» Windows заблокирован!

http://rghost.ru/40948348
Пароль на архив стандартный (тот, что рекомендуют антивирусные сервисы).

Цитата:

http://rghost.ru/40948348

Спасибо за подопытное тело.
Троян не блокирует Безопасный режим с поддержкой командной строки, так что удаляется без LiveCD.

Народ помогите!
Порно-баннер на весь экран по англицки. Но появляется ТОЛЬКО когда система обнаруживает сетевое подключение, т.е. если сетевой кабель не подключать, комп работает, как только подключаешь на весь экран "забавные картинки".
Может кто сталкивался?

inppk -> Помощь при лечении компьютера от вирусов

Народ помогите!
Порно-баннер на весь экран по англицки. Но появляется ТОЛЬКО когда система обнаруживает сетевое подключение, т.е. если сетевой кабель не подключать, комп работает, как только подключаешь на весь экран "забавные картинки".
МОЖЕт БЫТЬ КТО-ТО СТАЛКИВАЛСЯ?

inppk, читайте шапку темы Помощь при лечении компьютера от вирусов, делайте логи и вам помогут.

inppk
Выложите логи avz и uvs - найдем причину проблемы.

Необычный попался...
Не совсем блокировщик, точнее шифровщик.

virus.rar

Вобщем прислали по мыло в одну контору в архиве Документы.lzh, они радостно открыли и запустили EXE
В результате всё пошифровано. документы, фотки, архивы. и в каждом каталоге бумажка с вот таким содержимым:

Цитата:

КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов .
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
на жалкие бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 11041425
KORSARS@EUROPE.COM

Скачал касперскую софтину RectorDecryptor.exe, не расшифровывает.
Заслал докторвебу с запросом на лечение. Жду.

Upd.
Есть предположение, что тело не то.
Так как на виртуалке оно ничего не шифрует.

Цитата:

Так как на виртуалке оно ничего не шифрует.

Логично, т.к. это уже не является зловредом и поможет избежать уголовной ответственности при определенных условиях. Но это мелочь, т.к. полиция у нас не ловит таких преступников.
Главная причина - при наличии шифровальщика проще сделать расшифровщик.

Написал вымогателям, просят 8000р.
Но в итоге удалось расшифровать этим: http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe
А так заражение произошло точно с этого письма. Там в аттаче был архив *.lzh с *.doc файлом и этот *.exe Но как я их не мучил, так и не удалось воссоздать ситуацию.

Вот оригинал из письма: _http://rghost.ru/41033570
Может быть кому-то удастся воссоздать.
В докторвебе сказали трой был тут: C:\DOCUME~1\user\LOCALS~1\Temp\52RU2U044xb0tX9.exe
Но тела не осталось.


---------------------
Payal, все логические диски. Куча документов (комп офисный). Ко мне обратились через 3 дня. Сколько оно там шифровалось я не знаю. Пострадали: все офисные форматы, архивы, фотографии. Расшифровывать пойду в понедельник. А пока протестировал на взятых образцах.

ynbIpb
какой объём инфы был зашифрован и как быстро?
шутники однако

Поймал вирус в Win7 - Аваст не успел его заблочить, что-то резко как-то все произошло, через Яву, несколько предупреждений, пока нажимал - Ява полезла в сеть, запретил, но уже красуется winlock.6049.
Загрузился в старую windows XP, почистил семерку зараженную, но видимо переусердствовал - заменил по совету выше explorer.exe и остальные два файла, да не заметил, что заменяю файлы с win32 в своей Windows 7 64 максимальная.
В итоге "Explorer.exe Класс не зарегистрирован" и приехали. Думал перекачать, но по ссылке 64-версии только home базовая x64 SP1, и то одного файла не хватает. Или тоже подойдет?
Если нет - то может кто-нить кинет userinit.exe, explorer.exe и taskmgr.exe со своей
Windows 7 64 бит Максимальная?
У меня версия 6.1.7601 SP1 сборка 7601
PS Отбой, sfc все восстановил сам.

Поймал блокиратор. После его удаления из под Life CD рабочий стол загружается и всё виснет.
В безопасном режиме грузится. Заменял userinit.exe, explorer.exe и taskmgr.exe.
LiveCD Kaspersky Rescue Disk и Dr.Web CureIt! ничего не нашли.
Проверил userinit.exe и explorer.exe в реестре - ничего лишнего нет.
Windows 7 32 бит Максимальная SP1

TimUrKaOff
AntiSMS?

Цитата:

TimUrKaOff
AntiSMS?

Использовал - AntiWinLockerLiveCD и AntiSMS
Вошёл в систему, установил KIS 2012, когда пытался обновиться - увидел - что сеть не работает. Прошарил на старых базах - 0.
В Центре управления - Не удалось запустить дочернюю службу. В диспетчере обрудования все сетевые адаптеры с восклицательными знаками. Удалить устройства не удавалось.

Импортом кустов восстановил все службы по дефолту.
После перезагрузки - снова та же картина - рабочий стол блокируется.
Повторное применение AntiWinLockerLiveCD и AntiSMS результата не дало.

TimUrKaOff, попробуй AVZ > Файл > Восст. настроек (там выбрать всё, кроме 6 и 18)

Цитата:

TimUrKaOff, попробуй AVZ > Файл > Восст. настроек (там выбрать всё, кроме 6 и 18)

После AVZ загрузить систему удалось. Базы на KIS 2012 обновил. Полная проверка ничего не выявила.
Сеть недоступна. В Центре управления всё так же - Не удалось запустить дочернюю службу. Уже и запускал проверку целостности. Ряд служб не запускается - Нет доступа.
Скорее всего моему сисадмину придется переустанавливать систему, другого выхода не вижу. (Самое обидное - кроме рабочих сайтов и одного сайта, детского, нигде не был - на работе стоит нод32, дома стоит кис2012 - хождения по таким дебрям, и всё Ок. Извините за флейм.)

Винлокер СВЕЖАК!



сам файл http://rghost.ru/41683786 ( 2012 )

https://www.virustotal.com/file/e724c90e4b794b68c5b1c0d6125fd9cb52d78903b1822621ecc406f32d0068c2/analysis/

Последнее время попадаются машины у которых в сетевых подключениях нечего не присваивается не IP, не DNS. В "Сведениях" сетевого подключения вобще всё пусто. И инета соответственно нету. Делал восстановление системы в AVZ, безрезультатно. Кто с подобным сталкивался?

gold_boy, система XP? Антивирус Avast?
Если да, то был массовый падёж по причине ложной сработки аваста. Он убивает TCP IP протокол. В сети есть фикс...

gold_boy
ynbIpb
вот оно )))

Похоже что да. Щас сам тока что прочитал http://forum.ru-board.com/topic.cgi?forum=62&topic=25454#4

Что случилось с писателями вин-блокеров? Уж и праздники на носу, а я забыл уже когда вызывали последний раз на снятие очередного порно-банера.((

tshudini
отмирают. как и пророчил)

сейчас впору создавать тему про шифровальщики.
но там более ювелирная работа и упор на всевозможные база (1С и т.д)
и пока платят. стонут, пинают админов, но платят.
так что ждем очередного билдера-шифровальщики под rsa 1024 и вопли попаданцев.
школота ещо отомстит за гонения блокеров,.
вот напишут им билдер D)

olzaruta можно поподробнее как выковырял из системы именно этот вин-блокер у меня друг на работе поймал именно его - у него winxp куда садится вирус в систему как файл обычно называется портит ли загрузочный сектор загрузил ему комп с LiveCD - AVZ поставил на ночь чтоб просканировал

Да тоже давным давно локеров не снимал. Походу и в правду идёт эра шифровальщиков, тока в массы я думаю она не пройдёт и они будут быстро палиться антивирусами.

Цитата:

olzaruta можно поподробнее как выковырял из системы именно этот вин-блокер у меня друг на работе поймал именно его - у него winxp куда садится вирус в систему как файл обычно называется портит ли загрузочный сектор загрузил ему комп с LiveCD - AVZ поставил на ночь чтоб просканировал

- Слушай, а что тут подробнее писать? Все тысячу раз описано! Но если нужно...пожалуйста
1. Поймали этот винлокер.......перезагружаемся.....при загрузке жмем клавишу F8 и держим её довольно прилично......
2. Выбираем безопасный режим загрузки с поддержкой коммандной строки..
3. Пишем в строке regedit.....жмем enter...открылся редактор реестра..
4. Идем в ветку HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
5. Выбираем shell - это и есть ключик вируса на автозагрузку...
5. Удаляем его....предварительно запомнив или записав его значение....( указано в столбце справа) в моем случае это был файл ms.exe и прописан не помню точно..то ли в temp или еще куда, но это не важно..
6. В редакторе реестра жмем правка-найти-в окошке пишем ms.exe-найти далее...все найденные параметры с ms.exe удаляем...повторяем до тех пор пока не удалим все записи с ms.exe
7. Перезагружаемся коммандой shutdown -r
8. Все!

- Есть еще и другие способы...но этот самый простой и не требует смены загрузки в биосе ни флешек ни дисков с LiveCD
- Я лично снимаю винлокеры программой Process Killer нажав всего 4 кловиши на клавиатуре..это 5 сек.
- Никакие загрузочные сектора этот вирус не портит..это не mbrLock.
- Удачи!

Постоянно приходиться сталкиваться с подобными проблемами в силу своих профессиональных обязанностей, хочу сказать что пользовался этим сервисом для удаления баннеров - http://temowind.ru/bezopasnost-windows-7/kak-udalit-virus-s-kompyutera/

Столкнулся с winlockerom обычного, казалось бы, вида. Лочит эксплорер, все быстрые комбинации. При попытке загрузится в сэйф-моде (с поддержкой командной стоки или без нее) машина падает в BSOD. Успешно загрузился с BartPE, чекнул все ветки реестра с winlogon, run - там все корректно (ну, разве что значение параметра shell - F:/I386/... - прописан загрузчик эксплорера . Почистил временные папки, кэш броузеров. Локер цел. WinХР, SP 3. Возможно, кто-то подскажет еще методы?

Цитата:

Столкнулся с winlockerom обычного, казалось бы, вида. Лочит эксплорер, все быстрые комбинации. При попытке загрузится в сэйф-моде (с поддержкой командной стоки или без нее) машина падает в BSOD. Успешно загрузился с BartPE, чекнул все ветки реестра с winlogon, run - там все корректно (ну, разве что значение параметра shell - F:/I386/... - прописан загрузчик эксплорера . Почистил временные папки, кэш броузеров. Локер цел. WinХР, SP 3. Возможно, кто-то подскажет еще методы?

Фото блокера какое?