Windows заблокирован. Опять?!
Не знаю, где юзеры собирают эти вирусы, но буквально вчера пришлось столкнуться с еще одним экземпляром вируса, блокирующего систему и требующего для разблокировки отправить SMS. Новый версия этого вируса запускается не сразу после появления экрана «Приветствие», а слегка позже, уже после появления рабочего стола. На синем полупрозрачном фоне появляется сообщение «Ваша система заблокирована. Сообщение системы. В связи с тем, что на вашем компьютере обнаружено не лицензионное программное обеспечение, ваша система будет заблокирована. Для разблокировки вашей операционной системы введите в соответствующее поле ключ. Номер для отправки СМС: 6008. Текст для отправки СМС: mm5p25»
Ну что ж, начинаем процесс разблокировки. В поле, в котором необходимо ввести полученный в ответном SMS ключ, пишем слово «лохопед» и нажимаем на кнопку «Активировать». Не ожидав такого поворота, вирус зависнет, позволив нам запустить Диспетчер задач. Запускаем Диспетчер задач (Ctrl+Alt+Del) переходим на вкладку «Приложения» и снимаем 2 задачи ctfmon (их всего там две будет). Теперь запускаем настройку системы через Диспетчер задач – «Файл» -> «Новая задача (Выполнить…)» -> msconfig.
Очень важный момент: поскольку мы отключили процесс ctfmon, отвечающий за смену раскладок клавиатуры, мы не сможем переключить клавиатуру на английский язык, а значит, не сможем написать msconfig. В этом случае делаем следующее – нажимаем на кнопку «Обзор» и вручную ищем файл msconfig, который расположен в папке C:\WINDOWS\pchealth\helpctr\binaries.
Запустив настройку системы, переходим во вкладку «Автозагрузка» и видим 2 строки, содержащие ctfmon. Необходимо убрать галочку напротив того файла ctfmon, который расположен НЕ в папке C:\WINDOWS\system32 (обычно, в папке C:\WINDOWS) и нажать ОК. После этого соглашаемся на перезагрузку и забываем на некоторое время (пока нового вируса не поймаем) об отправке СМС.
Сисадминский анекдот:
Программер знакомится с девушками:
- Девушки, хотите чаю?
- Нет!
- А кофе?
- Нет!
- Ну а водки?
- Нет!
- Может быть, ко мне зайдем, кино покажу? А можно на дискотеку?
- Нет!!!
«Странно, — думает программер, стандартные драйвера не подошли…»
после того как мы убрали галочку с ctfmon, после каждой перезагрузки вылазит байда про то что произошли изменения и тд…а что дальше????
не могу найти этот файл и убрать…
Ставим галочку внизу этой "байды", чтобы она не напоминала при загрузке и нажимаем ОК.
Файл мог сам удалиться. Или система по-прежнему заблокирована?
сорри долблюсь в глазыньки )))) плохо читаю…)))) спс за советы
в моем случае вирус никак не реагирует на не верно вводимый ключ. файл msconfig не запускается. что с этим делать?
Вам нужно любым доступным способом удалить файл C:\Windows\ctfmon.exe (если у вас именно такая версия вируса).
Сделать это можно либо через безопасный режим, либо через консоль восстановления, либо с любого реаниматора, имеющего файловый менеджер или подключить жесткий диск к другому компьютеру.
слушай такая тема….я убрала из автозагрузки этот файл…вручную его найти не могу…а эта х…ня вылазит каждый раз как вылазим в ынед…а если в ынед не вылазит все пучком комп пашет….ппц…чеб замутить??? поскажи???
Качаем AVZ, запускаем. Выбираем "Файл" -> "Восстановление системы" и ставим галочки напротив пунктов 2,3,4,9,13,14,15,16 и нажимаем на кнопку "Выполнить отмеченные операции". После перезагрузки должно помочь.
пляяяя )))) пока вроде все пучком…пасип те…чмок прям не могу!!!! )))) иииии
на самом деле через пару дней он опять появляется… это не полное его удаление, а частичное. он остается в системе. при соединении с инетом злополучный файл появляется заново )) может быть даже не сразу…
да, сам такое заметил — но можно на его место кинуть оригинальный ctfmon и в атрибутах файла выставить "только чтение"… не пробовал, но должно сработать.
в Recycled живет ctfmon, а в корне C:\ лежит авторан, который и вызывает этот файл из "Корзинки"
Огромное спасибо)) В следующий раз воспользуюсь вашим советом.
Троянец заблокировал Windows и требует отправить SMS? Не надо платить преступнику!
Используйте бесплатно разблокировщик Dr.Web от Trojan. Winlock
http://www.drweb.com/unlocker/index/?lng=ru
Спасибо за информацию, что ctfmon не дает менять раскладку клавиатуры, я его вечно "убиваю" за ненадобностью.
Спасибо за ссылку на Dr.Web, интересно.
Ваще есть такие проги, которые запускаются не по одному, а во два или три файла. И каждый отслеживает, чтобы все три компонента работали нормально. и еще очень часто бывает, что они скрыты из автозагрузки (очень редко из Ctrl+Alt+Delete). В общем можно такие файлы тупо блокировать к запуску по хешу через локальную политику безопасности (Пуск->Выполнить->secpol.msc) там создать правило для хеша и выбрать нужный файл. после перезагрузки этой штуки уже не будет, хоть она и попытается запуститься
Я раньше тоже убирал ctfmon из автозагрузки. Раскладка переключалась как обычно, но пропадал значок индикации языковой панели(RU EN) возле панели задач.