» Windows заблокирован!

setwolk
При таком подходе это абсолютно идентичные операции

setwolk
Курит было не нереально юзать изза того, что окно закрывало иво запущенный)
запущенным антивиром, тело вируса было в папке вин32.

RAZORblade
Вопрос был не о том: снятый винт лечили куритом или вебом, установленным на той машине, к которой винт подключили?

gjf
а.недогнал тему немного, прогнал ради прикола ад-адваре лавософтовской, непомогло, а потом да, установленным вебом.

Сегодня тоже был винлокер с текстом aa75020 на номер 8353, кодов дезактивации не нашел, с лайвсиди загрузился, в All Users было два exe, systems.exe и iexplore.exe, убил, плюс темповые все папки ручками почистил.
После avz с CureIt! и ADSSpy прогнал вроде чисто...

Касательно винлокеров. Я уже писал - зачастую после удаления они оставляю Zeus. При чём Zeus пакованный, который не ловится антивирусами на данный момент (начинает ловиться позже, когда семпл попадает в вирлаб). Часто бывают сбитые статистические маршруты, которые не позволяют обновляться антивирусам, бывают запреты по доступу и т.д. Потому после ручного лечения лучше логи в теме, где я сказал - это гарантия чистоты системы по окончании лечения.

Хотя хозяин - барин, конечно.

Теперь по самим локерам. Они весь экран закрывают? Ничего запустить не удаётся, безопасный режим отключен?

gjf
дык на каждый комп логи не пошлешь, тем более в условиях ограниченного времени... статические маршруты в avz опять же удаляю, политики и прочее. HijackThis автозагрузку чистишь...

Часть экрана закрывают, в 1280*1024 довольно успешно можно запускать всё что нужно, диспетчер не блокирован, но идет перехват загрузки и как следствие его убиение... пуск- выполнить тоже перехватывает и убивает))
Безопасный не смотрел... пошел liveCD сразу грузить, по привычке...

NaxAlex

Цитата:

хозяин - барин

gjf
само собой разумеется

Объясните кто нибудь доходчиво или дайте ссылку на то
Почтему трояны блокеры спокойно заходят на компьютер и блокируют его при установленных KIS 7, KIS 2010 с последними базами?
Как устроен механизм проникновения на компьютер?
Можно ли предотвратить это установив например все критические обновления для Windows или настроить KIS так чтобы не пропускал?

Цитата:

Почтему трояны блокеры спокойно заходят на компьютер и блокируют его при установленных KIS 7, KIS 2010 с последними базами?

Антивирусники не успевают заносить вирусы в свои базы.

Цитата:

Как устроен механизм проникновения на компьютер?

В большинстве случаев с помощью набора эксплоитов, т.е. по сути компьютер просто сканируется на уязвимости из базы эксплоитов и если какой-то эксплойт сработал - компьютер заражается.

Цитата:

Можно ли предотвратить это установив например все критические обновления для Windows или настроить KIS так чтобы не пропускал?

Можно снизить риск заражения установив все последние обновления системы и программ, таких как, браузеры, адобе флэш, акробат и многих других. Вирусы часто проникают через уязвимость этих программ.

ach e1, а как же всплывающие окна с просьбой обновить якобы флэш-плеер?

Цитата:

Можно ли предотвратить это установив например все критические обновления для Windows или настроить KIS так чтобы не пропускал?

Сидеть в инете из под Гостя

Skif_off

Цитата:

а как же всплывающие окна с просьбой обновить якобы флэш-плеер?

Нужно просто положительно к нему отнестись, т.е. положить на него. Качать только с официального сайта.

Цитата:

просьбой обновить якобы флэш-плеер

А нефиг шлятся по "злачным" местам, а если шляемся, то нужно с ПОНИМАНИЕМ относится к данной ЛОХО-ЛОВКЕ.
Чтоб не было, как в известном лозунге: "Докажи, что ты НЕ лох. Отправь СМС на такой-то номер. Чем БОЛЬШЕ СМСок ты отправиш тем, круче ты нелох"

Цитата:

Сидеть в инете из под Гостя

Да и Лоадер я уже показывал: тут

Сюда загляните..))))

все критические обновки для винду , +антивир обновленный и самое главное мозги для пользователя и сё

Полно людей ищет способ борьбы с баннером предлагающем отправить текст 1101024 на 5121 но пока сервисы деактивации вымогателей-блокеров не дают правильного решения.
Итак, потребуется ввести два кода. первый:1078376871, баннер скажет, что первый код принят, но нужно ввести еще один:2856494592.

DonDD
Кодов куча, вариантов тоже куча, к чему это? Есть блокер - ссылка в моей подписи. Каждый случай не факт, что завязан на блокере, миллион вариантов: например, оставить после разблокирования ZBot.

А мне попался такой блокер, что ни мышь, ни клавиатура не реагировали ни на что, кроме как на поле ввода кода разблокировки. Только с соседнего компа зашел на сервис Вэба, там и сгенерировал код.

joiner
Комбинации типа Win+, Alt+ и т.д. тоже не срабатывали? Безопасный режим был?

gjf

Нет.
Я давненько сталкиваюсь с блокерами, а такой первый раз.

joiner
Бывает и такое. LiveCD в помощь или сервисы, как Вы правильно и поступили.
Просканируйте комп - иногда после лечения остаётся что-то типа ZBot.

А вообще очень хорошо помогает утилита AVZ, а точнее в ней функция "Восстановление системы". Сам файл блокера не убивает, но исправляет настройки реестра и окно больше не появляется.

Тока она не запускается бывает, поэтому с livecd реестр править приходится

Prozhector
Переименуйте запускаемый exe например в 123.cmd, в большинстве случаем запустится...

А как обстоят дела с Kaspersky Live CD? Появился где-нибудь в свободном доступе, или возможно кто-нибудь ссылку на актуальную версию тут кинет?

kgenius2, её самому можно сделать актуальной - см. здесь.

Думал винлокеры уже вымерли, однако всё ещё есть люди, которые скачивают "флешплеер" с порносайта.
Выполнен в виде имитации окна браузера с адресной строкой и всё такое. Как-то странно блокирует диспетчер задач, он его сам запускает и висит в трее.
Программой procKill.exe с злго форума обнаружил тело и убил.
Располагается: C:\Documents and Settings\All Users\systems.exe
Автозапуск в наглую: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run под именем "Shell"


вирустотал Результат: 15/41 (36.59%)