» Windows заблокирован!

Цитата:

Думаю, можно начинать писать в Шапке FAQ

...(Frequently Asked Questions) - список часто задаваемых вопросов по какой-то определенной теме....т.е сюда http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=1500

Добавлено:

Цитата:

Хорошие советы. http://kompkursk.far.ru/baner/baner.html Здесь ещё пару советов можно найти.

- Попахивает рекламой ( внизу номер телефона)

- А скачка моего материала для тестов....идет на УРА!

olzaruta
Я имел ввиду FAQ по этой теме.

Цитата:

А скачка моего материала для тестов....идет на УРА

А то, думаешь противники зря появляются

Цитата:

Я имел ввиду FAQ по этой теме.

....понял
....шифровщики чуть позже выложу...сейчас еще один свежачок снимаю...
....но по шифровщикам у меня кроме ввода пароля, проверкой Dr.Web CureIt и Kaspersky Virus Removal Tool 2011 или переустановки винды других способов пока нет...

Пациент - ноутбук TOSHIBA (возраст около 5 лет). Давным давно умер привод.
Загрузка воможна только с USB.
Перепробовал все варианты, предложенные на этой странице.

В итоге помогла утилита MBR Fix, которая вшита в Alkid Live CD, который идет вместе со ZverDVD.

Так что лишний раз спс команде, которая собирает эту замечательную сборку.
И всем советам здесь, которые натолкнули меня на использование именно MBR Fix.

помогите решить проблему
Был банер который просил просил отправить денег на кошелек U375843771966,дальше банера система не загружалась. После снятия диска и подключения к другму компу просканировал с помощью CureIt, было найдено два файла .avi.exe и один svcnost.exe. В реестре поправил с C:\Program Files\Internet Explorer\svcnost.exe на C:\WINDOWS\system32\userinit.exe,
Теперь при загрузке системы синий экран с ошибкой 0х0000007В (0хF894D528 0xC0000034 0xO...O 0x0..0)
Заранее благодарен.

BratG
попробуйте в биосе переставить подключение винта на IDE

BratG
Загрузившись с LiveCD из-под ERD Commander импортируй вот этот рег-файл:
Цитата:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

И установи чистые системные файлы, взяв их по ссылке из шапки.

opt_step
В BIOS стоят настройки hdd ide

Еще после выкл/вкл грузится страница с выбором загрузки - безопасный режим и т.д., но при любом выборе - синий экран с ошибкой.

Буду пробовать заменить на чистые системные файлы.

BratG

Экспортируйте HKLM и выдерните из "того" пользователя NTUSER.DAT
все это на www.rghost.ru
сюда ссылку

KimFilby

Как экспортировать HKLM я не понял. Запаковал в архив файлы из C:\WINDOWS\system32\config и NTUSER.DAT
http://rghost.ru/36985605

Замена на чистые файлы ничего не дала, хотя explorer.exe и taskmgr.exe были размерами больше чем чистые.

P.S. Разобрался как экспортировать HKLM, вот выложил - http://rghost.ru/36987772

Тема хорошая (в целом), как то я раньше не замечал её. Тоже пару раз после порнушных сайтов ловил такие вирусы. Тока вот проблема в том, что шансы малы. Я пару дней прокопал интернет, но с банером на 2/3 экрана мало что можно сделать. В общем пару раз выслал им смс, пару раз сняли по 300 рублей. Потом дошло что развод (первый раз сталкивался). Снёс винду и был счастлив. А на не помню каких анитвирусных сайтах спрашивал — не помогало… Удачи.

Ничего сложного....у вас прописалась зараза как дебагер

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firewall.exe]
"Debugger"="svchost.exe"

и там много таких ключей.

Просто грохнуть ветку

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Добавлено:
это было для BratG

особенно порадовало

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svshost.exe]
"Debugger"="svchost.exe"

Добавлено:
поэтому нужно бы проверить валидность svchost.exe
Возможно svshost.exe -это переименованный системный

KimFilby

Спасибо огромное! Верите - только что сам смотрел реестр и вызвало подозрение Debugger"="svchost.exe - файл ведущий в никуда!!!
Ветку удалить всю Image File Execution Options ? или только параметр Debugger"="svchost.exe ?

svchost.exe - я заменил чистым файлом.

BratG
avz скачайте и прроверьте прицепленный винт http://forum.ru-board.com/topic.cgi?forum=5&topic=13590&start=1380#1
возможно что-то еще осталось

В общем ничего не помогло
Также грузится с синим экраном. AVZ ничего не нашел.
Узнал у хозяина компа - он пробовал чистить через LiveCD DrWEB, были обнаружены вирусы, но он так и не разобрался как их лечить удалять. Но видно что то удалил. После него я запускал CureIT - было найдено только три, он говорил что было больше.
Вот я думаю, может удалились какие то системные драйвера для запуска ?

olzaruta

Цитата:

Шифровщики нужны?

А нету MBR-локера с переносом\шифрованием таблицы разделов?

На почитать...
Новый винлок блокирует систему, меняя пароль пользователя
Подробнее...

BratG (05:18 12-03-2012)
Цитата:

Теперь при загрузке системы синий экран с ошибкой 0х0000007В

Эта ошибка возникает за долго до загрузки графической оболочки на моменте инициализации винта, низкоуровневый драйвер SATA (или IDE) контроллера. До svchost.exe еще далеко. Поэтому я бы посоветовал восстановить куст реестра System из резервной копии папки контрольных точек восстановления (желательно по дате по-давнее). А может бы и весь реестр. Если конечно важна загрузка вашей старой системы. А так почитайте темку Ссылка"Восстановление Windows" этого форума.


Добавлено:

xMOHOXPOMx (12:10 13-03-2012)
Цитата:

На почитать... Новый винлок блокирует систему, меняя пароль пользователя

Снова порадовала стоимость СМС на номер 2097 не превышает 50 р (что соответствует действительности даже рублей 30). Совсем не жадные попались школьники. Кстати расчитан на аудиторию их же, как любителей Артмани.

На всякий случай озвучим Пароль на вход здесь: Спасибо!

IvANANvI
Сам локер есть для тестов?

Цитата:

А нету MBR-локера с переносом\шифрованием таблицы разделов?

Есть.....MBRlock bootkitlocker.gen32

Добавлено:

Цитата:

Сам локер есть для тестов?

-Локер...ТУФТА...снимается за 5 мин...без ввода кода..

- Вот этот покруче будет:
- Скрин: http://i30.fastpic.ru/big/2012/0313/34/d4e83afeec52650264a36512f52be834.png
- Шифрует все файлы на всех дисках в файл Thumbs.ms на всех дисках...win 7 пробил насквозь....
- Зашифрованные файлы с расширением .RN
- Требуют отправить запрос на адрес lewis738f@yahoo.com с номером 773629 ну и купить...дальше по накатанной...
- Если написать вымогателям, будет ответ:
Ваша информация будет восстановлена в полном объёме.
> Стоимость составляет:
> 2800 рублей для физических лиц.
> 3800 рублей для юридических лиц.
> Оплата производиться через терминалы оплаты.
> Если вы заинтересованы в покупке, ответьте на это письмо. Вам будет выслан счёт, после оплаты которого, вам будет выслан код.
- В архиве: пара маленьких зашифрованных файлов, злостный файл lockdir.exe + скрин вымогателя http://rghost.ru/37007921 пароль на скачку 2012
-...жду ваших мнений по лечению

Написать в Какасофт?

Цитата:

-Локер...ТУФТА...снимается за 5 мин...без ввода кода..

- Вот этот покруче будет:
- Скрин: http://i30.fastpic.ru/big/2012/0313/34/d4e83afeec52650264a36512f52be834.png
- Шифрует все файлы на всех дисках в файл Thumbs.ms на всех дисках...win 7 пробил насквозь....
- Зашифрованные файлы с расширением .RN
- Требуют отправить запрос на адрес lewis738f@yahoo.com с номером 773629 ну и купить...дальше по накатанной...
- Если написать вымогателям, будет ответ:
Ваша информация будет восстановлена в полном объёме.
> Стоимость составляет:
> 2800 рублей для физических лиц.
> 3800 рублей для юридических лиц.
> Оплата производиться через терминалы оплаты.
> Если вы заинтересованы в покупке, ответьте на это письмо. Вам будет выслан счёт, после оплаты которого, вам будет выслан код.
- В архиве: пара маленьких зашифрованных файлов, злостный файл lockdir.exe + скрин вымогателя http://rghost.ru/37007921 пароль на скачку 2012
-...жду ваших мнений по лечению

А посмотрите решение проблемы здесь:
http://master-it.org/articles/99/
Total Commander вам в помощь.

ZlayaByaka
Ну и наивность... Времена, когда можно было подобрать пароль к файлам, зашифрованным lockdir, канули в лету
Мало того, что пароли теперь очень длинные, так теперь в них используют не только цифры

странно что до сих пор каспер wks с последними обновами не видит в этом lockdir.exe зловреда и запуск его соответственно не блокирует...

sevik68
В нём же нет облака (KSN), а вся защита у них сейчас строится на нём.

sevik68
А чего в ней видеть зловреда, если эта программа вполне легальная http://www.kakasoft.com/lock/
Просто вирусописатели стали ее использовать в своих целях

thyrannosaurus
понятно...если так дальше пойдет, лицензии на AV ждет серьезная уценка

Я вчера проверял, детектируется.

Кошеле QiWi 380684832610 еще до запуска Виндовс.
Найден код разблокировки на сайте Доктора, но он не помогает

EJEKIN
Riskware - это не вирусный детект

My dobermann
Дамп MBR предоставить можете?