» Windows заблокирован!

ROD6ono6

На счет USB - ее можно сделать с защитой от записи. Покупаешь SD флешку (на ней есть аппаратный переключатель записи)+Картридер к ней - мне набор обошелся в 500 р. (флеш - 2 гига)

Я на нее свежую версию CureIt + лечилку от конфикера и AVZ закинул и не жужжу

Сервис деактивации от DrWeb изменил свой адрес
http://www.drweb.com/unlocker/index/?lng=ru
По адресу в шапке деактивации нет.

Цитата:

Уважаемые! Помогите советом, как сделать оптимальный LiveCD на USB (да и стоит ли, ведь USB - не защищено от вирусов!)? Какой сайт может оптимально помочь моей цели?

USB Disk Storage Format Tool 2.0.6

Это бесплатное программное обеспечение позволяет Вам форматировать любую флешку USB с необходимой файловой системой.

Чтобы сделать флешку USB загрузочной, например для того, чтобы восстановить компьютер с помощью резервной копии, необходим инструмент, такой как USB Disk Storage Format Tool. USB Disk Storage Format Tool рассматривает флешку USB как нормальный дисковод и затем форматирует флешку USB с нужной файловой системой (FAT, FAT32, NTFS). С NTFS Вы можете также увеличить объем, если Вы включаете сжатие данных.

Пригодится всем любителям Live ОС и тем, кому нужно восстановить данные.

поищи в инете эту программу может поможет (я читал ее исппользуют для создания Live ОС) или может это поможет

PeToUSB - утилита для форматирования и создания загрузочных разделов на USB флэш и жёстких дисков USB. Также есть дополнительные возможности, например резервирование и восстановление Master Boot Record на устройстве.

Есть опции копирования BartPE/WinPE на флэш диск с созданием загрузочной записи, показ подробной информации о флэш диске, возможность изменения буквы диска.



Добавлено:

Цитата:

Уважаемые! Помогите советом, как сделать оптимальный LiveCD на USB (да и стоит ли, ведь USB - не защищено от вирусов!)? Какой сайт может оптимально помочь моей цели?

http://www.flashboot.ru/index.php?name=Files&op=cat&id=5

я наверно долго сам приходил к этому мнению...
у людей запарка с блокерами, да выщёлкиваются они в два клика
1-обязательно держать на болванке Erd Commander
http://rapidshare.com/files/330612137/ERD_commander.rar
2-грузимся с него, указываем к какой винде подключиться, запускаем тамошний редактор реестра
проверьте ветки реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
В этой ветке находятся файлы которые загружаются вместе с запуском ОС. Всё что вам незнакомо
1 - запомните\запишите их пути
2 - войдите в My Computer и поиском найдите все подозрительные файлы, удалите их
3 - очистите значения параметров реестра от этих записей

проверте параметры реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Родная запись выглядит только так. Если вы увидели, что есть дописанные значения типа "Userinit"="C:\\WINDOWS\\System32\\userinit.exe, блабла.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows значение параметра AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
1 - запомните\запишите это
2 - поиском найдите эти файлы, удалите
3 - восстановите значения параметров до родных

Очистите содержимое папок Temp и Tmp. До кучи можно удалить папки из System Volume Information

всё, далее к оркестру подключается любой свежий антивирь
сканим по полной, шерсть выстригая
и готово

Цитата:

проверте параметры реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Родная запись выглядит только так. Если вы увидели, что есть дописанные значения типа "Userinit"="C:\\WINDOWS\\System32\\userinit.exe, блабла.exe"

"Виновс заблокирован" отправьте на номер 9690 72001**** последние цифры меняются, "деблокиры" выдают коды, и мимо!
В автозагрузке чисто как на новой системе, ничего подозрительного на первый взгляд.
В безопасном просканил КАВ 7.0 со свежими базами, результат 0.
Вот только, что победил гада. Сидел в C:\WINDOWS\System32\userinit.exe размер 158 кб. родной 24,5 кб.
В реестре путь был просто на userinit.exe, переименовал гаденыша, и КАВ нашел Trojan-Ransom.Win32.Digitala.bh, ну если есть в базе, почему не прибить самостоятельно?
Может кому поможет, удачи!

Я откопал очередной псевдоантивирус, звать его: Antivirus Online, козыряет крутыми словечками типа переустановка не поможет, тело сидит в загрузочном секторе и т.д. На месаджбоксе красуется гордо: Kaspersky Lab

Стартует через мидифицированный ключ запуска проводника, обходится запуском безопасного режима с командной строкой, а дальше родной AVZ всё пофиксит.

Доброго времени суток! Что-то нигде не могу найти ADSSpy. Может кто кинет ссылочку, а то нашел, но там лишнего полгектара, что-то не хочется мусор качать.

Добавлено:
ynbIpb
Такой я уже видел, так что не самый новый. Но все-равно, спасибо за информацию.

hohkn
http://ifolder.ru/16083949
забирай

Добавлено:
ynbIpb
а тельце вируса сохранилось?
лучше конечно сайтик откуда оно прилетело или инсталятор ентот

и вообще TO ALL

дайте плиз адреса сайтов в пм откуда можно принять EKAV и Internet Security
ну горю желанием повстречаться с глазу на глаз со злодеями
ps прошу всякими Download Master и другими старыми не швырять, есть они в колекции

tahirg, не уверен что это оно (AVZ не сказал, что было прописано, а мне было лень рыться в этой захламлённой тачке, денюжку получил и свалил.), но вот подозрительные файлики: вирус.rar (pass: virus)
А по поводу ловли на живца, я делаю так: VirtualBox, Ставлю XP, погу Total Uninstall, инет на него пробрасываю и в гугле: "Смотреть порно онлайн бесплатно" много попадается, но всё примитивное.

ynbIpb
благодарю
по онлайн порно
попались мне Download и imax
правда было это давно, пробегусь ещё раз

ynbIpb

Цитата:

Вобщем изловил гада.
Сидел в потоке: C:\WINDOWS\Fonts\SEGOEUI.TTF:YBUBEEcNI+2ep+yaLe0W (125952 байта)

В общем встретил аналогичную проблему!
Картинка точно такая же, как в вашем сообщении.
NOD32 лицензионный даже виду не подал, что видит вирус и ушел в небытие (при попытке запуска говорит, что ядро программы невозможно инициализировать) запуск DrWEB CureIt, AVZ и многого прочего антивирусного ПО из под Windows невозможен, редктор реестра и диспетчер задач заблокированы, запуск почти любого приложения или исполняемого файла приводят к появлению все того же окна с якобы сканированием файлов и конечной просьбой отправить СМС на номер 4460. В безопасном режиме ничего не меняется, вирус продолжает контролировать процессы, названия открытых окон и т.д.
Пробывал 2 Live CD - один DrWEB-овский, другой - Касперского (оба с последними обновлениями баз данных) - результат 0, ни один из вредоносных файлов не обнаруживается, через WIN PE (ERD Commander) доступ к реестру также получить не возможно!

По совету опубликованному здесь загрузил сканер альтернативных потоков streams.exe - просканил вызывающие сомнения папки - в System32 3 каких-то потока удалил, в Fonts результат нулевой.
Это никакого эффекта не дало, весь реестр загажен файлами с датой сборки установленной XP SP2 - соответственно в перемешку с нормальными (возможно рабочими) а возможно также подмененными.

Как Вам все таки удалось решить проблему???

Ну в первую очередь я вычистил папки Temp
C:\Documents and Settings\...
C:\WINDOWS\Temp
Потом прошёлся погой Addspy в C:\WINDOWS, C:\Program Files, C:\Documents and Settings, убил 1 поток, перезагрузился и окна не было, дальше AVZ. Нода он заблокировал политиками.
Палиться антивирем он не будет, так как хозяева постоянно его обновляют.
Вероятно с того времени что-то изменилось в методах его работы.
А по повобду реестра: не получается через стандартный regedit с LiveCD Выделить HKEY_LOCAL_MACHINE, Файл\Зaгpyзить кycт, WINDOWS\system32\config\software ?

лучше найти на сайте код разблокировки
мне помогло

Добавлено:
забавный вирус кстати, блочил не все(например браузер работал), при попытке поиска насчет вируса закрывал браузер
насчет live cd - нужны свежие антивирусные сборки экстренной помощи, обычные не увидят вирус

xeroxman

Цитата:

Кстати, частенько выручает вот эта штука:
http://razblocker.narod.ru

и как помогает? чтой-то мне ссыкотно после анализа данного разблокера http://www.virustotal.com/ru/analisis/416e4faa798170efa8a334b88217e67cbc5a856fc63211803181215659535e96-1264353693



хотя конечно каспер , нод с доктор вебом и микрософтом молчат... но макафи с семантеком тоже ведь не пацаны сопливые?

Написал я для себя маленький скрипт: В ситуации, когда винлокер перекрывает всё видимое пространство, но не заблокирован запуск *.exe и не отключен Autorun с флешек, создаём на флешке Autorun.inf и кидаем скомпиленый файл скрипта.
Скрипт собирает список всех видимых окон в виде: [Заголовок] путь : PID пример:
Цитата:

[Documents and Settings] C:\WINDOWS\Explorer.EXE : 1444

и сохраняет его в текстовый файлик, который можно будет потом посмотреть с LiveCD. Может комунибудь будет полезен:
Код: ; ----------------------------------------------------------------------------
; AutoIt Version: 3.3.4.0
; Author: ynbIpb
; Script Function: Собирает список видимых окон v.0.1
; ----------------------------------------------------------------------------
#Include <WinAPIEx.au3> ;Взять можно тут: autoit-script.ru/index.php?topic=47.msg193#msg193

$VisibleWindows = ""
$all_windows = WinList(); собираем в массив все окна
For $i = 1 to $all_windows[0][0]; перебираем все окна в цикле и составляем список видимых
If IsVisible($all_windows[$i][1]) Then
$winPid = WinGetProcess ($all_windows[$i][1]); определяем PID окна
$path = _WinAPI_GetModuleFileNameEx($winPid); определяем путь к файлу процесса
If $all_windows[$i][0] = "" Then ; если заголовок пуст
$WinTitle = "[No title]" ; то пишем No title
Else ; иначе берем в переменную реальный заголовок
$WinTitle = "["&$all_windows[$i][0]&"]"
EndIf
$VisibleWindows &= $WinTitle & " " & $path & " : " & $winPid &@CRLF ; формируем строку текущего окна
EndIf
Next
;MsgBox (0, "", $VisibleWindows)
$txt_file = FileOpen ( @Scriptdir & "\WinList.txt", 2) ; открыть файл для записи
FileWrite ($txt_file, $VisibleWindows)
FileClose ($txt_file)

Func IsVisible($handle); функция проверки видимо ли окно
If BitAnd( WinGetState($handle), 2 ) Then
Return 1
Else
Return 0
EndIf
EndFunc

Еще одна прожка для просмотра и редактирования ADS _http://www.nirsoft.net/utils/alternate_data_streams.html

Цитата:

kgenius2

Цитата:C:\WINDOWS\system32\sdra64.exe,

Нужно удалить файл ручками. Он почему-то антивирусником не определяется как вирус. А потом еще и CureIt-ом полечить свежей версией.

Да в том то и дело, что этот файл удале уже давно, а путь все равно прописывается...

tahirg
Большое спасибо!

Добавлено:
kgenius2
Как помню, у меня попутно к нему в автозагрузку полез файл autorun.inf, а с ним прицепом md.exe, посмотри такие файлы у себя на дисках. У меня md.exe выполз вообще на диске D:. Если не сложно, кинь скрин локера. У меня это было на локере: черный экран и надпись Kaspersky online на в красном окне. md.exe скорее всего генератор sdra64.exe. Нашел CureIt!-ом.

fedoseevka
Нет там никакого вируса, файл на сайте с прошлого лета не менялся.

kgenius2

Цитата:

Да в том то и дело, что этот файл удале уже давно, а путь все равно прописывается...

Посмотри - нет ли чего подозрительного в реестре, вроде такого:

Код: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe"="C:\\WINDOWS\\system32\\pnxnqpm}wyqv.exe:*:enabled:Security_Monitor_Helper_Process"

Хелп,у меня стоит Win 7 максимальная.
Не лицензия,и по этому активировал я её с помощью Windows_7_Toolkit_1.8
Когда ключи блокировались я их менял,но недавно включив копм у меня выскочило сообщение что я использую не лицен.копию винды и нужно выполнить активацию через инет или по телефону.Но та прога которой я ставил ключ теперь при её работе(когда она меняет ключ)выдает ошибку виндовс и пишет что я использую не лиц.программное обеспечение и в итоге после перезагрузки все равно ни че не получается,пробовал залезать в свойства моего компа и менять ключ в ручную который выдавала программа но там исчезли две строки с кодом продукта и ключом,и поэтому никак не получается сменить.Можете посоветовать что делать?Или как обойти эту защиту?

GH07, в этом разделе такие вопросы не обсуждаются, загляните в Андеграунд.

ynbIpb

Цитата:

Написал я для себя маленький скрипт:

Спасибо! Отлично работает. Вещь в хозяйстве нужная.

Любителям исследовать блокираторы: вирусы.rar
Прошёлся сегодня методом ловли на живца и поймал 3 псевдофлешплеера и 1 тулбар в виде яваскрипта.
Что-то ни один из флешплееров на виртуалке не активировался, видимо ввели проверку на все популярные виртуальные машины. Мой нод палит одного по криптору, втого прям так обозвал Lock Screen.
ВО всех случая пользователь добровольно должен скачать и запустить исполняемый файл, а мне всё твердят клиенты, к которым прихожу лечить, что мы ничего не качали и не запускали.

--------------- updated ------------------
Проверил, всё качается, внутри архивы с телами запаролены, пасс: 1

ynbIpb
Удалили уже вашу ссылку... Паролить надо.

ynbIpb


Цитата:

а мне всё твердят клиенты, к которым прихожу лечить, что мы ничего не качали и не запускали

Правду говорят (если не запускали), то же "проводил эксперимент", но не на виртуалке, а на реальной системе. Полазил по софто-кино-порно-помойкам. Во многих местах Авира-фри (базы и версия последние) "визьжял", но благополучно пропустил файлик plugin.exe с самоустоновщиком в автозапуск (я по определению, ни чего с сайтов не качал и ни чего не устанавливал) правда мелкопакостный смс-вымогатель (доступ к компу был полный). Потом "зацепил" "поганца" посерьезней (блокировка доступа, ехе, сом, и т.д.). Искать что да где не стал, "0-HDD" и баста.

Ну видимо потому что у меня на виртуалке винда с самыми последними апдейтами стоит и опера 10, они дыр не нашли предлагается в упор скачать файл и запустить. В других случаях через баги лезут.

У меня дочке по аське пришел файлик от подруги с подписью "как тебе эта фотка". Дочка кликнула на нее и пипец. Синий экран и предложение прислать СМС. Позвонили подруге, ей тоже от кого то пришла эта гадость в то же время, а она не чего не отсылала. И тут посыпались звонки от дочкиных друзей. То есть, если я правильно понял, эта зараза сама себя еще и разослала по всем контактам? Не web не Каспер liv CD не помогли. В безопасном режиме тот же банер. Пришлось из под Liv CD чистить в ручную. Из автозагрузки и sistem32.
Что за имя сейчас не помню.
Есть ли какое конкретное лекарство?

есть - на сайте доктора веба посматри и касперского. там даже смску можно с сайта отправить

Craker, тельце бы сего зверя пошупать (именно тот файл который прислали)
Винлокеры становятся всё изощрённее, уже значит с встроенным ICQ ботом.
Сколько лет ребёнку, что не может отличить расширение фотки от иного?