Explorer, запуск которого обычно не блокируется.

— Перезагрузите машину и войдите в систему под именем заблокированного пользователя и запустите с рабочего стола программку AVZ из нового файла iexplore.exe

— Пользуясь интерфейсом программы выберете пункт меню «Восстановить систему», поставьте галочку на всех пунктах, кроме последнего и запустите процесс восстанволения.

— Когда работа будет закончена, перезагрузите машину. Все ограничения должны быть сняты.

Программы вымогатели, шифрующие файлы на пользовательской машине

Совсем необычный, но все более часто встречающийся в последнее время вид программ вымогателей, когда, вирус незаметно для пользователя шифрует файлы с важной информацией, как правило, это файлы с расширениями *.doc, *.docx, *.xls, *.xlsx, *.txt и прочие. Рядом с зашифрованным файлом, вернее в одной с ним директории, программа злоумышленник помещает текстовый файл с текстом условия выкупа, так поступает Trojan-Ransom.Win32.GPCode. Реже бывает, что баннер вымогателей помещается на обоях рабочего стола, это дело рук Trojan-Ransom.Win32.Encore. Зашифрованные файлы представляют из себя полную бессмыслицу, наполненную крякозябрами, прочитать ничего решительно невозможно. Самое часто встречающееся детище этого семейства — Trojan-Ransom.Win32.Gpcode . Программы-вымогатели группы Trojan-Ransom.Win32.Cryzip не мудрствуя лукаво помещают файлы с важной для пользователя информацией в архивы *.zip и закрывают их паролем, за который просят заплатить выкуп через платную СМС. А мошенники из группы Trojan-Ransom.Win32.Fixer предлагают «купить» специальную программку для расшифровки файлов. Сообщение об этом выскакивает как раз в тот момент, когда пользователь безуспешно пытается открыть скрытно зашифрованный файл. Оплату за свою программку для расшифровки файлов, мошенники, конечно же просят отправить через SMS.

Чтобы вылечить зашифрованные файлы самостоятельно нужно иметь сам троян и попытаться его распаковать, чтобы узнать способ шифрования и написать программу дешифровки. Если такое не под силу, то необходимо обращаться в службу технической поддержки любой антивирусной компании.

  1. Наблюдатель

    Женя, для меня все это тёмный лес, не дай бог попасть. Но, чёрт возьми, вот эти бы их мозги (вирусописателей) да на благое дело... 👿

    Работу ты проделал просто колоссальнейшую. Ещё не один пользователь вспомнит тебя добрым словом и скажет спасибо. 😀

    1. eavasi

      @Наблюдатель, Тебе, Петя, спасибо на добром слове. Не преувеличивай моих заслуг. Все, что вы видите написано в ущерб (и за счет) прямого производственного времени моей конторы, которая, в данном случае, не пишет, а платит.

      Так что все поучаствовали 😆 😆

      А дома, ну никак не получается.

      ЗЫ. Ты зачем на связи не был сегодня. Я хотел говорить с тобой.

      1. Наблюдатель

        @eavasi, Контора твоя не обеднеет, а потом ещё гордиться будет, что ты там работаешь. Будут приходить и спрашивать: «Евгений Альфредович, может чайку, шоколадку, зарплату Вам во сколько раз повысить?» :mrgreen:

        Я как раз за сметанкой в магазин спустился — я же не думал, что ты нарушишь свое золотое правило 🙄

        А флудить нужно сбоку блога 😆

        1. eavasi

          Петр, Вы писатель фантаст!!! Прям, брат Стругацкий!!!

          Я сбоку уже пофлудил, на эту же тему ( там о сметане)

          Петя, когда граждане собираются спать и направляют свои думы в Вечное, добрые люди по сметану не ходють.

  2. Наблюдатель

    Женя, для меня все это тёмный лес, не дай бог попасть. Но, чёрт возьми, вот эти бы их мозги (вирусописателей) да на благое дело... 👿

    Работу ты проделал просто колоссальнейшую. Ещё не один пользователь вспомнит тебя добрым словом и скажет спасибо. 😀

    1. eavasi Автор записи

      @Наблюдатель, Тебе, Петя, спасибо на добром слове. Не преувеличивай моих заслуг. Все, что вы видите написано в ущерб (и за счет) прямого производственного времени моей конторы, которая, в данном случае, не пишет, а платит.

      Так что все поучаствовали 😆 😆

      А дома, ну никак не получается.

      ЗЫ. Ты зачем на связи не был сегодня. Я хотел говорить с тобой.

      1. Наблюдатель

        @eavasi, Контора твоя не обеднеет, а потом ещё гордиться будет, что ты там работаешь. Будут приходить и спрашивать: «Евгений Альфредович, может чайку, шоколадку, зарплату Вам во сколько раз повысить?» :mrgreen:

        Я как раз за сметанкой в магазин спустился — я же не думал, что ты нарушишь свое золотое правило 🙄

        А флудить нужно сбоку блога 😆

        1. eavasi Автор записи

          Петр, Вы писатель фантаст!!! Прям, брат Стругацкий!!!

          Я сбоку уже пофлудил, на эту же тему ( там о сметане)

          Петя, когда граждане собираются спать и направляют свои думы в Вечное, добрые люди по сметану не ходють.

  3. eavasi

    Тебе, Петя, спасибо на добром слове. Не преувеличивай моих заслуг. Все, что вы видите написано в ущерб (и за счет) прямого производственного времени моей конторы, которая, в данном случае, не пишет, а платит.

    Так что все поучаствовали 😆 😆

    А дома, ну никак не получается.

    ЗЫ. Ты зачем на связи не был сегодня. Я хотел говорить с тобой.

  4. eavasi Автор записи

    Тебе, Петя, спасибо на добром слове. Не преувеличивай моих заслуг. Все, что вы видите написано в ущерб (и за счет) прямого производственного времени моей конторы, которая, в данном случае, не пишет, а платит.

    Так что все поучаствовали 😆 😆

    А дома, ну никак не получается.

    ЗЫ. Ты зачем на связи не был сегодня. Я хотел говорить с тобой.

    1. eavasi

      @Наблюдатель, да я сразу же посмотрел и увидел явное несоответствие запрашиваемых гонораров тем условиям, в которые они загоняют своих клиентов. Уму не растяжимо, на один гектар сажать и файлы и базы и все остальное, это же почитай места совсем не хватит! Какая там панель? Мне не понятно, и про это ничего не написано. Нельзя снимать и брать услуги «налету» — мучайся с подключенными до конца оплаченного периода. Короче, не обижайся, Петя, но хостер, которого ты отыскал, фуфлыжник и обыкновенный перекупщик, скорее всего от какого нибудь московского хостера.

      Вердикт: категорически не советую.

      1. Наблюдатель

        @eavasi, Женя, да я и не спорю... Вот вчера ты посоветовал не спешить, посмотрел я еще раз джина вдоль и поперек — пожалуй, на нем и остановимся. Только узелок весь увяжу — старые домены, новые, весь этот перенос, переоформление прав на домен, вобщем морока мне предстоит ещё та 🙁

        1. eavasi

          @Наблюдатель, ой да уж, если это морока, то настоящей мороки ты никогда и не видел, а если видел, то давно и позабыл как она выглядит. 😛

          1. Наблюдатель

            @eavasi, Возможно, Женя, возможно... Такой мороки, как ты прошел с этим вирусом, врагу не пожелаешь, хоть и привело это к твоему стремительному взлету. Теперь тебе этот вирус уже как родной стал — ты ж его уже изучил и пощупал со всех сторон 😉

            1. eavasi

              @Наблюдатель, ага, зато сейчас новое дело подошло, как у Володи в августе, мой блог в ИЕ не открывается. Тфу, ни понос, дак золотуха, ёшкин кот 🙁

    1. eavasi Автор записи

      @Наблюдатель, да я сразу же посмотрел и увидел явное несоответствие запрашиваемых гонораров тем условиям, в которые они загоняют своих клиентов. Уму не растяжимо, на один гектар сажать и файлы и базы и все остальное, это же почитай места совсем не хватит! Какая там панель? Мне не понятно, и про это ничего не написано. Нельзя снимать и брать услуги «налету» — мучайся с подключенными до конца оплаченного периода. Короче, не обижайся, Петя, но хостер, которого ты отыскал, фуфлыжник и обыкновенный перекупщик, скорее всего от какого нибудь московского хостера.

      Вердикт: категорически не советую.

      1. Наблюдатель

        @eavasi, Женя, да я и не спорю... Вот вчера ты посоветовал не спешить, посмотрел я еще раз джина вдоль и поперек — пожалуй, на нем и остановимся. Только узелок весь увяжу — старые домены, новые, весь этот перенос, переоформление прав на домен, вобщем морока мне предстоит ещё та 🙁

        1. eavasi Автор записи

          @Наблюдатель, ой да уж, если это морока, то настоящей мороки ты никогда и не видел, а если видел, то давно и позабыл как она выглядит. 😛

          1. Наблюдатель

            @eavasi, Возможно, Женя, возможно... Такой мороки, как ты прошел с этим вирусом, врагу не пожелаешь, хоть и привело это к твоему стремительному взлету. Теперь тебе этот вирус уже как родной стал — ты ж его уже изучил и пощупал со всех сторон 😉

            1. eavasi Автор записи

              @Наблюдатель, ага, зато сейчас новое дело подошло, как у Володи в августе, мой блог в ИЕ не открывается. Тфу, ни понос, дак золотуха, ёшкин кот 🙁

  5. Hahaha

    цитата:"Работу ты проделал просто колоссальнейшую. Ещё не один пользователь вспомнит тебя добрым словом и скажет спасибо"

    цитата: «Не преувеличивай моих заслуг.»

    Ну копипаст не такая уж и большая работа. Почти полностью передрано отсюда

    av-school.ru/article/a-94.html

    Или может быть там у вас передрали? :))

    1. eavasi

      Благодарю, что обратили внимание на мой пост.

      Копипастом заниматься брезгую по определению.

      Эта статья писалась на основе материалов нескольких публикаций, может быть, и этой тоже, не помню. Не вижу в этом ничего плохого. Где бы мне иначе брать исторический материал по развитию вирусов, как ни у таких монстров вирусоведения как Касперские.

      Спасибо за внимание к моему блогу. Заходите еще.

  6. Hahaha

    цитата:"Работу ты проделал просто колоссальнейшую. Ещё не один пользователь вспомнит тебя добрым словом и скажет спасибо"

    цитата: «Не преувеличивай моих заслуг.»

    Ну копипаст не такая уж и большая работа. Почти полностью передрано отсюда

    av-school.ru/article/a-94.html

    Или может быть там у вас передрали? :))

    1. eavasi Автор записи

      Благодарю, что обратили внимание на мой пост.

      Копипастом заниматься брезгую по определению.

      Эта статья писалась на основе материалов нескольких публикаций, может быть, и этой тоже, не помню. Не вижу в этом ничего плохого. Где бы мне иначе брать исторический материал по развитию вирусов, как ни у таких монстров вирусоведения как Касперские.

      Спасибо за внимание к моему блогу. Заходите еще.

    1. eavasi

      Спасибо за ссыку. Со времени написания этой статьи прошло уже 5 месяцев, поэтому ваша информация, скорее всего, более актуальная.

    1. eavasi Автор записи

      Спасибо за ссыку. Со времени написания этой статьи прошло уже 5 месяцев, поэтому ваша информация, скорее всего, более актуальная.

  7. And12031973

    у меня такая проблема , пытаясь зайти в безопасном режиме для (Загрузитесь в безопасном режиме и войдите в систему под именем другого пользователя.) , но во время загрузки открывается синий экран с надписью

    a problem has been detested and windows has been shut down to prevent damage to your computer.

    if this is the first time you've seen this stop error screen, restart your computer. if this screen appears again, follow these steps:

    chek for viruses on your computer. Remove any newly installed hard drives or hard drive controllers. chek your hard drive to make sure it is properly configured and terminated. run CHKDSK/F to check for hard drive corruption, and then restart your computer.

    Tehnical information :

    *** STOP : 0x0000007B ( 0xF78AA24 , 0xC0000034 , 0×00000000 , 0×00000000 )

    что делать дальше не знаю ... пожалуйста помогите ...

      1. Б.К.

        Не факт: это не повреждение загрузочного сектора. Если бы загрузочный сектор был поврежден, загрузка НЕ ДОХОДИЛА бы до этого места. Здесь проблема с драйверами контроллера жесткого диска, возможно, параметры контроллера SATA/IDE неправильно выставлены в BIOS'е. Может помочь загрузка с установочного диска windows xp/vista/7 (смотря по тому, какая система стоит на диске) и переустановка системы поверх (при этом сохраняются установленные программы и профили пользователей).

        1. eavasi Автор записи

          Установка поверх точно не помогает на ХР, не знаю как на Se7en. Может быть с нею все гораздо лучше.

          1. Б.К.

            На XP может помочь, если разобраться с драйверами контроллера IDE/SATA (подготовить дискету и во-время нажать F6 при установке, либо интегрировать драйвера в дистрибутив). Кстати, иногда при таком коде помогает загрузиться в консоль восстановления и сделать chkdsk c: /p (или chkdsk c: /f из-под LiveCD)

            1. eavasi Автор записи

              Спасибо. Эта информация будет более чем полезна для большинства страждущих избавиться от напасти в виде порно баннеров

  8. Лилия

    Свеженький баннер — полностью черное окно с 3-мя строчками красного текста — оплатить через терминал на номер билайна 9652659053На сайтах касперского и веба кода разблокировки как и самого баннера нет.Справилась так — зашла c Live XP, в папке С:Windowsistem32 обнаружился дубликат загрузочного пользовательского файла userinit.exe Разница была в одну пропущенную букву--usrinit.exe После удаления файла нормально загрузилась, подчистила «хвосты» в реестре и «добила» сам ролик формата .wm.Может кому пригодится мой опыт 🙂

    1. eavasi Автор записи

      Вот только трудами таких, как Вы энтузиастов, которые не ленятся делиться своими методиками с остальными, мы и справляемся с заразными вымогательскими вирусами.

      Большое спасибо.!!!

  9. cerg66

    я,как это называется,"чайник".раза 2 ловил эти банеры,отдавал тем,кто что-то понимает в этом(500р).хочется научиться самому.Последний раз -банер на весь экран,ничего не могу включить.Надпись гласит"отправте 400р на номер мобильного телефона мтс".Что мне делать?Если можно-очень доступно для «чайника»

    1. eavasi Автор записи

      Разве статьи об этих вирусах на этом блоге написаны недоступно!? Я их для неимеющих опыта в компьютерах людей и писал. Пожалуйста пользуйтесь!)

    1. eavasi Автор записи

      Высылайте подробные логи ошибок. По одному тексту сообщения ничего не поймешь.

  10. Уведомление: Вірус-здирник украв 1 млрд руб. | Дохід у Мереживі

Добавить комментарий

Ваш e-mail не будет опубликован.