» Windows заблокирован!

Какая то новая гадость мне сегодня попалась на чужой машине. MBR вида. Загрузился как обычно с юсб-хдд но моя ОС не увидела чужих разделов, хотя в диспетчере винт (на 1 Тб) был виден. Перезагрузился с дистрибутива ХР - вход в консоль - опять новость - в консоли нет вида 1: C:\WINDOWS
Соответственно и нет приглашения в какую ОС входить.
Запустил установку ОС. При выборе раздела увидел такую картину - неразмеченное пространство на 15 мб, неизвестный раздел на 663 ГБ и раздел D (DATA) на около 900 ГБ. Это на винте 1 ТБ. Удалил неизвестный раздел что 663 гб и неразмеченное пространство мигом стало нормального размера, что то около 50 гб. Винду поставил но данные на D потеряны - что-то там про нестандартную файловую систему. Пришлось тоже его удалять и пересоздавать заново. Еще деталь, - бутовый Акронис ДД не захотел загружаться - ругнулся на диск, якобы не подходящий или чего он там еще..Для эксперимента загрузил Paragon Partition Manager. Этот даже предлагал форматировать тот непонятный раздел D, но прерывал форматирование с ошибкой чего то "файлы на границе разделов", если я правильно помню. В общем Paragon удалил раздел. После этого и акронис диск директор нормально определил и загрузился.
По вирусу: не помню подробностей, мало там читаю чего пишется, но помню, что требовал 550 гривен. Такой вот признак его.
По поводу такой свистопляски с разделами - не до конца уверен, что это работа вируса - возможно это последствия того, что в консоли я все таки выполнил команду fixmbr, несмотря на то, что не было вида 1: C:\WINDOWS Просто первый раз такое встретил в консоли. Х.з. В общем будьте осторожны с теми MBR-блокерами, что прячут разделы.

Кто восстанавливал таблицу разделов после такого вируса, подскажите какими инструментами пользовались.

tshudini, gold_boy ужос ужос. Было бы все так страшно если бы .... С полгода назад приносили мне пылесос с таким же диагнозом. Сначала конечно казалось о ужоооос. Итог - берем либой диск Акрониса с образом системы и тупо переписываем MBR или чистим MBR с помошью Winhex *не пробывал ни так селен в нем* После сих манипуляций даже не пришлось делать восстановление разделов с помошью ADD, все и так заработало. Все данные остались целы.

Bloxastik

Цитата:

берем либой диск Акрониса с образом системы

Какого Акрониса? АДД или АТИХ? Образ какой системы? Той что стояла?

Дык антисмс лечит данный вид блокиратора.
Смотрите шапку

Новая модификация Gimemo.pxp
ничем не примечательный:


Код: [HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run]
"S437581"="C:\\work\\virii\\124kkk290347.exe"

[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\work\\virii\\124kkk290347.exe"

[HKEY_CURRENT_USER\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\\work\\virii\\124kkk290347.exe"="124kkk290347"

tshudini
аналогичная проблема и мне попалась, решения пока не нашел нормального (неохота грохать разделы и т.п., т.к. у людей там фотки, видео и т.п.) - пока мониторю инет по поиску решения.

Добавлено:
Кстати не помог ни AntiWinLockerLiveCD, ни AntiSMS, ни лайвсд с mbrfix-ом.

Цитата:

аналогичная проблема и мне попалась, решения пока не нашел нормального (неохота грохать разделы и т.п., т.к. у людей там фотки, видео и т.п.) - пока мониторю инет по поиску решения.

Один раз был подобный вирус, подключил HDD к другому компу с KIS, он удалил вирус и разделы появился, винда спокойно загрузилась и на диске D также все файлы остались. Но это KIS хочеться научиться самому ручками это делать.

Цитата:

Новая модификация Gimemo.pxp
ничем не примечательный:

Так - http://i27.fastpic.ru/big/2012/0406/24/ee6864e7b7df132d292165d16d8a7a24.jpg не убирается ?

gold_boy
Не киса ни другие антивири лечить не будут т.к. им нужен диск с файловой системой, а тут тупо винт (том, не размеченная область и т.п. кто как привык) - это с эксплорера лайвСД, запускаю акрониса, парагона - кому что - видим два (три, да хоть пять) не форматированных раздела и надпись, кстати на каждом, "первый сектор MBR".
По идее что винт к другому кмпу, что лайвСД - одинаково, ну увидит он не форматированный том и что?
Конечно выход есть срубить все разделы, создать заново и новая винда, потом пытаться восстанавливать файлы, но чессслово гемор.

rain3d - диск директор серверный решил вопрос за полторы минуты при установленной ХР.
На 7-ке Парагон восстанавливает на раз.

rain3d
Попробуй прогу DMDE называется мне помогла восстановить разделы.

Herzz
Это не первый mbr-локер у меня который удалил разделы. В первом случае тоже парагон помог, но в тогда и консоль давала провести нормально команды fixmbr и fixboot . Здесь случай другой. Парагон около получаса искал удаленные разделы, но не нашел.

rain3d

Для киса не потребовалась файловая система, как тока диск обнаружился в системе кис нашёл вирус и вылечил, после перезагруски появились диск С и D, с файлами и нормально загружаемой системой.

rain3d

Цитата:

Добавлено:
Кстати не помог ни AntiWinLockerLiveCD, ни AntiSMS, ни лайвсд с mbrfix-ом.

Это походу все LiveCD на основе Win?
Попробуй линуксовый LiveCD, хотя бы тот же самый Dr.Web. Была ситуация, когда с жестким диском нельзя было вообще ничего сделать: ни отформатировать, ни создать разделы, ни скопировать важные данные. Помог Midnight Commander из состава Dr.Web LiveCD. Структура проблемного жесткого диска оказалась весьма странной: множественные копии ранее существующих разделов. Тем не менее скопировать нужную информацию удалось. Там же в Midnight Commander поудалял все разделы проблемного жесткого диска. И после этого жесткий диск перестал быть проблемным, нормально создались разделы, отформатировались и поставилась система.

Цитата:

он удалил вирус

Сказочник...

Цитата:

гадость мне сегодня попалась

Бэкапа MBR нет что бы проверить ?

tshudini так винда была ХРюндель то и образ брал от ХРюнделя. MBR вроде что у семеры что у ХРюнделя одинаковы. Утверждать 100% не берусь, в семере пока вирусы в MBR не попадались

Цитата:

MBR вроде что у семеры что у ХРюнделя одинаковы.

Разные. И - несовместимые .

Цитата:

Сказочник...

Рассказываю как было, мне сказки незачем сочинять.

Быстрое решение против блокиратора, на пополнение счета для МТС (+7987…) сообщение примерно такое было:


670x340 59.3k-jpg

Недавно ноутбук c Windоws 7 один товарищ дал мне, поймал где-то блокировщика он, заблокирован был один пользователь, имелся и второй, под ним можно было заходить в систему. Из-за вируса многое было недоступно, обходными путями все-таки запускал, что мне надо было. Долго конечно все это длилось, но в итоге я разблокировал пользователя. А через пару дней еще один юзер принес свой заблокированный ноутбук, также с Windоws 7, там уже 1 пользователь был. Вспомнил я последний случай, загрузился с *Live CD* от *Hiren's BootCD*, зашел на системный диск, в моем случае, путь к папке такой был: *C:\Users(пользователи)\имя пользователя\AppData\Roaming* (в ХР путь такой: *C:\Documents and settings\имя пользователя\application data*). В этой папке лежал зловред с именем: *036.exe*, также там еще было 2 файла каких-то нетипичных, удалил все это. После перезагрузился и блокировки не было уже, еще проверил автозагрузку, там всего штук 8 пунктов левых было, в том числе несколько *036*, поубирал все это, далее легче уже. Да, антивирус там стоял *NOD32*, может не настроенный и не обновленный.

подобные экземпляры не блокируют безопасный режим (CMD), по этому без проблем лечатся.

ynbIpb
Я cmd не использовал, загрузил *mini Windоws XP*, в ней видно естественно разделы NTFS, просто через проводник зашел в нужную папку и сделал свои дела.

Сегодня лечил от баннера 7ку. Способ такой: гружусь в безопасном с поддержкой командной строки, в строке перехожу на флешку, там заранее лежит тоталкоммандер и стартер. через командера запускаю стартер и решаю все вопросы по баннеру, т.е. нахожу его на диске, удаляю и также удаляю из автозагрузки, перезагружаю комп и все в порядке!!

Сегодня меня посетила вот-какая "бяка".
Ссылка
Пароль: 2012
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"S57180181"="C:\\Windows\\Temp\\wpbt0.dll"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\Windows\\Temp\\wpbt0.dll"

Скрина нет, поспешил нейтрализовать....

Цитата:

670x340 59.3k-jpg

А цены то ростут ))) Я кстати вчера такой же выносил, под юзерскую учетку пробрался, я из под админской его снес.

Антивирус TrendMicro получил еще один минус в моих глазах.

Цитата:

Антивирус TrendMicro получил еще один минус в моих глазах.

Антивири то не виноваты, просто зловреды криптуют их каждый час.

Цитата:

Новая модификация Gimemo.pxp
ничем не примечательный:


Код: [HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run]
"S437581"="C:\\work\\virii\\124kkk290347.exe"

[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\work\\virii\\124kkk290347.exe"

[HKEY_CURRENT_USER\current_classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\\work\\virii\\124kkk290347.exe"="124kkk290347"

майкрософт эту гадость не ловит, сношу.

Ребята, подскажите каким образом из экзешника винлока выудить код разблокировки. Ковыряю пару дней ресхакером, пока не соображу.

Цитата:

винлока
ресхакером

Вы шутите?

cavstarica

А он существует????