» Windows заблокирован!

Цитата:

А Нод что ли не удаляет? Раз обнаруживает, то и удалять должен.

Пишет удаление невозможно. Проверяю куритом и касперскиремувтул.

flashsonar
Откуда запускаются антивирусные утилиты если баннер блочит всё? Почему fixmbr не проканывает тогда?

Вот эту утилиту юзай http://ifolder.ru/23628304 (Свежий TDSSkiller)

flashsonar, а MBRCheck ничего не обнаруживает или обнаруживает, но исправить не может?

flashsonar

Цитата:

Пишет удаление невозможно. Проверяю куритом и касперскиремувтул.

Попробуй из-под LiveCD назначить себя владельцем криптоконтейнера, потом назначить полные права доступа для группы Все и вручную накернить.

Цитата:

Дак при попытки загрузки с любого загрузочного диска вылезает баннер

Не может быть. ведь гдето он должен хранить своё тело? НЕ в BIOS'e же он поселился? Это очень трудно реализуемо, учитывая большое разнообразие производителей материнских плат.
А попробуйте физически отключить жёсткий диск, и попытаться загрузиться с како-го нибудь CD.

Цитата:

Откуда запускаются антивирусные утилиты если баннер блочит всё?   Почему fixmbr не проканывает тогда?  

Вот эту утилиту юзай http://ifolder.ru/23628304 (Свежий TDSSkiller)

Винда запускается если попробовать загрузиться с загрузочной флешки. С дисками такая фигня не прокатывает. Утилиту сейчас попробую.

Цитата:

а MBRCheck ничего не обнаруживает или обнаруживает, но исправить не может?

Пишет: "Unknown MBR code", "Found non-standart or infected MBR". С помощью этой же утилиты делаю restore, то тщетно.

От себя: Курит обнаружил какой-то смс-сенд, удалил, но не помогло. KRT ничего не обнаружил.
Кстати вот он - https://lh4.googleusercontent.com/_ClKDMIKdzTg/TdTb_D_f0hI/AAAAAAAAB9I/CssEI2ojBHc/IMG017.jpg

Добавлено:

Цитата:

А попробуйте физически отключить жёсткий диск, и попытаться загрузиться с како-го нибудь CD.

Сейчас опробуем. Еще раз: включаю, выбираю устройство загрузки в бут-меню, выбираю привод, вроде как начинает раскручиваться, но буквально через секунду выскакиевает баннер. Если все тоже самое проделать, только вместо диска выбрать флешку, то флеш начинает загружается, выдает ошибку загрузки и начинается обычная загрузка винды.

flashsonar
Так вы успешно грузитесь именно в WinPE флешки ?

01pump
На флешке хиренс, который на других компах отлично грузится. А в этом компьютере он при попытке загрузится выдает ошибку, но позволяет загрузится винде.

flashsonar
Ну если обычная винда грузится, то ждем результатов от использования TDSSkill

Вот это дела.
flashsonar
Что то я не понял с загрузкой с отключенным винтом. По ходу у вас привод не читает диски хорошо, раз не может загрузиться.

Цитата:

Ну если обычная винда грузится, то ждем результатов от использования TDSSkill

Что-то нашел, удалил, но не помогло...

Цитата:

Что то я не понял с загрузкой с отключенным винтом.

С отключенным винтом все диски грузятся и флешки тоже. С подключенным хардом отказались грузится: флешка с хиренсом 10.4, флешка с хиренсом 13.1, сд с оригинальной виндой, двд со зверем.
Проблема решилась следующим образом. Записал на диск старый хиренс (10.4), он подгрузился. Дальше дело техники. MBRWork - Install Standart MBR code - Standart.
Что собственно и советовал товарищ ynbIpb

Цитата:

В XP должно помочь в режиме восстановления (нажать R при загрузке с установочного диска)
Вбить: FIXBOOT и FIXMBR

Всем огромное спасибо за скорую помощь
Какие-то злые баннеры стали

Для Win7 восстановить MBR и другие сектора дисков смотреть тут, http://forum.ru-board.com/topic.cgi?forum=55&topic=10277&start=0&limit=1&m=9#1
Заодно знать, что в некоторых случаях потребуется переактивация, если SLIC прописан в загрузчике (SLIC эмуляция).

Я для восстановления MBR использую либо MbrFix.exe, загрузившись c RusLive там есть в комплекте.
Либо "по-дедовски" fdisk /mbr.

Значит он таки сидел на винчестере, а то:
Цитата:

при попытки загрузки с любого загрузочного диска вылезает баннер

меня очень удивило. Скорее всего у вас при попытке загрузки с CD привод не смог загрузить и автоматом передавал очередь на винчестер, а там уже загрузочный сектор с винлоком срабатывал.
Вобщем надо брать на вооружение новый метод заражения винлоком.
з.ы.
Нагуглил для Win7 метод:
Цитата:

1. Грузимся с DVD. Вводим первичные данные (всё как при установке).
2. Когда доходим до окна с кнопкой «Установить», устремляем свой взгляд в нижнюю часть окна. Там нажимаем на «Восстановление системы».
3. Выползает окно с разными вариантами. Нам необходим самый нижний пункт «Командная строка».
4. Видим стандартную консоль. Далее вводим bootsect /NT60 C: /MBR (Это если система установлена на диск C). И перезагружаемся.
Всё, MBR восстановлена.

Еще вспомнилась опция в биосе материнок о предупреждении модификации boot сектора, это появилось в эпоху бутовых вирусов, которые со временем ушли.
На самом деле лечение таких вирусов оказалось проще всего.

Цитата:

Скорее всего у вас при попытке загрузки с CD привод не смог загрузить и автоматом передавал очередь на винчестер

Ну какой-то он (винлок) капризный попался, с флешками же тоже не захотел грузить, а записал на диск, подгрузилось...

papados

Цитата:

Да порнобанер может вообще антивирусником никогда не определятся,надо конкретно смотреть что он прописал в автозагрузку и убирать этот его "сценарий" и ключи explorer и userinit в ветке winlogon восстанавливать если те испорчены,или к ним что то дописано как часто бывает. чем и хорош erd. там все наглядно -нагляднее некуда. в принципе способ с тоталом хорош по датам можно увидеть абракодабрские ексешники и удалить в sistem32,windows,папке пользователя.но реестр восстановить все равно придется.

Золотые слова. По сути это и не вирус вовсе, а просто исполняемый файл с видео. Вирус его может только прописать на компьютер, а дальше просто гольное видео. Как правило его на комп прописывает вирус в виде прокладки между стулом и компом, сколько не говори - бесполезно. А потом говорят, что все само...
Вчера ходил к такой прокладке. Целый букет (тоже все само залетело): сначала обычный баннер-вымогатель с телефоном Билайна. Прописался в реестре стандартно в userinit, жил в %system32/drivers под именем system32.exe. Мякнул его, а комп жутко тормозит, да DrWeb при каждой загрузке выдает, что блокирует файл igfxtray.exe в All Users\Application Data. Проверил - нет такого. Ругнулся на lsass.exe. Когда полез проверять, оказалось, что как раз там и живет левый. В процессах висел smss.exe параллельно с нормальным, как оказалось, он и генерил igfxtray.exe. Когда всю эту брагу убрал, сразу комп летать начал.
А сегодня на другом ящике после убития локера перестали запускаться екзешники. Ну и плюс джентльменский набор: блокировка диспетчера задач, regedit-а и т.п. Долго репу на пару чесали, а потом выснили, что эта зараза переписала HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe, где по умолчанию должно стоять exefile, а стало txtfile. Как только поменяли, сразу все стало на свои места.
Может кому пригодится.

hohkn

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe, где по умолчанию должно стоять exefile, а стало txtfile

Спасибо. Ценная инфа для многих.
Сам с таким хозяйством сталкивался не один десяток раз.

hohkn (17:52 19-05-2011)
Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe, где по умолчанию должно стоять exefile, а стало txtfile.

RAVIN202 (02:27 18-05-2011)
Цитата:

http://antivir.h18.ru/metodika/0030.html

RAVIN202 (02:27 18-05-2011)
Цитата:

http://demenev.ucoz.ru/load/

Цитата:

Кому нужны userinit.exe и taskmgr.exe вот народ уже постарался: http://antivir.h18.ru/metodika/0030.html

Для Висты нет, придёться из своих образов ваковыривать....



Да чё то жёсткие локеры стали если в бут область диска начали писаться. И главно нахера писатели вирей так всё усложняют, обычный юзер и из автозагрузки не сможет удалить, что уж там говорить про бут область. Тока тем кто лечит эти машины становиться напряжней, не понятно что они этим хотят добиться.

Trojan.MBRlock.6 Вроде короткоживущий баннер. Лечится изменением даты (на сутки вперед) в BIOS .

Вобщем, имеется Toshiba C650-14E. Принесли с проблемой - запаролился BIOS.
Обнулив пароль путем перемыкания B500 контактов столкнулся с чем-то интересным:

Выглядет это так - еще до запуска загрузки винды вылазит DOS окно со следующим содержанием:
Ваш компьютер заблокирован бла бла бла Билайн 89688432743 500 рублей бла бла бла
И внизу: Enter Code. Если не правильный пароль пишет error.
Но, как и предпологалось: winlogon чистый, explorer и userinit не подменены.

В безопасный режим и тд и тп загрузиться не даёт - вылазит раньше bootmenu


Решено:
Грузим DOC+NC, fdisk /mbr 1
Стояла win7, соответственно с дистриба делаем восстановление запуска и все становится

НЕ рекомендуется для лечения использовать утилиты, позволяющие восстанавливать стандартный MBR, т.к. в этом случае не происходит восстановление таблицы разделов диска.

Дак как тогда его удалить чтобы при этом файлы и возможность загрузки ОС осталась. На разных системах XP, Vista, 7 и разных файловых системах NTFS, FAT.

Прошу совета, форумчане. Win заблокирован заставкой - за просмотр-распространение
педофилии... деньги на тел. 8-981-891-75-55... Изменение BIOS на загрузку с CD ничего
не дает - загружается с винта. Мои пробы - все варианты безопасной загрузки. На сайтах
сервисов деактивации моей картинки нет;по номеру тел. один сайт дал варианты кода -
не подходят... Есть какие мысли?

gold_boy (01:32 24-05-2011)
Цитата:

НЕ рекомендуется для лечения использовать утилиты, позволяющие восстанавливать стандартный MBR, т.к. в этом случае не происходит восстановление таблицы разделов диска.

Откуда взялась эта цитата? Абсолютно не взаимосвязанные вещи. Не было ни одного случая потери таблицы разделов диска, при восстановлении MBR.

Цитата:

Откуда взялась эта цитата? Абсолютно не взаимосвязанные вещи. Не было ни одного случая потери таблицы разделов диска, при восстановлении MBR.

Вроде с сайта доктора веба http://vms.drweb.com/virus/?i=589788 но ща он не загружается чё то.

Распишите по подробнее как востановить MBR без потери информации.

См. на этой странице и предыдущей, выше. Все способы вспомнили сразу.

Может удобнее было их всех объядинить для каждой ОС и в шабку. А то вирус набирает обороты.

SoaD1987
А если загрузиться с установочного диска Windows и там выбрать что-то типа fixboot, либо fixmbr?
По-моему, тоже помогло бы.
Кто как думает?

Цитата:

По-моему, тоже помогло бы.
Кто как думает?

Вообщето так и лечится (в случае с XP), о чём было написано на предыдущих страницах. На днях изгонял у двоих подобного зверька из MBR (красный текст тупо в досовском стиле, даже картинку не придумали).
Никаких проблем с разделами не было, доктор веб что-то гонит. Видимо призывает чтоб пользовальсь только их услугами)

А можно тело вируса чтобы поэкспериментировать.