» Windows заблокирован!

Ээээээ... Теперь сомневаюсь в своих попытках. А как тогда коды разблокировки вытаскивают антивирусные компании?

cavstarica

Первые блокираторы, кстати, имели эти коды, а нынешние скорее всего нет.

код зашит в коде проги
т.е. дебаггинг и дизассемблинг нужны

AntiWinLocker все исправит за три минуты, ну еще можно hiren's bootcd, там есть тузла PE Editor для работы с реестром. Зная какие ключи править избавляемся от геморроя, убрав баннер тупо сканим комп.

Цитата:

дебаггинг и дизассемблинг нужны

вот где конкретно я и ищу.


Цитата:

AntiWinLocker все исправит за три минуты, ну еще можно hiren's bootcd, там есть тузла PE Editor для работы с реестром. Зная какие ключи править избавляемся от геморроя, убрав баннер тупо сканим комп

AntiWinLocker уже справляется не со всем. Удалить любой винлок не составляет труда, я хочу залезть дальше.

MrDum32
Здесь не хуже AntiWinLocker-А. бесплатный и все время обновляется. Баннеры рубит на капусту.

Цитата:

Здесь не хуже AntiWinLocker-А. бесплатный и все время обновляется. Баннеры рубит на капусту.

Да, по-моему, AntiSMS самая лучшая утилита для разблокировки компьютера.

Здраствуйте.

Не могли бы прислать имеющиеся винлоки и мбрлоки на почту mrbelyash@yandex.ru
Достану код.

P.S.
Зарута ты гиде пропал?

KOGERENT

Цитата:

Здесь [?] не хуже AntiWinLocker-А. бесплатный и все время обновляется. Баннеры рубит на капусту.

Ну это как посмотреть. AntiWinLocker ( проактив ) он пресекает заражение. А предложенная альтернатива, лечит уже последствия.

Цитата:

пресекает заражение.

Мне кажется тем, кто в теме пресекать не особо и нужно. Сами они не заражаются, а вот сходить на вызов, убрать кому-то за денежку оно полезно. Пускай повторно заражаются, раз такие непонятливые.
з.ы.
Куда катится этот мир, последний случай: ребёнок лет 10-12 (девочка), последний запрос в гугле "секс" и как результат Винлок.

ynbIpb

Цитата:

Куда катится этот мир

Разве когда-то было по-другому ?

Раньше не был так доступен интернет и было иначе.

Воюю с таким вот вымогателем.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"indicdll"=hex(2):73,00,68,00,65,00,6c,00,6c,00,65,00,78,00,65,00,63,00,75,00,\
74,00,65,00,2e,00,65,00,78,00,65,00,20,00,2f,00,68,00,20,00,72,00,75,00,6e,\
00,2d,00,69,00,6e,00,64,00,69,00,63,00,64,00,6c,00,6c,00,2e,00,63,00,6d,00,\
64,00,00,00

shellexecute.exe /h run-indicdll.cmd
Файла run-indicdll.cmd не где нет, но табличка с требованием 500 руб есть
Пути запуска в реестре чистые, подгружался с лайф сиди и загружал куст реестра инфицированной системы, в нем все чистил а при перезагрузке все снова на местах .

Nikollay
смотри значения текущего пользователя
HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\ - значение Shell удалить
и
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ - найти и удалить все значения вируса

arvidos
а как подгрузить этот куст? Из другой системы ( ну из лайф сиди)

безопасный режим грузится? или безопасный с командной строкой. прям оттуда запускай редактор реестр и ищи что нужно

я подгружаю файл SOFTWARE из каталога инфицированной оси,

Добавлено:
Безопасный режим не работает, тоже окошечко выскакивает.

с поддержкой командной строки должен работать

ура нашел, arvidos Агромное человеческое спасибо. спасибо,
Да, да какой то я не внимательный стал , командная строка работает. из под нее и проводник запустился и редактор реестра, Как то я забыл про кнопочку F8

если можешь - создай такой лог
программу можно скачать отсюда

ну и хорошо

Цитата:

HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\ - значение Shell удалить

Нет в родном реестре такого пути

Добавлено:
вот блин вроде и бяку удалил, (была в корне диска C:\ в папке) и реестр почистил а винда всеравно заблокирована, ща поищем по серьезней) все временные папки почишены.

делай что я выше написал. выложи лог, помогу по нему

arvidos
Разобрался, падлюга был загружен пользователем в 5 !!!!!!!!! различных папок, имя (XXX-porno.exe)
Пользователь - 15 летняя девушка
Антивируса в системе вообще не было, поставил Аваста.

Цитата:

поставил Аваста

ну ты далеко не уезжай. еще понадобишься

Цитата:

Пользователь - 15 летняя девушка

Интересная статистика, раньше в основном виновники вызова были юзеры мужского пола. А тут уже девушки начали улекаться.


Nikollay, на будущее: реестр пользователя находится в c:\Users\%UserName%\NTUSER.DAT

Цитата:

поставил Аваста

пипец, "клиент" "посажен" на "постоянные бабки" мудро-мудро. Особенно с супер профессионализмом (по "ковырянию" в реестре) в деле "лечения" компов.
ЛЮБОЙ "простой" винлок валится минут за 15 максимум, я уж не говорю про "пионерию" которые вобще файлов не гадят. МВРошный от 30 минут до часу (зависит от "мощности" компа).

Цитата:

МВРошный от 30 минут до часу (зависит от "мощности" компа).

А что скажешь про такое, на днях читал. Вирус шифрует стойким шифром (сейчас не помню, кажется AES 512) таблицу разделов диска, переписывает его в другие сектора, а на его место пишет своё. На диске ничего не видно.
И сколько времени займёт восстановление ?

Вчера за вечер два одинаковых случая, опять же неосторожные любители вконтакте посидеть. Вымогатели просят ввести номер телефона при авторизации!! на vk.com и odnoklassniki.ru. Ни тел вирусов, ни правок hosts (ни смены его положения), ни маршрутов не изменено. Банально изменен (прописан вручную) левый DNS сервер. Лекго поправляем и все хорошо. В одном случае Vista SP2 (UAC отключен, админ) в другом хрюшка , тоже Админ юзер.

IvANANvI
ага. тысячи случай за последние недели
прописываются DNS - 134.255.241.122 и 8.8.8.8
помимо соц.сетей еще и Яндекс часто отказывает в работе

Вообще то 8.8.8.8 это Гугловские DNS, у самого такие стоят, а вот 134.255.241.122, так и не понял, кто это, какой то xsserver.eu Dedicated Servers.