» Windows заблокирован!

Цитата:

файл открыть с помощью неро..

вот если будете писать с помощью этой Неро, то точно у вас загрузочные диски работать не будут. Дано известно, что Неро некорректно пишет загрузочники. А на большой скорости - тем более. У кого не запускается загрузочный WEB - запустите Авиру: http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe

Tanusha23

Цитата:

я поставила в биосе primary master - cd-rom, primary slave - cd-rom, secondary - hdd

Это последовательность, в которой биос видит железо, а вот ниже, последовательность в которой выбирает с чего загрузиться...
Если еще силы и терпение остались, то дерзай...
на вкладке "BOOT "
first boot devais выбираешь CD-ROM.
second boot devais HDD
F10. ок


Цитата:

Неро некорректно пишет загрузочники

Ну чтоб не корректно незнаю, у меня все работают, /желательно на малой скорости писать/ /уходим от темы)))/
А если совсем сопротивляется и вылетает, то самый лучший выход WinISO .он тебе любой образ запишет в лучшем виде))

dr.web выпустила генератор ключей для этого вируса...сам ловил этот вирь и мне этот генератор помог.просто вводите код, который вам предлагается послать по смс и он генерирует ключ. http://news.drweb.com/show/?i=304&c=5

allygator
Тема!!!!! Хоть с опозданием, но веб сработал!)))) Задавили заразу!)))

Почему с опозданием, дата публикации статьи значится 10 апреля. Самое массовое распространение вируса было 9 апреля. Думаю вэб сработал крайне оперативно.

Респект отечественным разработчикам.

Кстати, технология выманивания таким способом денег не нова, ещё 2007 году у многих юзеров была блокирвока такого плана:

Вот это да...)))
О Р Л Ы !))
Даже в голову не пришло

Craager

Цитата:

Почему с опозданием

Ну точно скажу, что LiveCD как раз 10 апреля мне не помог..... пост( Но все равно молодцы!!!!

всем привет, у меня та же проблемка
вот единствеенное, все это произошло на маленьком ноутбуке,где нет CD привода =(
что делать в этом случае,кто-нибудь знает?

sashaboom
Сооруди себе загрузочную флешку к примеру эту http://forum.ru-board.com/topic.cgi?forum=35&topic=23820&start=1810&limit=1&m=1#1
запиши туда еще это http://www.freedrweb.com/cureit/ и проверь комп загрузившись с такой флехи

Тут еще http://forum.ru-board.com/topic.cgi?forum=8&topic=11218#1

ЗЫ Или ищи usb-cdrom

Люди, а мне ничего не помогает, даже drweb генератор (
LiveCD drweb ничего не находит
В папке DocumentsandSettings/All Users указанных выше фаилов нет че делать?
Подскажите плиз

Добавлено:
А как подменить модифицированный userinit.exe на оригинальный, то есть откуда его можно взять?

Groeg
Выполни это загрузившись под WinPE LiveCD и запустив программу из-под удаленного реестра, учетной записи администратор
http://forum.ru-board.com/topic.cgi?forum=62&topic=16177#2
Если не получится то вот в этих разделах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
перепиши названия и путь неизвестных тебе приложений и программ
В этом разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в параметре Userinit должно быть прописано только C:\WINDOWS\system32\userinit.exe,
Все что там будет после запятой удали.

господа.
а ниукого этого виря не осталось?
а ты мы наехали на trendmicro на тему шо их антивирь его не видит... они попросили сам вирь им прислать... а у меня его не осталось, т.к. ручками его прибивал...

Да, кстати, действительно, если у кого есть эта зараза, заархивируйте с паролем, и выложите его, хочу поковырять эту заразку

Johnson Finger
она была в нескольких вариантах, сколько удалял у клиентов
всегда по разному...
номер смс - всегда один и тот-же

Groeg

Цитата:

userinit.exe на оригинальный

я с соседнего компа просто скопировал его, и все.....

Этот вирь можно поймать на порно-сайтах под видом видео-кодека,
за последние сутки он "неплохо" модифицировался.Вот сам вирь , пароль ru-board
http://narod.ru/disk/7738580000/xvidDecoder60.rar.html
а вот инфа с VirusTotal.
http://www.virustotal.com/ru/analisis/aeb62b5fda5ef855eb33a95460717f58
http://www.virustotal.com/ru/analisis/12802a0284fc2d083a3e2625cfd341a4

Цитата:

http://www.virustotal.com/ru/analisis/12802a0284fc2d083a3e2625cfd341a4

да, только DrWeb определяет как вирус, остальные антивирусы по уши .....

Вот и у меня вылезло окно, в котором отправте смс 1gran60 на номер 6008 , что-то типо того.
Загрузился в безопасном, табличка не выскакивает.
далее...
В этом разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в параметре Userinit должно быть прописано только C:\WINDOWS\system32\userinit.exe,
Все что там будет после запятой удали.
удалил, путь был такой c:/windows/system32/MsDtc/Trace/winlogon.exe

поискал файлы созданные за последние сутки и нашел
c:/windows/system32/MsDtc/Trace/winlogon.exe
c:/windows/system32/MsDtc/Trace/hk.dll
в ветке той после запятой все удалил, удалил и файлы тоже все ОК. Спасибо всем.

Пожалуй самый эффектный и эффективный способ избавления от окна.
Не мое - http://habrahabr.ru/blogs/i_am_clever/56923/
Но на стадии после загрузки проводника лучше всего запустить regedit и прямиком проверять Userinit (см. пост выше) и удалять лишнее.

оправил утром касперу и трендам вирь - каспер добавил в базу через 20 минут. а трэнды до сих пор не телятся.
после обеда на одном из клиентских компов повился такой же вирь но в другой модификации - опять отправил и касперу и трэндам...

ОФФ - трэнды ваще тормозные када была эпидемя салити - я им отправил вирь - они тока через 2 недели проснулись

в общем live cd мню не помог.... тема в том чтона ноуте было востоновление системы.... реестр просто дезинфицирован чистый =) ничего... как мню сказали эта хрень сама пропала... ? я хз как... в общем заблокировался биос.... подскажите как мню удалить пароль?... debug еще не пробовал... о матери нинаю ничего =) проста посмареть забыл знаю ток что ноут асус... скажите какиенить заводские пароли...

kobden
совсем не в тему.
разбери и вытащи батарейку, или на Асус на дне есть кнопка сброс биоса

Цитата:

ОФФ - трэнды ваще тормозные када была эпидемя салити - я им отправил вирь - они тока через 2 недели проснулись

Мдя, есть такое. Это известная проблема трэндов. Обусловлена объективными причинами: они заточены на крупный корпоративный рынок, поэтому долго тестируют свои базы на работоспособность и совместимость. Сам на работе админю их продукты, ИМХО в плане гибкости настройки, развёртывания и управления им альтернативы нет, но в плане оперативности реагирования на новый вредоносный код увы хромают. Подстраховываюсь установкой клиентам Kaspesky SOS (сканер по требованию). Сории за офтоп.

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
http://news.drweb.com/show/?i=304&c=9&p=0
хотя на прошлой странице было... но я не увидел

В моей версии никакие экранные лупы и т.п. не помогли, а загрузиться с привода не было возможности (клава на ноуте сломана а usb при старте отключен) пришлось ждать 2 часа. Все само прошло.

лично я личил эту фишку (от души посмиялся когда увидил это окно) достаточно просто.
1. Когда оно появляется нажимаем Ctrl+Alt+Del и нажимаем отмена, винда грузится даьше
2. после чего просто сканим комп антивирусом (я это делал бесплатной версией Avira Antivir)
3. Перезагружаемся и больше не видем этой таблички

А у меня схожая проблема, только вот ничего из вышеописанного не помогает, да еще и таймер тикает... Кто нибудь может подсказать?

Заходим в безопаске и спокойно отключаем все надстройки эксплорера..После чего перегружаемся и сканим анвирем

Сча принесли ноут с такой бякой, по ходу разраб следит за форумами, кейген от доктор веба не катит, при загрузке в безопасном режиме под рабочей учёткой - та же хрень вылазит, под админом - виснет. Под рукой лайфсиди нет, дома буду тока завтра...тока флешка с собой,и инет на др компе...
UPD Ыыы...перевёл дату в bios на день вперёд, бяка моргнула и исчезла...запустил avz, лечуcь,как что - отпишу ^^
Как я понял, владелец бука поймал вирь через LAN, система WinXP.SP2, у меня дома XP3 без антивиря и файрвола, в сети думаю в ближайшее время наловят (^^ денежка^^), проверим помогает ли третий пак от попадания сей заразы))

mudag100500
нет, сеть и сервиспак тут ни причем, это видео кодек на порно сайте...

Vigorous
Сейчас хозяин зайдёт, спросим /gg
sandkey,Byrkava,uoker и другие - ваши способы УЖЕ не помогают, м.б. от первой модификации ЭТОЙ гадости и помогли бы... и то не все...Как уже писал, помогла лишь смена даты через биос, далее лечил всемогущей avz
UPD и правда по порнухе лазил