» Windows заблокирован!

KismetT

Цитата:

И сколько времени займёт восстановление

"попадётся" там и будет видно, а пока этого экзота ещё не видел.

Цитата:

Вообще то 8.8.8.8 это Гугловские DNS, у самого такие стоят,

А у ВАС что, Гугль провайдер инета

Еще один + для AntiSMS: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=38633&start=20#5

ynbIpb

Цитата:

Nikollay, на будущее: реестр пользователя находится в c:\Users\%UserName%\NTUSER.DAT

Агромное спасибо.
Редко занимаюсь лечением компов, в основном тока установка ОС + программки
______________________________________
Лишнее не по теме удалил.

Цитата:

И чем Аваст плох?

в "песочнице" он "хорошо играется", а так дыра-дырой.

Цитата:

А какой антивирь вы можете порекомендовать

В ЛС, а то "развернётся" флудерастия по теме ТО Круть, а то Г...., Нет это то Г..., а это КРУТЬ.

KismetT

Цитата:

Вообще то 8.8.8.8 это Гугловские DNS

да, Гугловские. если бы не было прописан этот DNS как альтернативный, то мошенникам пришлось бы через свой серв пропускать все запросы юзверей

Цитата:

а вот 134.255.241.122, так и не понял, кто это

а вот этот как раз и левый DNS, который фильтрует нужные запросы и перенаправляет их в "нужное" русло, где юзерам и предлагают всякую отправку DNS. они мониторят только запрос к Яндекс, ВК, Однокл, а остальные откидывают и вот остальные запросы как раз и уходят на DNS Гугла. если бы он не был прописан, то у людей не работал бы инет

Цитата:

+ на слабых машинах ресурсы не сильно жрет

уже заблуждение, не ну конечно в сравнении с каспером.

Nikollay
1Kipovec

Цитата:

+ на слабых машинах ресурсы не сильно жрет


уже заблуждение, не ну конечно в сравнении с каспером.

Может в эту тему лучше идите спорить..

Цитата:

Сами они не заражаются, а вот сходить на вызов, убрать кому-то за денежку оно полезно. Пускай повторно заражаются, раз такие непонятливые.
з.ы.
Куда катится этот мир, последний случай: ребёнок лет 10-12 (девочка), последний запрос в гугле "секс" и как результат Винлок.

Пацталом, убрать кому-то за денежку умная тема, но деффочка - просто умора...

Пришел к товарищу, тот закрыл рекламу холодильников, а получил такое чудесное окно. AntiWinLocker с флешки и две минуты на автоочистку, удивляет, что его лицензионный Каспер пропустил эту заразу!

MrDum32

Цитата:

удивляет, что его лицензионный Каспер пропустил эту заразу!

А что если лицензионный Каспер-значит вирусы не должен пропускать?

Было тут уже или нет? Столкнулся с новой или уже старой модификацией виря. Переписывает, как я понял таблицу разделов и при загрузке с LiveCD говорит диск не отформатирован, из консоли восстановления переходит на c: но не может показать что на диске. fixmbr проходит, но ситуации не меняет. fixboot не проходит, не найдена загрузочная запись.
Грузимся с чего-то вроде Hiren`s boot cd, я зашёл в раздел "MBR (Master Boot Record) Tools" и запустил MbrFix 1.3 ,получил сообщения о неправильной записи в таблице, автоматом всё исправил. После перезагрузке всё заработало.
Однако мысль винлокеров не стоит на месте
P.s. АВ - DrWeb Internet Security.

2HDD

Вот взяли бы и достали с помощью Dr.Web Livecd код

http://mrbelyash.blogspot.com/2012/01/temp.html

и мне семпл бы прислали

HDD

Цитата:

из консоли восстановления переходит на c: но не может показать что на диске. fixmbr проходит, но ситуации не меняет. fixboot не проходит, не найдена загрузочная запись.

Если в консоли было такое:

Цитата:

консоли нет вида 1: C:\WINDOWS

то встречали. стр.136.

sasherb

Цитата:

Может в эту тему лучше идите спорить..

И чИто я там забыл, в теме по "меренье письками" и "пускании слюней". Это "ваша тема" (по крайней мере с 220 страницы точно, на большее "достало" "тыкать"), мне там делать нечего - онО ДЛЯ МЕНЯ, бесперспективнА.

Так же как в этой теме, "высказывания" некоторых.... "у меня ТАКОЙТО антивирь заблокировал-удалил-вылечил-непропустил этот вирь - КРУТЬ я ЗАЩИЩЁН (контроцепция какая-то)".
ДРУГОЕ ДЕЛО: вирь такой-то, "тело" - вот тут, "лечение" такое-то. ЭТО ВЕЩЬ!!!!!!! А остальное, так, флудерастия.

tshudini

Цитата:

Если в консоли было такое:

Цитата: консоли нет вида 1: C:\WINDOWS


то встречали. стр.136.

Да, только там решение немного другое.

Ребята, прошу помощи, т.к. сам возможно решу эту траблу не скоро.
Вчера побывал у меня в гостях двоюродный брат, сидел в инете за моим компом. Что он делал, куда лез в инете не знаю, т.к. сам был на даче, приехал вечером, чтобы посадить его на поезд. Сегодня утром запускаю винду, а там это

Изображение взял с сайта DrWEB, т.к. очень похожее по содержанию (кроме номера вымогателя - поставил то, что есть у меня по факту). Сначала это появилось после запуска Firefoxa (он, кстати, стал при этом подозрительно подвисать на 15-20 секунд), принудительно выключил и включил комп. После этого данная хрень появляется сразу после появления рабочего стола (иконки, панель быстрого запуска, диспетчер задач блокируются этой заразой и не отображаются). Ранее с таким никогда не сталкивался. Комп у меня один и важной инфы (+ установленных прог) на нём достаточно (из-за чего свободного места на диске около 1Гб) , поэтому переустановка системы не самый лучший вариант. Ранее, в порядке эксперимента, я сделал на диске "С" возможность альтернативной загрузки другой (чистой) WinXP+SP2. По сути, благодаря этому, я сейчас и могу выйти на форум.
Весь день сегодня пытался от этой дряни избавиться:
- загрузил и записал на диск DrWEB Live CD -> он почему то не стал загружаться (ни в графическом режиме, ни в текстовом).
- загрузил AVPTool и просканил весь диск "С" (из чистой винды) -> ушло на это 8 часов, нашёл около 45 различных троянов (половина из них кейгены с этого форума и т.п.). Увы, это не помогло.
Сейчас планирую скачать Kasperky Rescue Disk и просканить им, но поможет ли?
Может быстрее поможет AntiWinLockerLiveCD из шапки? Как им пользоваться? У него графический интерфейс или текстовый?

unyqUm
В таких случаях начинаю с AntiWinLockerLiveCD_3_3.iso, записанного на болванку.
Далее, если не помогло, Kaspersky WindowsUnlocker, ну и AVZ в тяжелых случаях.
Пройди по ссылке на сайт http://www.antiwinlocker.ru/download.html, там есть инструкция, а здесь глянь видео http://www.youtube.com/watch?v=KxleByPWl38 и здесь http://www.youtube.com/watch?v=TcZtO08bl7w разобраться не составит труда. Удачи!

unyqUm
Начните с AntiSMS.Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)
http://forum.ru-board.com/topic.cgi?forum=5&topic=38633&start=20#lt

1Kipovec

Цитата:

ЛЮБОЙ "простой" винлок валится минут за 15 максимум

относительно недавно был у меня случай - проволокли комп, говорят нет инета. начал смотреть подробнее. был какой-то "простой" винлок. какой - история не сохранила имя. "продвинутые юзеры" быстренько выкачали какой-то диск с антивирусом, похоже, что дрвеб-лив ибо при его названии они хоть и отрицали, но стыдливо отводили глаза в сторону. ну и прогнали его по компу...
винлок, конечно, был сожран. но сеть пропала. ситуация типичная и мною, через последний AVZ, было сделано восстановление tcp-ip стека. в результате пропало сетевое подключение. напрочь. совсем. адаптер на месте, работает а сетевого подключения нет... винда говорит, что вообще ничего сетевого на компе не найдено.
всеразличные шаманства и колдунства не помогали, в т.ч. и широко известные рекомендации с майкрософтовского сайта.
помогла только пересадка соответствующей ветки реестра с заведомо чистой машины. да и то не сразу... пришлось ручками-ручками допиливать... в результате затрачено часа 4 на работу.
проще было бы, конечно, снести всё нафиг, но задача была поставлена - сохранить всё как есть...

1Kipovec

Цитата:

Цитата: Вообще то 8.8.8.8 это Гугловские DNS, у самого такие стоят,

А у ВАС что, Гугль провайдер инета

MANtiCORE
Цитата:

в шапке AntiSMS вам поможет. качайте сразу диск, загружайтесь и дальше по инструкции.

Уфф! Так и сделал, помогло. Спасибо форумчанам и создателю этой проги! Не знаю, что там эта чудо-утилита делала, но работала она меньше минуты и этой дряни больше не вижу.
Я так понимаю, что остатки этой дряни могут где-то прятаться в недрах операционной системы, реестра или AntiSMS это всё вычистила? Беспокоюсь, т.к. боюсь повторения появления этой дряни. Вообще, какие характерные признаки (подозрительное поведение системных процессов и т.п.) предшествуют проявлению этой заразы в полной мере?
Я вот, до появления этого баннера заметил пару странностей (кроме необычного притормаживания браузера): у меня на Firefox 11 установлено дополнение StatusBarEx 0.3.5, показывающее сколько свободной системной памяти в текущий момент используется браузером; в какой-то момент я стал замечать, что количество используемой памяти браузером до 2х раз больше системной (обычно наоборот). Ещё моему Касперу не понравились какие-то подозрительные процессы, помню называл он их files load.exe (c различными цифрами на конце имён файлов), "копошение" которых он обнаружил где-то в ContentIE5.

unyqUm
Рекомендуется пройтись после Dr.Web CureIt! -ом и зачистится CCleaner

simsot1 я перестал использовать их продукт, после того, как они начали издеваться над желающими его скачать (сбор статистики и прочее), в последнее время использую AVPTool (что и делал весь день), но пожалуй почищу и Курейтом на всякий случай.

unyqUm
Прямая по FTP: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Добавлено:
Вам также поможет от запуска винлоков: http://white55.narod.ru/ptstartup.html

MANtiCORE

Цитата:

когда гуглевские шустрые

давайте, давайте, накручивайте "щётчик-рейтинг" "проклятым басурманам"

Цитата:

зачем пользоваться провайдерскими dns

зачем вобще днс прописывать, что АВТОМАТИЧЕСКИ "не катит"
мне "знакомы" только три случая
1. у прова "кривое (кривонастроенное, в этом случае после обращения-наезда, буквально меньше чем через неделю, всё работает на автомате)" оборудование или админы.
2. у прова "дохлый" канал и он старается всё "кешировать" на своих серверах (это вобще засада, в результате обновление проги имеющее "постоянное имя", нет никаких отличий - хрен скачаеш, "лезет" "старая" версия с кеша прова)
3. АТС "старого типа" - тут не "повезло"
Всё это касается ДСЛинета (с выделёнкой или "вафлей" не сталкивался, там могут быть "свои тараканы") И 1 и 2 пункты НЕ взаимоисключающие.

и при чём здесь моя фраза
Цитата:

Цитата:ЛЮБОЙ "простой" винлок валится минут за 15 максимум

и ЭТО
Цитата:

"продвинутые юзеры" быстренько выкачали какой-то диск с антивирусом, похоже, что дрвеб-лив ибо при его названии они хоть и отрицали,

КАКАЯ СВЯЗЬ


Цитата:

говорят нет инета. начал смотреть подробнее

ну и как, после ПОДРОБНОГО ОСМОТРА, инета НЕТ ВОБЩЕ или только браузеры "не ходят" (а скажем, скайп или торент работает, за это "отвечает" не только винлок и место "обитания" другое) ИЛИ ВСЁ ОСТАЛОСЬ на стадии
Цитата:

говорят

Вот буквально позавчера "винлок", само тело из стадии "пионерии" (не "портит" ситемные файлы), но слегка "модернезированно" (именно "портит" работу браузеров, парочка длл и какойто cрl файлик - попутно замочен, ссылка в автозагрузке совпадающая с датой заражения). Так вот это "творение" не прошло ПЕРВЫЙ "пионерский" тест: "мнгновенный"-дяситикратный "посыл на три клавы" "упал"-бедняжка и диспетчер запустился
тело- 0,98.....многоцыферей, такое-похожее "попадалось" примерно в августе сентябре прошлого года.
А теперь САМОЕ ГЛАВНОЕ, догадайтесь (с ОДНОЙ попытки) какой "популярный" фри "антивирус" БЫЛ установлен на компе? Так и быть, "фанатам" аваста можно использовать 10 попыток.

Цитата:

через последний AVZ, было сделано восстановление tcp-ip стека. в результате пропало сетевое подключение. напрочь. совсем. адаптер на месте, работает а сетевого подключения нет... винда говорит, что вообще ничего сетевого на компе не найдено.

Тоже такое было и на ХР и на 7.

На ХР сделал так, при создании нового подключения выбрал установку сетевых компонентов (клиент, служба, протокол). Так как комп был подключён через роутер то инет появился, но в папке сетевые подключения всё также пусто осталось.

На 7 способа не нашёл, промучился часа 2 разные способы читал но в Сетевых подключениях всё также пусто было. Пришлось снести винду.

Уже думаю вобще не делать восстановление tcp-ip стека в AVZ.

Здраствуйте, может есть у кого-то, mbr-locker "Internet Police" или другой подобний, который сносит файловою систему на винчестере? залейте пожалуйста кудась, надо для тестов.

Цитата:

Уже думаю вобще не делать восстановление tcp-ip стека в AVZ.

Олег Зайцев на своем форуме сообщил, что была ошибка в коде 15-й кнопки - пишет, что исправил сегодня

1Kipovec

Цитата:

и при чём здесь моя фраза (cut) КАКАЯ СВЯЗЬ

ну, какгбэ, я ответил вам на пару ваших постов в одном своём...


Цитата:

ну и как, после ПОДРОБНОГО ОСМОТРА, инета НЕТ ВОБЩЕ или только браузеры "не ходят" (а скажем, скайп или торент работает, за это "отвечает" не только винлок и место "обитания" другое)

инета не было вообще. dns не резолвится, пинги не идут, стек попорчен.
уж такую банальщину я сразу проверяю. как и заглядываю в hosts и смотрю маршруты в системе.


Цитата:

догадайтесь (с ОДНОЙ попытки) какой "популярный" фри "антивирус" БЫЛ установлен на компе?

не трогайте бесплатный Аваст!
это жеж неиссякаемый источник дохода для любого специалиста широкого профиля

а ещё можно позвонить в тп опсоса, там дают телефон, кому принадлежит короткий номер, а дальше дело техники. Сам пару раз так разлочивал компы.

На эту дрянь код подсмотреть можно? http://rghost.ru/37881499
Думаю он лежит дето в 3ce33b1585.exe но найти не могу.

diywarrior

Цитата:

Здраствуйте, может есть у кого-то, mbr-locker "Internet Police"

У simplix на форуме "пробегал"