Windows заблокирован. Дубль два.

Я уже поднимал подобную тему на блоге — Windows заблокирован, но в этот раз встретился экземпляр вируса, побороть который предыдущими способами оказалось невозможно. Но и другие способы никто не отменял.

Итак, симптомы заражения следующие: после возникновения экрана «Приветствие» в Windows XP на синем экране отображается сообщение «В связи с повышенным распоространением пиратских копий Microsoft Windows корпорация Microsoft ввела новую систему защиты своего программного обеспечения, с целью обеспечения безопасности пользователей и защиты от несанкционированного проникновения в систему через уязвимые места. На вашем компьютере обнаружена не лицензионная версия Microsoft Windows. Система была заблокирована, для разблокировки и активации отправьте смс». Далее идут поля «Отправьте SMS сообщение с текстом: 2a25156», «На короткий номер: 4161» и «Введите полуеный код:». В самом низу экрана находится контрольная надпись, необходимая для внушения ужаса и страха рядовым юзерам – «Для активации у вас есть 24 часа с момента блокировки. В противном случае ваша система Microsoft Windows будет автоматически удалена».

Сразу хотелось бы обратить внимание на уровень грамотности вирусостроителей – чего стоят только словечки «распоространением» или «полуеный». Видимо, попались узконаправленные специалисты. Интересно еще и то, что после каждой перезагрузки текст, который необходимо отправить в смс меняется (например, 2a55530), но номер 4161 остается неизменным. Ниже предлагаю 3 способа удаления этого вредителя, поскольку не всегда есть возможность использовать определенные инструменты.

Способ №1.

Необходимо удалить эту заразу. Имя этой заразы – csrcs.exe. Самый простой способ – сразу же при появлении экрана «Приветствие» долбить по клавишам Ctrl+Alt+Del и в запустившемся диспетчере задач завершить процесс csrcs.exe. После этого необходимо удалить сам файл, по адресу C:\Windows\System32\csrcs.exe. Но есть одно «но» — данный способ становится абсолютно бесполезным, если на вашем компьютере проживают еще и другие вирусы, которые блокируют диспетчер задач.

Способ №2.

Если диспетчер задач запустить не удалось – достаем из широких штанин установочный диск Windows, стартуем с него, запускаем консоль восстановления (не спрашивайте меня «Как?» — стопицот раз писал – на блоге работает поиск), и удаляем вирус командой del C:\Windows\System32\csrcs.exe. С тем же успехом можно использовать любой загрузочный диск, через который можно получить доступ к жесткому диску.

Способ №3.

Способ извращенный. Не знаю, почему, но сработал. Итак, увидев экран «Приветствие» долбим по клавише Shift как можно чаще. Увидев окошко «Залипание клавиш», перестаем долбить и долбим по сочетанию клавиш Windows+U (клавиша Windows находится между левыми Ctrl и Alt, на ней кривое окно нарисовано). Откроется окно «Диспетчер служебных программ», в нем выбираем «Экранная клавиатура не выполняется» и нажимаем кнопку «Запустить». После этих действий у меня вирус сдох сам, даже файл удалять не пришлось. Еще бы, с таким извращенцем лучше не шутить.

Какой бы из способов вы ни выбрали, в любом случае, после всего, необходимо удалить запись в реестре, иначе Windows при каждой загрузке будет ныть о том, что не найден файл csrcs.exe. Запускаем редактор реестра (Пуск –> Выполнить –> regedit). Если редактор реестра заблокирован – запускаем утилиту AVZ, выбираем «Файл» -> «Восстановление системы» и, поставив галочку напротив пункта «Разблокировка редактора реестра», нажимаем на кнопку «Выполнить отмеченные операции». Открываем в редакторе реестра ветку HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> Current Version -> Winlogon. Справа находим параметр Shell и меняем его значение с «Explorer.exe csrcs.exe» на «Explorer.exe». Ну вот, вроде бы все.

Сисадминский анекдот:

Преподаватель русского языка, долго вглядываясь в название каталога MYDOCU~1, изрекла: «Я, конечно, в вашем жаргоне не очень понимаю, но, по-моему, это слово на «м» пишется по-другому».

Поделиться в соц. сетях

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
Популярное:



14 комментария(-ев) к статье “Windows заблокирован. Дубль два.”

  • Anonymous:
    Цитировать

    Помогло. спасибо. вот с этой штукой.

    В связи с повышенным уровнем распространения пиратских копий Microsoft Windows корпорация Microsoft ввела новую систему защиты своего программного обеспечения, с целью обеспечения безопасности пользователей и защиты от несанкционированного проникновения в систему через уязвимые места.
    На вашем компьютере обнаружена не лицензионная версия Microsoft Windows. Система была заблокирована, для разблокировки и активации отправьте смс.
    Цена отправки СМС сообщения 32 рубля (1 USD)
    Отправьте SMS сообщение с текстом getcod99167 На короткий номер: 6008
    *В ответном сообщении вы получите код, который следует вписать в следующем поле.
    Введите полуеный код:
    Для активации у вас есть 24 часа с момента блокировки. В противном случае ваша система Microsoft Windows Будет автоматически удалена.
    Cвежий вирус, блокирущий windows. Первые появления — середина августа 2009. В заголовке приведен полный текст, чтобы не было путаницы. Подобных вирусов уже довольно много.

    Решение: Убиваем файлы hdav.exe-****.pf ;
    чистим реестр: HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> Current Version -> Winlogon
    ищем параметр taskman и убиваем.(можно просто поиском в реестре поискать hdav.exe)

  • Александр:
    Цитировать

    Спасибо! Думаю, многим (и мне, в частности) пригодится.

  • Александр:
    Цитировать

    Читаем продолжение Windows заблокирован. Опять?!

  • Anonymous:
    Цитировать

    Сделал билд вируса на языке программирования Assemler с помощью MASM32.Он блокирует все окна Windows пока не введёш пароль.Если его распространить в сети интернет в формате .exe то можно срубить хорошие деньги.Вы наверняка видели на подобие этого вируса где просят отправить смс на короткий номер а в ответ придёт пароль от этого вируса.Так вот этот билд можно настроить чтоб он вам зарабатывал деньги=)

    Особенности билда:

    [+] Защита от повторного запуска софта. createMutex.
    [+] Изменяет аттрибуты на скрытый и системный у explorer.exe, regedit.exe, cmd.exe, taskmgr.exe.
    [+] Помещение окна блокиратора поверх всех окон (блокирует Alt+Tab).
    [+] Имеет достаточно простой и понятный интерфейс.
    [+] Возможно вписать любой текст на ваше усмотрение. (Опционально).
    [+] Не изменяет ключей в реестре. (работает по !другому принципу. Исключение, прописывается в автозагрузку и блокирует безопасный режим).
    [+] Автозагрузка вместе с explorer.exe, далее его принудительное завершение.
    [+] Возможность отслеживания и завершения любых процессов в памяти. (Опционально).
    [+] Блокировка безопасного режима\Disable Safe Mode.
    [+] Блокировка Alt+Ctrl+Del, Alt+Tab, Alt+F4, Ctrl+Esc, Win+D, Win+R, Win.
    [+] Добавляет себя в исключения виндового фаервола (доверенный источник).
    [+] Маскируется под файл Microsoft Office — ctfmon.exe (Иконка и versioninfo) (Опционально. Возможно изменить на любой другой).
    [+] Создает файл носитель и устанавливает ему атрибуты: скрытый, системный, только чтение.
    [+] Проверка на существование файла (защита от повторного запуска).
    [+] Полное самоудаление из системы при правильно введенном ключе.
    [+] Шифрование ключа(ей) алгоритмом ROTx.
    [+] Установка одного или нескольких ключей разблокировки. (Опционально).
    [+] Оригинальный размер файла 20 кб, криптованный Upack0.39f — 7.4 кб
    [+] Отслеживает и блокирует процессы: TASKMGR.exe, MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe. (Опционально).
    {+}Копируется в заданную вами папку и изменяет время установки

    Если вас заинтересовал данный билд пишите на yurkovich83@gmail.com

    Билд настроен изначально для тестирования.Ну а вы можите настроить его по своему желанию=)

  • Anonymous:
    Цитировать

    Поймал сосед такую шнягу. По первому описанному способу удаляю C:\Windows\System32\csrcs.exe -летит виндовский MBR.

  • Александр:
    Цитировать

    А че, мож заказать? Работы сразу прибавится)))

    Насчет MBR — хз, почему он у вас полетел. Но восстановить же не проблема — в консоли восстановления выполните команду fixmbr

  • Anonymous:
    Цитировать

    получил доступ к жесткому диску просто нажав F8 при загрузке, зашел через "безопасный режим".

  • Anonymous:
    Цитировать

    Часто вирусы блокируют антивирусные сайты, становится не доступным сервис по подбору кода для разблокировки вируса вымогателя СМС и скачка бесплатных утилит.
    http://ya-windows7.narod.ru/code_virus.html
    Здесь регулярно собираю коды разблокировки и выкладываю для скачки бесплатные утилиты.

  • Александр:
    Цитировать

    Спасибо! Полезный сервис.

  • Saa:
    Цитировать

    Деспетчер задач не открывается, попробовал способ 3, ничего не получаеться , потому что окошко Виндовс заблокирован находиться прверх всех окон,и мышкак может перемещаться только в пределах окна, поэтому я не могу выбрать то что мне надо в окне которое появилось с помощью клавиш виндовс и u. Что еще можно сделать?

  • admin:
    Цитировать

    Деспетчер задач не открывается, попробовал способ 3, ничего не получаеться , потому что окошко Виндовс заблокирован находиться прверх всех окон,и мышкак может перемещаться только в пределах окна, поэтому я не могу выбрать то что мне надо в окне которое появилось с помощью клавиш виндовс и u. Что еще можно сделать?

    Читаем здесь стопроцентный способ.

  • Dino:
    Цитировать

    Сейчас блокираторы полностью блокируют компьютер, поэтому лучше Live Cd — http://antivir.h18.ru/metodika/0026.html

  • Серый:
    Цитировать

    Скажите пожалуйста, Я когда то установил Винду XP professional, установил и всё нормально, потом, после установки он включился и потребовал пароль! Я не знаю что такое! Потом мне мастер сказал, что надо нажать конбинацию из 4 клавиш, а какие, он мне не сказал. Скажите пожалуйста! Зарание спасибо, жду ответа!

  • admin:
    Цитировать

    Скажите пожалуйста, Я когда то установил Винду XP professional, установил и всё нормально, потом, после установки он включился и потребовал пароль! Я не знаю что такое! Потом мне мастер сказал, что надо нажать конбинацию из 4 клавиш, а какие, он мне не сказал. Скажите пожалуйста! Зарание спасибо, жду ответа!

    А можно фото экрана увидеть?

Оставить комментарий

Реклама
Подписка

 

Опрос

Как Вы относитесь к компьютерному пиратству?

Посмотреть результаты

Loading ... Loading ...
Облачко
Вас посчитали: