» Windows заблокирован!

antiwinlocker.ru
Мне вот такая шняга помогает.

"СВЕЖИЙ" винлокер, а-ля "пионербол" ТУТ пароль 111

во млин пока писал сообщение и закидывал на ргхост уже 5 вендоров "в курсе", а был 1 Оперативно "копипи..ят"

Цитата:

"СВЕЖИЙ" винлокер

В виртуалке, предложенный мной выше способ, не сработал для этого локера. На реальной машине все гут. Один из вариантов, когда в виртуалке и на реальной машине не одно и тоже? Барабашка, однако... Спасибо за новости.

KLASS
а зачем вообще так извращаться? забавы ради? если такая прям ненависть к антивирусам, то можно обойтись простеньким, но настроенном HIPS'ом

о ужас. вы считаете это решением проблемы? если жалко систему родную, то можно виртуалку поставить.
если нет желания и ее ставить - есть софт который делает практически все что выше написано, даже больше и намного лучше - после ребута все будет также как и до установки какой-либо софтины

Цитата:

если жалко систему родную, то можно виртуалку поставить

А зачем?

Цитата:

есть софт который делает практически все

А зачем, когда можно обойтись без него?

KLASS

Цитата:

Не, антивири это уже побочно... к легальному ПО

Зря вы так. Вчера убедился, после "Windows заблокирован!", что надежнее и время сэкономишь, если есть то же легальное ПО и диск с набором привычных прог и утилит. Давно мне говорили знающие: -Раз в пол года потратил час времени и все,забыл. Все работает, все летает. А сколько времени мы тратим на поиски в инете хорошей "Винды", антивируса и подбора к нему ключей? Я вот посчитал, сколько за последние 5 лет перелопатил, попадал,вот взял и установил лицензию-залитал комп и это после неплохого августовского "Х-Тима". Нет такого ПО, которое будет год служить и не закакает реестр(если не только сидеть в "контакте"),а сколько времени потрачено на чистку реестра, ухаживал как за женщиной, а результат тот же-ни какой благодарности. Больше без заморочек, пока смотришь футбол, переустановил и все.
Ну и по существу, я 2месяца назад попал на "Windows заблокирован!", повезло, работала всего одна кнопка на клаве - "Пуск", повозился и через нее зашел в программы, открыл "CCleaner" и в автозагрузке удалил эту бяку.
А позавчера попал жестоко, их уровень растет. В биосе отключили(сь) USB, и после перезагрузки вы уже не можете попасть в биос, порты то начинают теперь работу вместе с загрузкой "Винды", раз пять рестортавал, пока не увидел, а клава, мышка и "заставка"!!!, загараются то одновременно, следовательно, с началом загрузки сразу экран! и ни "через fixmbr fixboot"(человек имел ввиду"вост.панель)ни Касперский тут... Жесткого нет(валялся на 3,5Гб, думал не пригодится), купил за бутылку пива старую не USB клаву и она зароботав как положено, завела меня уже в биос. Теперь клаву не поменяю даже на коньяк, нехай полежит еще. Не попадайтесь, Удачи!

KLASS 22:01 15-01-2012
Цитата:

2IP StartGuard Не видит параметры откуда могут вири грузиться: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute

А отредактировать keys.ini нельзя?

Georgy Nik

Цитата:

В биосе отключили(сь) USB, и после перезагрузки вы уже не можете попасть в биос, порты то начинают теперь работу вместе с загрузкой "Винды

глупости если честно. ни один вирус на это не способен. мы на в прошлом веке живем. если клава не пашет во время загрузки системы, то надо в Биосе включить USB Keyboard Support, делов то

Georgy Nik
Так мы с вами об одном, только подходы разные. Чисто не там где убирают, но там где не сорят. Легальное не легальное не принципиально, принципиально (для меня), чтобы ПО не писало в систему... вообще никакое и не надо будет чистить. Ведь нажав пимпочку, для установки очередной программы, пользователь не ведает, что творит. А отслеживать за каждым ПО-надоело.
inile

Цитата:

А отредактировать keys.ini нельзя?

Наверное можно, не разбирался... по мне дешевле запретить запись в указанные разделы реестра всем и не надо будет что-то ставить для отлавливания жуков. Хобби у мя такое: по возможности научится делать все с помощью системы не прибегая к стороннему ПО. Разумеется, есть специализированное ПО... но это уже тема отдельная.
arvidos
Я, разумеется, пробовал ПО, которое делает откаты при перезагрузке. Просто в свете последних лет бзик у мя, если запрещать жить в системе, то всем

KLASS
смотри чтоб твои увлечения в паранойю не переросли
юзай Portable софт если что

Цитата:

юзай Portable софт если что

Уже почти год, как все перевел... там правда тоже есть свои подводные камни, но это уже другая история.

Цитата:

Оперативно "копипи..ят

"лестное" мнение я им выдал, до сих пор на том же уровне, плюс Авира
Вебина - знает, Нод - догадывается, остальные "монстры" молчат, только ещё некоторые "мелкие вендоры" "в курсе"

Что-то с последними МБР-локерами uVS через раз помогает. Приходится еще и через консоль фиксить..

tshudini
не верю
есть такие экземпляры для теста?

просьба потестить мини утилиту AntiSMS 1.2 http://forum.simplix.ks.ua/viewtopic.php?id=399

Работает только с live CD ,
в автоматическом режиме удаляет баннеры,
алгоритм не описан, полагаю, что правит ветки реестра и удаляет temp-ы,
системные файлы вроде userinit.exe не проверяет.
Насколько она эффективна?

Кому интересно - вирус ходил довольно злобный. Губит буквально все. Оживить после него систему лично у меня не вышло. http://rghost.ru/private/36475104/44689ce4a954d1b61abed1058710f862
Да антивирусами он уже палится.

Цитата:

вирус ходил довольно злобный.

Вряд ли это можно назвать вирусом или локером, это "подлянка" сносит настройки системы задокументированными параметрами.

Цитата:

Оживить после него систему лично у меня не вышло

Загрузиться с LiveCD, подцепить кусты реестра:
System-под именем 1SYS
Software-под именем 1Soft
NTUSER.DAT пользователя под которым запускалось сие чудо-под именем 1NTUSER
Выполнить [more=Reg-файл]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\1Soft\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""
[-HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\policies]
[-HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\1soft\Policies\Microsoft\Internet Explorer]
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Explorer]
"NoViewContextMenu"=-
[HKEY_LOCAL_MACHINE\1Soft\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"RPLifeInterval"=dword:0076a700
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowRun"=-
[HKEY_LOCAL_MACHINE\1Soft\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Internet Explorer\Main]
"Window title"=-
[HKEY_LOCAL_MACHINE\1Soft\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\1NTUSER\Control Panel\Desktop]
"MenuShowDelay"="400"
"WallpaperOriginX"=-
"WallpaperOriginY"=-
[-HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\1NTUSER\Software\Policies\Microsoft\Internet Explorer]
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"NoViewContextMenu"=-
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowRun"=-
[HKEY_LOCAL_MACHINE\1NTUSER\Control Panel\International]
"sTimeFormat"="H:mm:ss"
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=-
"LegalNoticeText"=-
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Internet Explorer\Main]
"Window title"=-

[HKEY_LOCAL_MACHINE\1SYS\ControlSet001\Services\LanmanServer\Parameters]
"DiskSpaceThreshold"=-
[HKEY_LOCAL_MACHINE\1SYS\ControlSet001\Services\USBSTOR]
"Start"=dword:00000003

[/more]
Выгрузить кусты, удалить разделы и файл
C:\Program Files\Bizarre Moderators
C:\Program Files\Company
C:\ВАЖНО.txt
и грузиться в систему. Восстановить ассоциацию файлов .txt

Добавлено:

Цитата:

Восстановить ассоциацию файлов .txt

Это я набрехал, просто в виртуалке у мя в данный момент ассоциаций нет.

KLASS


Цитата:

Выполнить Reg-файл

Добавить нужно значение для удаления надписи ГНОЙ

[HKEY_LOCAL_MACHINE\1NTUSER\Control Panel\International]
"sTimeFormat"="H:mm:ss"

Цитата:

Добавить нужно значение

Так есть же

http://ib2.keep4u.ru/b/2012/02/14/f7/f7fce267eb3c0e9a6a985655e5b957e8.jpg свежайший винлокер..есть у кого..тело вируса для теста?

olzaruta
чем он других отличается? другой номер телефона?

-Да номер один при перезагрузке не меняется.
-Зря смеетесь...могу подкинуть для теста винлокер...

olzaruta
ждём, для "теста"
То, что на картинке, гдето с месяц назад "пробегало", ясно, номер не помню - ненужно мне запоминать одно и тоже, только "картинки", "суммы" и "номера" пионерские меняются.

попадался такой два раза, ничего уникального. Прописывается только в текущего юзера.
Тело не сохранилось.

http://zalil.ru/32722006 пожалуйста для теста...пароль на скачку 2012.....свежак..вот скрин на моем компе http://i29.fastpic.ru/big/2012/0216/1d/c22a8e85c56b7c39c1a255d7f7722c1d.jpg

olzaruta

Цитата:

свежак

"рекомендую" посетить предыдущую страницу, ЭТО даже на "пионерский" винлок не тянет, банально "прыгает" в автозагрузку и "гасится" в момент запуска винды "на три клавы" и в менеджере задач - "чпок".

ну не совсем простой винлок
удаляется да, легко. прописан в обычной ветке автозагрузки
но срет скотина в реестр, что безопасный режим не загрузить, пришлось веточку восстановить

1Kipovec

- Может на пионерский и не тянет, но проблем народу создаст.....
- Мне вот лично это пионерское творение понравилось http://rghost.ru/25897711
- Вот скрин http://i32.fastpic.ru/big/2012/0218/2e/09ebc6eda472e2fd92c2ba621baf562e.jpg
- Я вскрыл его 7-Zipом там 3 файла...reg...cmd...exe.....
- Вот exeшный файл отдельно http://zalil.ru/32733234 пароль 2012
-...посмейтесь