» Windows заблокирован!

bootice
Стоящая утилита, ввиде одного запускаемого маленького файла, с большим функционалом. Добавил в шапку.

jExOn
Спасибо.
Я же, всё-таки, просил логи Каспера по поводу БУТ-ВИРУСа: причём здесь CCleaner?

reddestfox

Цитата:

причём здесь CCleaner

: ) а как ты думаешь ? БУТ-ВИРУС так прописан !! это не та программа,для работы с реестром (значок WMP к ней тоже никак не относится)

Цитата:

Видео, демонстрирующее заражение системы Винлоком

чет ссылка на видео не открывается?

перезалил: http://rghost.ru/12508001

ynbIpb
сенкс

Эти сервисы не помогают в том случае, если троян блокирует окошки(90% трояны блокируют все окошки)!

ynbIpb
Смотрел-очень познавательно для новичков,еще бы урок как mbr версии заразы лечить сварганил?

Довольно подробная статья как бороться с блокираторами.
http://www.mdex.nnov.ru/page/kompjuter-zablokirovan-novyj-variant-vymogatelej.html

Цитата:

Смотрел-очень познавательно для новичков,еще бы урок как mbr версии заразы лечить сварганил?

что думаете про эту инструкцию http://antivir.hut1.ru/metodika/0032.html
?

BennyBlanco

Цитата:

Есть ли способы запретить запись в mbr?

В сценарии выхода из системы указать нужную команду для перезаписи здоровой MBR
gjf

Цитата:

Буткиты освоили внедрение на других ранних этапах загрузки, ntldr, например.

То же самое... вторую команду, для перезаписи ntldr

И что, каждый раз мучить несчастный Mbr?
(не говоря уже о том, что ребут возможен и без сценария выхода - вирус заменит MBR, а затем просто выбросит систему в синий экран).

Проще сделать Акронисом копию MBR, и восстанавливать при необходимости с флэшки.
То же самое с системными файлами - если есть возможность - заархивировать Акронисом весь диск C, если нет - "корень" диска и папку Windows.

Сделать загрузочную флэшку и записать на неё образ MBR и архив с системными файлами.
У вас не возникнет необходимости восстанавливать их чаще, чем пару раз в год.

Цитата:

И что, каждый раз мучить несчастный Mbr?

Мучить? Дык вы файлы пишите, документы правите-то же мучаете диск? Выключите комп и не будет мучений

Цитата:

вирус заменит MBR, а затем просто выбросит систему в синий экран).

Покажите вирус, я вам еще чего нить скажу

Добавлено:
И потом, почему то любой админ UNIX-систем знает, что работать под рутом небезопасно, но как дело касается Windows, так все сидят под админами. Заведите обычную учетку и не будут возникать вопросы типа:

Цитата:

Есть ли способы запретить запись в mbr?

Добавлено:

Цитата:

заархивировать Акронисом весь диск C

В печку (С), это и есть "вирус". Имидж не есть чистый образ системы. Перед такой архивацией посмотрите в редакторе диска расположение MFT. Потом раскатайте образ и опять в редактор смотреть расположение MFT.
Бекап системы это когда вы воспроизводите упавшую систему 1:1 включая и структуру файловой системы, все остальное от лукавого.

Подскажите, как удалить такой блокиратор, только с телефоном 8-988-503-80-99?

Цитата:

Подскажите, как удалить такой блокиратор, только с телефоном 8-988-503-80-99?

Они могут быть похожи внешне, но действовать по-разному.

Базовые принципы изложены здесь

Цитата:

Довольно подробная статья как бороться с блокираторами.
http://www.mdex.nnov.ru/page/kompjuter-zablokirovan-novyj-variant-vymogatelej.html

хотя имена вирусов, конечно же, совпадать не будут.

Загрузитесь в LiveCD, посмотрите какие файлы были созданы/изменены в момент зависания.
Зачастую это дает ответ на вопрос, какой из них является вирусом.

Посмотрите ветку реестра -

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

там довольно часто прописывается ссылка на вирус.

Nikoderiko

Цитата:

И что, каждый раз мучить несчастный Mbr?

Чтобы не пере-записывать каждый раз MBR, качаем Sector Inspector. Далее пишем сценарий, где делаем сравнение существующего MBR с тем, что забекапили. Если байт в байт, перезапись не делаем.

Nikoderiko

Цитата:

каждый раз мучить несчастный Mbr?

Ты считаешь, что перезапись MBR (512 байт) для винта столь мучительно-болезненная операция?

Nikoderiko

Цитата:

И что, каждый раз мучить несчастный Mbr

А в биосе выставить мбр бут вирус протекшен- не судьба?

Selev
А нам, в смысле ОС, по барабану

Nikoderiko 02:11 28-06-2011
Цитата:

Загрузитесь в LiveCD,

Из шапки помогают?

Цитата:

Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
 

NONONINI
Цитата:

Из шапки помогают?

Да, помогают. Иначе бы их в шапку не поместили.

Neon2 12:23 28-06-2011
Цитата:

Да, помогают. Иначе бы их в шапку не поместили.
 

Я в смысле для конкретного блокера. http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=1780#8

Цитата:

Подскажите, как удалить такой блокиратор, только с телефоном 8-988-503-80-99?

телефон вообще не имеет значения. Их там зашито до сотни штук и при каждом запуске вылезают разные номера. Это такая защита от блокировки номеров.
ВНешне похож но тот, который подменяет userinit.exe и taskmgr.exe, лечение я описывал тут: http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=1480#10

ynbIpb

Цитата:

При запуске кидает свое тело в: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и прописывает его в реестре вместо проводника HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell - Это отвлекающий манёвр.

Понял, что маневр отвлекающий, но что нибуть делаем с этим отвлекающим, сразу его исправить и как?или идем дальше. Если нужно что то сделать, подскажите как (можно в ПМ) поподробнее, если не затруднит, не совсем понял порядок лечения.

KLASS

Цитата:

Чтобы не пере-записывать каждый раз MBR, качаем Sector Inspector. Далее пишем сценарий, где делаем сравнение существующего MBR с тем, что забекапили. Если байт в байт, перезапись не делаем.

А можно подробнее.

BennyBlanco
[more]
Создаем копию MBR в файл mbr.bin. У меня этот файл лежит вместе с программой Sector Inspector. Далее пишем батник, где пути каждый добавляет свои:


Код:
@echo off
:: Считываем существующий MBR диска, с которого производится загрузка, в файл mbr1.bin
secinspect.exe -backup \\.\PhysicalDrive1 mbr1.bin 0 1 CONFIRM
:: Сравниваем файлы
fc mbr1.bin mbr.bin
:: в зависимости от результата, выполняем то или иное действие
goto answer%errorlevel%
:answer0
:: Действие, если файлы одинаковые, т.е. выход
goto end
:answer1
:: Действие, если файлы разные, т.е. возвращаем забэкапленный MBR на место
secinspect.exe -restore \\.\PhysicalDrive1 mbr.bin 0 CONFIRM
:: Стираем файлы (копии существующей MBR), которые создаются при замене
del *.dsk
:end

KLASS

Цитата:

Selev
А нам, в смысле ОС, по барабану

Ничё не понял, в каком смысле ОС?
На линуху что ли намекаете?
Дык на любой оське пофигу, когда есть механизм отмены.

Цитата:

Понял, что маневр отвлекающий, но что нибуть делаем с этим отвлекающим, сразу его исправить и как?

Порядок действий:
1. Исправляем отвлекающий манёвр (удаляем тело и исправляем ключ реестра).
2. Удаляем подменённые системные файлы userinit.exe и taskmgr.exe (не забываем и про папку dllcache)
3. Добываем откуда угодно оригинальные файлы userinit.exe и taskmgr.exe и копируем в нужные места.
4. ?????
5. PROFIT!!!

KLASS

Цитата:

Подробнее...

Спасибо.
Чем создать копию MBR в файл mbr.bin?

Добавлено:
Что то у меня этот блокер перестал блочить загрузку... А ведь мне нужен рабочий для экспериментов.

Selev
boot virus protection - я таких пунктов в БИОС уже лет 10 не замечал. У вас он есть и действительно работает? Опишите (не ссылками), что происходит, когда при включенном параметре вы изменяете один байт в МБР используя тот же редактор дисков и перегружаете комп. Спасибо.
BennyBlanco

Цитата:

Чем создать копию MBR в файл mbr.bin?

Дык чем угодно, хоть редактором дисков, хоть Bootice, хоть той же Sector Inspector строкой вида:
secinspect.exe -backup \\.\PhysicalDrive1 mbr.bin 0 1 CONFIRM
обратите внимание, у мя загрузка системы происходит с первого винта, а не с 0, как обычно бывает.