ВОЗВРАТ ОПЛАТЫ
Вернуть деньги пользователям, попавшим на такой вирус, реально. Дело в том, что операторы уверены: деньги, находящиеся на счету абонента, могут списывать только они. А, как известно, с контент-провайдером рассчитывается именно провайдер мобильной телефонии, отдавая ему ту часть стоимости премиального SMS, которая отражена в совместных договорах компаний. Кроме того, это не происходит мгновенно — как минимум спустя 30-60 суток после завершения каждого календарного месяца. Причем, по соответствующим пунктам документов о совместной деятельности (видел их воочию), операторы имеют право в безакцептном порядке задерживать перечисление денег по транзакциям, которые оспорены абонентами. По сути, здесь работает принцип работы пластиковых карт — деньги со счета абонента списываются, но сразу не уходят оказывающей услугу организации, а аккумулируются в специальной графе биллинговой системы.Таким образом, вернуть перечисленные мошенникам деньги по факту обмана или мошенничества, разумеется, можно. Для этого необходимо настоять на создании специальной записи в вашем пользовательском профиле в БД оператора связи (т.н. трабл-тикет), который пройдет обработку сотрудниками абонентской службы оператора связи. Именно по результатам рассмотрения этой проблемы и будет осуществляться возврат денег. Причем, создание такой записи по конкретному факту обмана возможно даже без письменного заявления абонента — достаточно изложить оператору call-центра ситуацию, короткий номер, на который было отправлено SMS, а также префикс, который указали в коротком сообщении. И, разумеется, уточните номерсвежесозданного трабл-тикета — это поможет в дальнейшем обсуждать ситуацию предметно. Если конкретный сотрудник службы поддержки абонентов отказывается вам помочь и отправляет к контент-провайдеру, попросите переключить на старшего по должности. В любом случае стоит помнить, что проблемы с качеством обслуживания (а это именно они) могут быть оставлены не только по телефону, но и с помощью электронной почты или веб-формы на сайте провайдера мобильных услуг – там, кстати, трабл-тикет создается автоматически. После проверки факта мошенничества по заявлению абонента ему почти в 100% случаев возвращают неправомерно списанные мошенниками деньги.
Шаг 10
Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE(или браузер установленый по умолчанию). После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Запускаем утилиту AVZ (файл avz.exe).
В первую очередь нужно включить Мастер поиска и устранения проблем, идем Файл > Мастер поиска и устранения проблем, получим окно. Здесь жмем "Пуск", после проверки утилита выдаст список найденных проблем, ставим галочки рядом с теми которые хотите исправить и жмем кнопку "Исправить отмеченные проблемы".
Здесь же можно выбрать различные "Категории проблем" и степень их опасности. Применение стандартных установок вполне достаточно.
Если же Вы хотите более углубленно почистить систему, то проработайте все Категории проблем и выбирите нужные. Замечу, что в остальных категориях (кроме Системных проблем) предлогается выбор доступных действий, так что выбирать все подряд и удалять во многих случаях не имеет смысла.
Теперь рассмотрим встроенные скрипты востановления системы, идем "Файл" > "Восстановление системы", откроется окно "Восстановление настроек системы". Здесь выбираем нужные скриты и жмем кнопку "Выполнить отмеченные операции".
Запускаем утилиту WinUnlock
1. Загрузка программы
1.1. Загрузите программу. Если ваш компьютер заблокирован, загрузите программу у своих друзей или в другом доступном месте.
1.2. Программа не требует инсталляции, поэтому вы легко сможете сохранить ее на флэш накопителе или компакт диске. В предлагаемом Zip - архиве находиться файл Autorun для автоматического запуска программы на зараженном компьютере, сохраните его вместе с программой.
2. Запуск программы
2.1. Программа запускается в собственном безопасном режиме. Данный режим позволяет защитить программу от действий вируса. Продолжительность запуска зависит от производительности компьютера и от особенностей скрытых действий вредоносной программы.
3. Определение (поиск) вредоносного модуля.
3.1. После безопасного запуска перед вами откроется главное окно программы. Начните определения вредоносного процесса с нажатия кнопки «Поиск».Удерживая левую клавишу мышки (подобно тому, как вы перемещаете окна папок, программ), наведите курсор на модуль и отпустите клавишу. Выбранное окно должно свернуться в специальном режиме, а на панели главного окна будет отображена информация о данном процессе.
3.2. Не смотря на то, что в программе предусмотрена защита от её действий на системные объекты и процессы, будьте предельно внимательны при выборе объекта.
4. Действия
4.1. После того как объект определен, переходите к действиям в меню программы. Откройте меню «Действия» и выберете необходимый пункт.
4.2 Пункт «Восстановить», предназначен для восстановления окна в прежнее состояние, когда вы по неосторожности выбрали другой процесс.
4.3. Пункт «Закрыть процесс» закрывает выбранный объект, не применяя к нему ни каких других действий.
4.4. Пункт «Удалить процесс» безвозвратно удаляет объект, и производить разблокировку других процессов вызванных вредоносным модулем.
4.5. Пункт «Открыть место хранения» открывает папку, где храниться выбранный объект.
4.6. Пункт «Проверить реестр» удаляет любую информацию об объекте и восстанавливает настройки реестра в стандартный вид. При этом не изменяются другие настройки, связанные с нормальной работой операционной системы. Данный пункт можно использовать и в профилактических целях, когда нет видимых угроз, но есть вероятность блокировки системных процессов со стороны других вирусов, не имеющих визуальную оболочку.
4.7. После выполнения, каких либо действий, в главном окне программы выводиться сообщения об их статусе.
4.8. Во избежание ошибок, настоятельно рекомендуем начать работу с пункта «Закрыть процесс», так как данный пункт только закрывает программу и не применяет к нему ни каких действий. Убедившись в правильности выбора, можно переходить к удалению объекта.
4.9. Внимание, за ошибочные действия пользователя связанные с работой программы, авторы ответственности не несут!
5. Завершение работы программы.
5.1. После завершения всех действий закройте программу и выполните полную проверку компьютера антивирусом.
Шаг 20
"Горячие клавиши"
Используйте "горячие" клавиши для запуска программ
Ctrl+Shift+Esc Вызвать Task Manager
Ctrl+Alt+Dell Вызвать Task Manager
Ctrl+Esc Активировать кнопку Start (Пуск)
Win+D Свернуть все окна(если сработает не будет мешать окно винлока)
Win+M Свернуть все окна
Win+R Вызвать окно "Выполнить"
Alt+F4 Закрыть активное приложение (программу)
Шаг 30
Онлайн сервисы есть у всех популярных отечественных вендоров:
Лаборатория Касперского: support.kaspersky.ru/viruses/deblocker;
Dr.Web: http://www.drweb.com/unlocker/index/?lng=ru
Мобильная версия сайта Dr.Web Позволяет подключиться к сервису даже с мобильного телефона: http://www.drweb.com/unlocker/mobile/
Eset: www.esetnod32.ru/.support/winlock.
Шаг 40
Восстанавливаем файл hosts
Заходим на диск c:\WINDOWS\system32\drivers\etc\
Ищем файл «hosts», он может быть скрытый и открываем его с помощью блокнота.
Удаляем всё что находится ниже строчки: 127.0.0.1 localhost
Удаляем файлы hosts с разными расширениями. Должен остаться файл hosts без расширения
Сохраняем файл, перезапускаемся
Шаг 50
Загрузитесь с загрузочного диска.
Далее нужно подправить реестр: Запустите редактор удаленного реестра. Переходим в раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Вас интересует параметр Userinit. Он должен указывать на C:\WINDOWS\system32\userinit.exe
Установите его в параметр, который указан выше.Найдите файл который был указан и удалите его
И там же исправте параметр Shell на Explorer.exe
Удаляем всё из следующих веток
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions ]
Шаг 60
Помошники
Kaspersky Virus Removal Tool – бесплатная вариация продукта от Лаборатории Касперского, использующая тот же движок и сигнатурные базы, но не предоставляющей постоянной защиты. Прога делает как раз то, что нам нужно – одноразовое сканирование. При этом сигнатуры зашиты в дистрибутив, поэтому перед каждым использованием его необходимо закачивать заново.
Dr.Web CureIt! – полностью аналогичное решение, с той лишь разницей, что разработано другой антивирусной лабораторией.
Шаг 70
Пправим реестр если что-то отключено.
Устанавливаем утилиту "Зоркий глаз" и восстанавливаем с ее помощью систему в исходное состояние.
В большинстве случаев это можно поправить через реестр в разделе HKEY_CURRENT_USER, определяющем работу системы для текущего пользователя, а также HKEY_LOCAL_MACHINE, в котором задаются настройки для всех пользователей сразу.
Начать надо с того, что вполне может не запускаться сам редактор реестра. Если этого произошло, то придется внести поправить ключи реестра DisableRegedit и DisableRegistryTools:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0reg
add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0reg
add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0
Это не всегда может помочь. Если в принципе не запускаются exe-файлы, то надо попробовать выполнить reg-файл следующего содержания:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]@="\"%1\" %*"
Это поможет, если вирус переассоциирует запуск исполняемых файлов на себя. Помимо этого малварь может расстроить запуск приложений (например, того же regedit.exe) с помощью раздела HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Добавив ветку с названием исполняемого файла, можно заставить систему запускать приложение под отладчиком, который в свою очередь задается с помощью вложенного ключа Debugger. Задать дебаггер можно неправильно, и запуск приложения не произойдет. Удалить мешающие ключи реестра опять же удобно через командную строку:
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe"
Если приложение не запускается, ссылаясь на политику ограничения использования программ, то тебе прямиком дорога в
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths.
Придется покопаться и перебрать ветки, выбрав те, которые блокируют запуск нужного приложения.
Если после удаления малвари не запускается диспетчер задач, то вероятнее всего его запуск ограничили с помощью ключа "DisableTaskMgr". Это легко правится reg-файлом:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableTaskMgr"=dword:0
Шаг 80
Проверяем настройки соединения с интернет, и приводим их к оригинальному виду, рекомендуемому вашим провайдером.