» Windows заблокирован!

Цитата:

обязательно с запятой в конце

А почему обязательно? Я много раз прописывал без запятой и всё нормально загружалось и работало.

olegupb

Цитата:

обязательно с запятой в конце

gold_boy

Цитата:

А почему обязательно?

Не обязательно. Запятая в данном параметре является разделителем исполяемых файлов. Как правило тут "живёт" только userinit, но при желании можно прописать и другие исполняемые программные файлы. Данный параметр - один из способов автозапуска программ. И, пожалуй, единственный (не считая системные службы), не зависящий от Explorer.Exe (т. е. работает даже в том случае, если последний не является оболочкой Винды по умолчанию).

ynbIpb

Цитата:

Ходил на вызов. Попался новый экземпляр

сейчас тоже друг звонил, у него не что подобное как я понял, только номер 9652520430...кодом эту дрянь можно убить?

DJMC

Цитата:

кодом эту дрянь можно убить?

Попробуйте тут посмотреть:
http://support.kaspersky.ru/viruses/deblocker

Уважаемые Модераторы, не считайте пост клоном, просто два топика о похожих траблах, поэтому копирую.

Для информации.
Сегодня позвонили знакомые. Не могут войти в систему, типа Винда нелицензионная (Винда стоит самая что нинаесть лицензионная) требуют код. Необходимо отправить СМС с текстом kk765 на номер 9395. Порыскал в унлокерах Доктора и Каспера - ответов нет, т.е. малварь свежий. Попросил поиграться с датами в БИОСе. Они поигрались, в результате запрос кода пропал, но появился "чистый" рабочий стол - только обои. Захватил ERD и поехал к ним. Запустился с ERD, залез в реестр и прифигел... малварь полностью заменил ключ Shell, не дописал себя к Проводнику, а заменил его без вариантов... Т.е. в данном случае скан винта на другой системе не поможет (!) Из под того же ERD подправил ключик, удалил файлу: загруз норм. С помощью AVZ (очередной раз кланяюсь создателю(ям), нет необходимости ручками работать) восстановил все заблокированное (ред.реестра, дисп.задач, инет (настроечки TCP/IP, иначе не было канала)). Все заработало. Кстати, стоял (стоит) ломаный NOD, но обновляется.

Цитата:

малварь полностью заменил ключ Shell, не дописал себя к Проводнику, а заменил его без вариантов...

Да сейчас они так и делают, чтобы у юзера не было возможности потыкать значки на рабочем столе и в пуск залезть.

подруга поймала баннер, просит пополнить счет на номер 8962...... на голубом фоне, рабочий стол не появляется.
может кто поскажет чем эту каку уничтожить?

Когда появляется? Рабочий стол вообще не появляется?

Добавлено:
Когда появляется? Рабочий стол вообще не показывается?

colovorot
промигивает и тут же голубенький экран с просьбой пополнить счет

Деактивация через сервисы из шапки пробовалась?
Промигивает полноценный рабочий стол (с панелью задач, с файлами) или только обои?

Sinner180
Выше же ссылка была:

Попробуйте тут посмотреть:
http://support.kaspersky.ru/viruses/deblocker
Заходте на эту страничку. Вводите ваш код. Открываются картинки баннеров. Выбираете ваш и смотрите коды разблокировок.
Иногда помогает в настройках биоса перевести время, например на год вперед...

colovorot
извиняюсь перед сообществом, сейчас уточнил:
сразу черный экран с просьбой пополнить счет 89853136559 на 400 р.

вариант из шапки с заходом в БИОС не для нее , ей бы что попроще

Попроще - поискать код на сервисах унлокерах антивирусников (из шапки). Или код не просится? Только просьба пополнить счет?

colovorot
просит пополнить счет, окно для ввода кода есть и есть кнопка разблокировка, что смущает , просит пополнить счет и никаких текстовых СМС, встретил такое впервые

безопасный режим и командная строка не для нее
сделал бы сам но она в другом городе

rodrigo_f
пробовал у Каспера и у Вэба
такого банера еще нет, наверное скопирую, все пусть играется

Отличный способ если изменен ключ реестра запуска оболочки explorer: http://support.kaspersky.ru/viruses/solutions?qid=208639681 работает, если больше ничем не подкреплен, типа загрузки дополнительных вирусов из ключей автозапуска или драйверов.

В картинках расписан вариант смены даты в биосе: http://support.kaspersky.ru/viruses/solutions?qid=208639890

IvANANvI
+5

Счетчик малваря может быть чувствителен: к годам, к месяцам, к дням, к часам, к количеству "просмотров" (запуска). Если он переписал ключи в HKLM, не факт что система запустится в Safe Mode даже с поддержкой командной строки и сработает Редактор реестра. После "ухода" малваря не факт, что система заработает нормально. Борьбу с одним вреднюком я описал в посте выше 13.12.10 г.

colovorot

Цитата:

После "ухода" малваря не факт, что система заработает нормально

Недавно "боролся" с этой гадостью на двух компах. На одном win7, на другом winXP. Правда баннеры были разные - "400 и 450 рублевые". Баннеры ушли. Вин7 - не пострадала. ХР-шку выкинуло в "экран синей смерти"...

такая же проблема как и у Sinner180 только номер 9160074664

rodrigo_f
Как боролся, чем победил? Напиши... Раздел соответствующий.

Цитата:

Как боролся, чем победил?

Кое какие подробности:
- в обоих случаях баннеры блокировали загрузку виды(как win7, так и ХР). В безопасном режиме то же самое. Правда второй баннер был хуже - после неправильного введения ключа он блокировался на два часа. Т.е. нельзя было в его строчку ввода ввести код. Оказывается с этим можно бороться(правда узнал позже) - перевести время в настройках биоса вперед. Так же, загрузившись с Live CD, можно найти папку с баннером. Имя ее кучка цифр. Например папка с именем 12579846. Расположена была в корне диска "С" или в Моих документах. Внутри экзешник и еще какой то файл. Удаление их ни к чему не приводит. После перегрузки ОС они вновь появляются. Если запустить экзешник, то на экран выводится окно баннера. Т.е. можно удалять баннер - загрузившись с Live CD, открыв его папку, запустив экзешник и ввести код разблокировки. После введения кода разблокировки баннер(по крайней мере видимый который) самоуничтожается.
- на сайте кашперовского(с другого компа пришлось входить), по ссылке:
http://support.kaspersky.ru/viruses/deblocker
По номеру, который баннер указывает приведен набор разных баннеров. Ищем похожий.
- в одном случае помогло введение кода 123456789 - набор из 9-и любых символов
- во втором случае введение определенных символов 0123456789

Но, правда, в обоих случаях я не стал антивирусом искать остатки баннера. Просто переустановил системы. Т.к. Win7 - и до этого глючила сильно - просилась на переустановку. А вот с ХР-шкой, не знаю почему, после удаления баннера, ушла она в полный "экран синей смерти"...

Добавлено:
И еще...
В первом случае(с Win7) в ОС был KIS210 - пробная версия
Во втором случае - Drweb 6 (лицензия)

Загрузившись с Live CD, лучше сразу посмотреть в реестр зараженной системы и выяснить откуда запускаются файлы банеров. Дальше варианта два, либо удаляем файлы, после перезагрузки исправляем ключи реестра на правильные, либо правим ключи и сразу складываем подозрительные файлы в отдельную папку.
Помогут: Либо ERD, либо запуск autoruns от Sysinternals в режиме Remote, либо вручную подгрузив соответствующий куст реестра (знание ключей, долго, не удобно). Все в комплекте есть в лучшем на мой взгляд WinPE RusLife (http://forum.ru-board.com/topic.cgi?forum=35&topic=47329&start=0&limit=1&m=7#1).

Цитата:

Т.е. нельзя было в его строчку ввода ввести код.

Т.е. можно удалять баннер - загрузившись с Live CD, открыв его папку, запустив экзешник и ввести код разблокировки.

Простите, ввести код - самоцель? Загружаться с LiveCD для того, чтобы запустить вирус?
Удалять нужно не путём ввода кода, а нужно удалять сам вирус и править его последствия, если они мешают загрузке системы. Действиями, указанными предыдущим собеседником. Правда, инструментарий может быть более обширным.

Действительно бред подбирать код. Такого функционала просто может не быть в вирусе. Им не важно что будет с жертвой после оплаты. На неделе 3-4 вызова по винлокерам. Я даже уже не всматриваюсь в их разновидности и не прошу хозяев запустить родную ОС, чтоб поглазеть на него. Сразу в Биос, загрузка с CD, Гружусь с диска и лезу в реестр в заветную ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Все дружки там обитают. Вычищаю, гружу родную ОС, Запускаю AVZ, Файл > Восстановление системы.
Всё.

з.ы.
Когда очень усердно врут, что не лазили по порну, Устраиваю разоблачение
Типа: А это кто в поиск яндекса писал: порно ?

ynbIpb
Да в журнал браузера лучше не заглядывать, такого навидаешься.

не особо эффективный способ т.к. многие вымогатели блокируют весь экран полностью и сворачивают диспетчер и окно запуска(win+r)

А у меня такой вопрос в последнее время появляются вири которые блокируют драйвер мыши и клавиатуры как с этим бороться ???

Есть доступ с LiveCD к реестру заражённой машины и ее файлам
--
Это уже проходили

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit - C:\WINDOWS\system32\userinit.exe,
Shell - Explorer.exe

Как быть с блокированием драйверов ???




--
Ioanne год слежу за этой темой

AdapterLp, экземплярчик бы в студию. Те, что мне попадались отпускали клаву и мышь после смерти сами.

ynbIpb хорошо принесу как будет
Сегодня например у пользователя:
Тут было всё чисто, как и должно быть в этих ветках –
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Userinit - C:\WINDOWS\system32\userinit.exe,
- Shell - Explorer.exe

Виста

Пока переустановка но хочется красиво….
Экземпляр не под рукой..
Если пользователи дотерпят.. то DrWeB 6 v1 777 677 проверит весь диск…(почти все файлы сохранены)
Сообщу результаты…

----------------------------------- -------------------- ------------------------------------------------ ------------- -----------------------
Инфа

Мышь Seven 32bit
c:\windows\inf\msmouse.inf
C:\Windows\system32\drivers\mouhid.sys
C:\Windows\system32\drivers\mouclass.sys
------------------------------------------------------------------------
c:\windows\inf\msmouse.inf
C:\Windows\system32\drivers\i8042prt.sys
C:\Windows\system32\drivers\mouclass.sys

------------------------------------------------------------------------
Клавиатура Seven 32bit
c:\windows\inf\keyboard.inf
C:\Windows\system32\drivers\i8042prt.sys
C:\Windows\system32\drivers\kbdclass.sys
------------------------------------------------------------------------

------------------------------------------------------------------------

А как вариант хак в пару действий
На примере Мышь
Копируются свой mouclassBAD.sys в папку «drivers»
И регистрируем новый драйвер в системе
Перезагрузка…мышь в наших руках!

Вопрос, где эт всё в реестре и как c ERD всё вернуть обратно??
Пусть это в теории
Как?

Нужно мониторить тело. Я думаю так: на виртуалке ставим софт удалённого администрирования с возможностью управлять процессами и реестром (это чтобы убить зверька когда клава мышь заблокирована). Перед запуском делаем снимок системы, запускаем, ребут. Убиваем. делаем второй снимок и анализируем.

ynbIpb Согласен ну ктож тело даст оно сделает дело раскидает файло, reg и удалит себя с машины

А я смогу взять с зараженной машины ток исполнителей.. так сказать.. а нужен заказчик