» Windows заблокирован!

Спецы по Winlocker'ам и простые пользователи
Новая зараза Вирус WinEraserr. Будьте бдительны !

Denn29
это яма для вирусописателей
и очередные подъемы продаж АВ

Цитата:

Новая зараза Вирус WinEraserr

Живого не отловили ещё нигде? Любопытно было бы пощупать.

Цитата:

alexzzzzz
При загрузки с LiveCD разве не было видно структуры системного диска?

именно

kirik64
Живого вроде как отловили. Пощупайте если интересно.
http://forum.overclockers.ua/viewtopic.php?f=14&t=45925&start=40

zomby0011

Цитата:

Живого вроде как отловили. Пощупайте если интересно.

Какой пароль на архив?

virus

arvidos
Спасибо не сообразил.
зы аваст определил в нем руткита

Привет!Не подкинете свежего МВR локера для эксперимента или ссылку.

Цитата:

качиваем, тратим 15 минут на изучение инструкции и всё. Любые блокираторы на ура удаляются, включая последние модификации которые в MBR прописываются.

Так дело в том что не видно разделы с системой - какую директорию то с системой выбирать?!
Загрузил вот uVS, а она не видит разделы жесткого диска. Как быть?

tshudini
Если не видно разделов, но видно сам диск, то нарушена структура диска и нужно уже восстановление разделов. Если не виден диск, тов сборке нет поддержки вашего контроллера дисков, поможет переключение временное в биосе с AHCI на IDE режим.

IvANANvI

Цитата:

Если не виден диск

Диск виден.
Разделы восстановил, ОС грузится, всё нормально.

tshudini, ну так надо бы описать порядок действий в вашей ситуации. Вдруг у кото-то будет подобный случай.

Ничего не напоминает?

ynbIpb

Цитата:

tshudini, ну так надо бы описать порядок действий в вашей ситуации. Вдруг у кото-то будет подобный случай.

Значит так: вымогатель стартует сразу после пуска компа - т.е MBR вида. При загрузке uVS никаких директорий не видно. В АДД диск виден как неразмеченное пространство. Я не претендую на нужность всех действий но делал в такой последовательности : FIXMBR - исчезла надпись вымогателя. Далее Paragon Partition Manager произвел поиск и восстановление разделов. ADD назначил системный раздел активным/основным. Винда стартовала. Ну и уже после этого uVS произвел поиск и чистку всех зловредов которые нашел.
P.S. Клиент утверждал что ничего предшествующего заражению сам не запускал - тупо лазил по страницам Оперой. Выскочило окно от майкрософтовского антивируса с предложением заблокировать какое-то действие. Клиент согласился, после чего комп ребутнулся и уже поличился при старте тектс с требованием днюжек)) Если принять на веру его слова то что имеем - скриптовое заражение со страницы?

Спасибо за инфу. Заражение скорее всего произошло через связку эксплоитов для плагинов: Акробат, Ява, флеш. Чаще всего пробивает Яву. Я её всем выключаю в плагинах.

з.ы.
JekG, _http://deleted

Убрал. Тогда и название сотри, гуглится легко.
Взамен даю сцылку на тулзу касперского: _http://support.kaspersky.ru/faq/?qid=208637174

ynbIpb
Адрес я на скрине затер намеренно дабы не плодить хулхацкеров

ynbIpb

Цитата:

Убрал.

tshudini

Цитата:

Клиент утверждал что ничего предшествующего заражению сам не запускал - тупо лазил по страницам Оперой. Выскочило окно от майкрософтовского антивируса

ynbIpb

Цитата:

Заражение скорее всего произошло через связку эксплоитов для плагинов: Акробат, Ява, флеш.

Возможно, все проще - окно было имитацией на сайте.

у Касперского новый сайт - http://sms.kaspersky.ru/

и новая утилита:

Gulftown
Не прошло и нескольких лет, у других антивирусов правда аналогов до сих пор нет. Хотя думаю подобную утилиту зловреды обходить легко научатся.

Gulftown
IvANANvI
По мне уже как бы и поздно все это дело вышло-уже и винлокеров особо нет,помоему блокеры уже пройденый этап эволюции вымвгания денег,хотя кое где они еще есть

Блокер на МЕГАФОН 9261289732 - хотят 500 руб.
Дохтур - не знает, Каспер - рассказываеn о AVPTool?, а зараза лезет в MBR и грохает разметку диска.
Это пройденный этап или что-то новое?

Вот есть темка http://forum.ru-board.com/topic.cgi?forum=62&topic=0509 о восстановлении дисков.

dgm
AntiWinLockerLiveCD Специальный LiveCD для разблокировки в шапке не робит?

KAPTA_JOKER
Не робит, так как НЕТУ системы..
Да я руками все сделал. Просто не понятна позиция антивирусных гуру

Что-то новенькое в моей практике: _http://rghost.ru/35597201 (сам по себе старенький, палится всеми антивирями)

Обратите внимание на орфографию. Опять билдер попал в руки к школьникам?

Заражение:
Кидает своё тело в: C:\WINDOWS\temp\iefl.exe
Прописывает автозапуск в:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
параметр AdobeUpdater
И самый крутой финт: Ставит себя отладчиком процесса userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
параметр Debugger


Лечение:
Грузимся с любого LiveCD, удаляем указанные ветки реестра и само тело.
Важно: Если удалить только файл, то войти в систему не сможет, не запустится userinit.exe

ynbIpb
косят под школоту

Цитата:

Просто не понятна позиция антивирусных гуру

Какой антивирусник?

Помогите пожалуйста!
После удаления винлока 2741 (заменила в реестре параметр шелл и удали указанный в пути файл, но дело в том, что этот файл был не эксешный, и ни какой либо другой (как сказал компьютерщик) с помощью какого могла бы стартовать программа, к сожалениб расширения не записала) постоянно выскакивает окно "обнаружение диалоговых окон интерактивных служб"
Со следующим содержимым: Программе не удается отобразить сообщение на рабочем столе.
Заголовок сообщения Microsoft Visual C++ Runtime Library
Путь к программе C:\Windows\SMINST\BLServise.exe.
Оно уже три месяца день в день выскакивает, и если его закрываешь, то оно тут же снова выскакивает.
Проверяла Касперским, Доктором вебом и МСЕ - они ничего не находят.
Подскажите пожалуйста, имеет ли это отношение к тому вирусу и что ему сделать, что бы оно больше не выскакивало???