» Windows заблокирован!

gjf

Цитата:

Ну это когда придёт время UEFI. До тех пор пока что это только проекты.

живой пример - Леново B570, как не пинал на MBR Win7(64) не поставилась
довольно массовый продукт.

Добавлено:
Кстати не нашел темы о GPT (структура, восстановление и тп)

Может было уже... не новый генератор МБР-винлокера, для тренировок. Антивирусами определяется.
Винлокер (10Кб) сразу перегружает комп. Secinspect восстанавливает MBR, но вирь переписывается снова, уже после работы сценария выхода.
Диск D, после входа в систему предлагает себя отформатить.

KLASS
конечно это не секрет, но может не стоит в открытую давать подобные ссылки.

Цитата:

но может не стоит в открытую давать подобные ссылки

По причине?

KLASS

Цитата:

Secinspect восстанавливает MBR, но вирь переписывается снова, уже после работы сценария выхода.

А где находится бэкап файлик mbr.bin?Вы тогда предлагали положить его в папку на С:\ вместе с бат.и Secinspect.

Цитата:

Вы тогда предлагали положить его в папку на С:\ вместе с бат.и Secinspect

Чего то вы путаете, я грил...

Цитата:

Создаем копию MBR в файл mbr.bin. У меня этот файл лежит вместе с программой Sector Inspector

... и потом, какая разница где он будет лежать...

Добавлено:
Выше я зря так "хорошо" об локере подумал, когда сказал:

Цитата:

Secinspect восстанавливает MBR, но вирь переписывается снова, уже после работы сценария выхода.

... просто в сценарии выхода я перепутал винт и восстановил MBR на второй винчестер от того последний и "попросил себя отформатить" Sector Inspector восстанавливает родной MBR и локер не появляется. Разумеется, указанный генератор локеров был сделан для ознакомления и не представляет какой-либо угрозы. Может попасться локер "по-умнее" и прописать свое тело в систему, а равно, и в реестр. Так что, если кто чего надыбает по-серьезнее, делитесь.

Цитата:

... и потом, какая разница где он будет лежать...

Странно,но когда mbr.bin лежал в папке с Secinspect (я делал папку на С:\),MBR не перезаписывался.
Только когда .......\Конфигурация Windows\Сценарии(запуск-завершение)\завершение=нажать на "показать файлы", в Shutdown переименовал mbr1.bin(убрав 1),сделав этим самым бэкап,заработало.До
этого раз 5 сносил виртуалку.Пробовал этот генератор локеров,главное запустилась ОС,вживую лечить
проще.KLASS,спасибо за идею.
И ещё если к этой защите присовокупить AntiWinLocker,чтобы :
-защита от замены системных файлов.
- Не позволяет заменить образы файлов. HiJack.
- Не позволяет блокировать Диспетчер задач, редактор реестра.
или что то подобное,понадёжней будет.Но это ИМХО.

KLASS

Цитата:

По причине?

По причине того, что вы сами же и плодите гавнохакеров. Топик создавался для помощи заразившимся, а вы даете инструмент заражателям... Люди которые в теме знают про этот форум (да и я давал скрин генератора несколькими страницами ранее), а остальным и даром не нужно об этом знать...

Цитата:

да и я давал скрин генератора несколькими страницами ранее

В том смысле

Цитата:

что вы сами же и плодите гавнохакеров

Сорри, что повторился...
"Разруха не в клозетах, а в головах..." (С)

Добавлено:
Alecs962

Цитата:

И ещё если к этой защите присовокупить AntiWinLocker,чтобы :  
 -защита от замены системных файлов.  
 - Не позволяет заменить образы файлов. HiJack.  
 - Не позволяет блокировать Диспетчер задач, редактор реестра.
или что то подобное,понадёжней будет

Извиняюсь, не понял, вы спрашиваете? Как это сделать?

Цитата:

Извиняюсь, не понял, вы спрашиваете? Как это сделать?

Нет,я имел ввиду что к той защите MBR нужно ставить AntiWinLocker.Он делает перечисленное:
-защита от замены системных файлов.....и т. д. но не защищает MBR(кстати запуская генератор я не отключал AntiWinLocker,он не пикнул.Потому что по его части ничего не было).А Secinspect если заблокируется ком.строка толку мало будет.Как то так.
Как то бы ещё сделать оповещение в том батнике,чтобы было видно что MBR был перезаписан.Я добавил в предпоследнюю строку запись создать текстовый файл VIRUS.txt в корне С:\ .А можно сделать чтобы этот txt.создавался на рабочем столе,неважно ХР или 7-ка.По отдельности да,а универсал?

Цитата:

А  Secinspect если заблокируется ком.строка

Ну как она блокируется известно, вставьте в сценарий выхода "разблокировку".
Ограниченную учетную запись не отменили, лучше всех справляется и с указанными в теме локерами и прочей нечистью.

Цитата:

Как то бы ещё сделать оповещение в том батнике,чтобы было видно что MBR был перезаписан

Используйте паузу в сценарии выхода, а в групповой политике включите "Bыпoлнять cцeнapии зaвepшeния paбoты c oтoбpaжeниeм кoмaнд"
Добавьте звуковой сигнал в тот же сценарий типа:
sndrec32.exe /embedding /play /close "%Путь%\сирена.wav"

Цитата:

А можно сделать чтобы этот txt.создавался  на рабочем столе

Так лучше, чтобы запускался при выходе из системы

Цитата:

Используйте паузу в сценарии выхода, а в групповой политике включите "Bыпoлнять cцeнapии зaвepшeния paбoты c oтoбpaжeниeм кoмaнд"

Нет,я не это имел ввиду.Что толку оповещение на выходе,ведь точка возврата уже пройдена,перезагрузку не отменить.Нужно при включении знать,что MBR был перезаписан и искать эту пакость.А то получится,при работе ОС гробитcя MBR,при выходе утилита востанавливает,мы того не ведаем.Я сделал VIRUS txt. пустышку создаётся при выходе(в том же батнике дописал в предпоследней строке) на С:\,но туда редко заглядываю.Как чтобы на рабочий стол что то сделать.Может ещё батник в автозагрузку?Cценарий вроде такого: если есть VIRUS.txt на С:\ то извольте на рабочий стол.

Цитата:

Что толку оповещение на выходе

Гарантия, что Secinspect отработала верно

Цитата:

ведь точка возврата уже пройдена,перезагрузку не отменить

Не понял, куда возвращаться, если вы\вас перегрузили... или по-подробнее

Цитата:

Нужно при включении знать,что MBR был перезаписан и искать эту пакость

Хех... уже "поздно" пить боржоми, болезнь легче предупредить...
При перезаписи MBR вы
а) можете не загрузиться
б) загрузитесь, но вири уже многое "сломают"
и т.п.

Цитата:

А то получится,при работе ОС гробит MBR,при выходе утилита  востанавливает,мы того не ведаем.

Ну как не ведаем то, читайте внимательно мой предыдущий пост

Цитата:

если есть VIRUS.txt на С:\ то извольте на рабочий стол

Лишние телодвижения, да и как сказал выше... поздно!

Цитата:

Лишние телодвижения, да и как сказал выше... поздно!

Ну значит ход моих мыслей был не верен.

Цитата:

вставьте в сценарий выхода "разблокировку"

Цитата:

Используйте паузу в сценарии выхода, а в групповой политике включите "Bыпoлнять cцeнapии зaвepшeния paбoты c oтoбpaжeниeм кoмaнд"

Будем воплощать,спасибо за совет.

KLASS
Я давал скрин с затертым адресом сайта и названием проги. Вы перед тем как ерничать потрудились бы пару страничек назад мышью откнопать... Впрочем, не царское это дело, забейте...

Alecs962

Цитата:

Будем воплощать

[more=В помощь]
Программа fciv для сравнения контрольных сумм


Код:
@echo off

:: Сравнение контрольных сумм файлов в папке Windows (файл .XML создать заранее)
%Путь%\fciv.exe -v -XML "%Путь%\windows-hashes.XML">%Путь%\windows.txt
:: Поиск строки "All files verified successfully" в файле windows.txt
Findstr /c:"All files verified successfully" %Путь%\windows.txt
if not errorlevel 1 (
ECHO Контрольные суммы совпадают
) else (
ECHO Контрольные суммы не совпадают, проигрываем музыку и см. файл windows.txt
sndrec32.exe /embedding /play /close "%Путь%\Siren1.wav"
start %Путь%\windows.txt
)

:: Копирование текущей MBR и сравнение с оригиналом
"%Путь%\secinspect.exe" -backup \\.\PhysicalDrive0 "%Путь%\mbr1.bin" 0 1 CONFIRM
fc "%Путь%\mbr1.bin" "%Путь%\mbr.bin"
if not errorlevel 1 (
ECHO MBR по умолчанию
) else (
ECHO Файлы различаются, восстанавливаем эталонную MBR и играем музыку
"%Путь%\secinspect.exe" -restore \\.\PhysicalDrive0 "%Путь%\mbr.bin" 0 CONFIRM
sndrec32.exe /embedding /play /close "%Путь%\Siren1.wav"
)

:: Сравниваем текущий ntldr с оригиналом
fc /b "%SystemDrive%\ntldr" "%Путь%\ntldr"
if not errorlevel 1 (
ECHO ntldr по умолчанию
) else (
ECHO Файлы различаются, восстанавливаем эталонный ntldr и снова музыка
xcopy "%Путь%\ntldr" "%SystemDrive%:" /y /k /h
sndrec32.exe /embedding /play /close "%Путь%\Siren1.wav"
)

pause

KLASS
Де там ссылка на сайт??? Молодой человек, харе маяться ерундой. Я предложил - до вас не дошло, вы со мной не согласились. Вопрос снят.
Речь шла об этой проге где на скрине присутствовал адрес сайта автора. http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=2340#18

Цитата:

Вопрос снят.

Наконец то... а то гавнохакеры без моих ссылок (ваших скринов) не догадаются набрать в Гугле "MBR Locker"

KLASS

Цитата:

В помощь

Огромное спасибо.
JekG
Генератор брал не по ссылке KLASS,т.е при желании его можно найти.

Ну наконец, то "попался" вирик (а ля компот из вирусов) - пришлось мальца мозг включить Внешне всё банально, загружается типаотмелкосовт-чегототам-антивирус с "грозной" надписью "типа педофилия....бла...бла..бла, довайте бабла 500 на мтс". Он коцает кроме банальщины (юзеринит, параметр реестра и файл), переписи параметра Shell на cmd.exe\ k........, но и параметры VmApplet (переписывает), "нулит" DefaultDomainName и DefaultUserName, "убивает" Host, прописывает какието "левые" dll в систем32 и "апликашки" альюзерс. "прячется" в System Volume Information и Temp - возможно маскируется под известные 0,многоцыфр и 22322ехе.
Но и "правит" МВР (не видятся диски в лайфсд и бутменеджерах)

Короче самого "тела" у меня нет (незнаю КТО), чистил, правил(до правильных параметров) и удалял всё без особой "интересности".

AntiWinLocker версия 2.2


AntiWinLocker версия 2.3 - бета для тестирования
1. Добавлен обработчик AppInitDlls.
2. Исправленны найденные ошибки обработки автозагрузки.
3. Улучшен механизм привязки к железу при смене HDD - поиск всех дисков.
4. В менеджер автозагрузки добавлен пункт AppInitDlls.

AntiWinLockerLiveCD_3_3.iso - Новая версия

JekG

Цитата:

AntiWinLockerLiveCD_3_3.iso - Новая версия

не такая уж и новая

Цитата:

Обновлен:
02.10.11

JekG

Цитата:

AntiWinLocker

от автора:
Всем - пока не лечит MBR баннеры...не продуман механизм...

Gulftown

Цитата:

Всем - пока не лечит MBR баннеры...не продуман механизм...

всем в тестеры

«Блокировщик Windows» довел школьника до самоубийства
http://www.securitylab.ru/news/413045.php

JekG
баян)

Интересный случай лечения: позвали удалить банер вместо русского шрифта знаки вопросов, номер телефона для пополнения просматривался, со слов клиента. Немного опоздав, прихожу к компу, включаю винда спокойно загружается, хозяин клянется, что за 10 минут до меня, не дождавшись, выключил кнопкой питания, потому как висящий банер не позволял сделать это никак правильно. Смотрю следов вымогателя ни вреестре, ни в основных местах проживания нет. Зато касперский весело рабатает, а в отчетах в карантине сидит удаленный вирус по времени удаленный, сразу после обновления баз за несколько минут до моего прихода. Спасло то, что интернет - прямое подключение, а банер не блокировал интернет и обновление касперского. Клиент сказал, что словил его на новостях на mail.ru о Грузии. Тельце, проникшее через IE(8) и удаленное каспером из кеша, восстановил из карантина и попробовал на virustotal.com, его знали только каспер, DrWeb, microsoft (антивирус) и NOD32. То бишь основные, кто быстро реагирует. Кому надо потестировать на виртуалке могу выслать. Вопросики вместо русских букв, были из-за винды XP с английскими региональными параметрами (Языковые стандарты и форматы).

Ребята, при подцепления порнобанера - всегда поможет откат системы?
в каком случае не поможет откат?

contrafack
часто вирус затирает точи восстановления

при заражении MBR тоже не поможет

Gulftown


Цитата:

часто вирус затирает точи восстановления

Встретил иногда компов, которые невозможно было делать откат... вот значит где поделись точки восстановления.


Цитата:

при заражении MBR тоже не поможет

порнобанеры даже MBR лезут?