» Windows заблокирован!

KLASS
Действительно, это уже оффтоп - я просто хотел продвинуть мысль что потеря раздела может быть связана не с деятельностью локера. И тем, кто не верит в совпадения (хотя я тоже иногда не верю могу сказать что они всё таки бывают, причём изредка очень невероятные. Поэтому, если нет гарантрованного опровержения - не надо убеждать в обратоном (по крайней мере меня).
И ещё - если кому то и хочется, то может исследовать код. Вот только думаю что "код" сглючившей системы хаотичен и непредсказуем.

Цитата:

потеря раздела может быть связана не с деятельностью локера

Факт

Цитата:

Вот только думаю что "код" сглючившей системы хаотичен и непредсказуем

Вряд ли.

Добавлено:

Цитата:

не надо убеждать в обратоном (по крайней мере меня)

Не горячись... просто выражаю мнение

Цитата:

если кому то и хочется, то может исследовать код.

Под фразой:

Цитата:

Как минимум, для этого надо залезть в системный код

подразумевал, что не нам с тобой туда надо залезть, но вирус может\должен изменить код, для того чтобы система могла беспорядочно дампиться в нулевой сектор. Т.е. фразу "глючная система" мы понимаем по разному. Вот если с этим определиться, имеет смысл продолжать... или продолжать будет некуда

Свежак в моей практике: 13130.rar (pass: 1) Virustotal

В целом ничего уникального, но стоит отметить необычный способ указания номера телефона: он передается в параметре командной строки - "C:\\13130.exe" 89681039420

Прописывается в Userinit

Цитата:

Свежак в моей практике: 13130.rar (pass: 1)

Спасибо! Такого я так же пока не встречал!

Здраствуйте все ети mbr локери кодом разблокируетса, или все ети смс ето разводилово?
P.S. Если человек живет втаком забитом богом и людьми захолусте, где компютери имеют несколько человек все чайники, инет есть в нескольких. Как быть? до райцентра 130 км. Есть ли решение окроме антивируса которие не все имеют детект mbr локеров может я ошибаюсь. Подскажите советом: совет не лезть в инет и откльчить сеть не принимаютса.

HENDELF
поставь антивирус в котором настроить запрет на запись MBR и жить счастливо
также можно запрет на всю автозагрузку поставить и вообще никак локеры не страшны

HENDELF
И лучше сидеть под обычным пользователем, а не под админом, тогда не только локеры, а и от других вирей будет некоторая (в известном смысле) защита.

Цитата:

Есть ли решение окроме антивируса

Есть . Жить в реале а не на порносайтах

Herzz
Не модно выкладывать вири на порносайтах

arvidos,KLASS, Спасибо, какой антивирусный продукт посоветуете? Как на счет MD? ресурсов мало берет но ето Hips, Как оно на практике для чайников сложно?
Herzz Намек понял, люди не ведуть такой дорогой инет ради порносайтов, но не исключено за всех не ручаюсь. У всех есть сателитка и хастлер пока жыв

Цитата:

какой антивирусный продукт посоветуете?

Никакой Сиравно новых вирей они не видят, если программ на компе не много то смотри в сторону политик ограниченного использования программ. Если программ много, то только голова и руки.
Ну, а если без антивирусника никак, то набери в Google сравнение антивирей... но все одно это вчерашний день.

Добавлено:
Забыл... настрой систему, заюзай указанную выше политику и закатай все в образ (Ghost 11). Появились вири, убей все и раскатай образ взад. Думать не надо...

HENDELF

Цитата:

Как на счет MD?

само то для локеров всех калибров. пока все пробегавшие на этом форуме им детектятся.
вот с троянами и вирусами у него потяжелее выходит.
так что можно как дополнительный инструмент.
либо чисто защита от всех локеров, но остальная нечисть может прошмыгнуть.

чтобы он не доставал всплывающими окнами, надо обучать, долго и упорно, чтобы в набор правил попали все пользуемые программы.
либо затачивать его против локеров.
приложения>*(все файлы)>свойства>разрешения
все разрешить, кроме запись на физический диск и низкоуровневое обращение к реестру.
правила реестр не трогать.
вобщем инструмент очень гибкий. можно крутить в любую сторону.
но лучше оставить все как есть и обучить.

в том же пятом Ноде легко настраиваются подобные правила. сделайте полный запрет на все нужные ветки и загрузчики и все дела. антивирусу для этого даже базы не нужны.

KLASS

Цитата:

закатай все в образ (Ghost 11)

можно коротенько, почему именно Ghost 11
родственникам посекторно бекаплю акронисом 9, но начитался всякого о его косой-кривой разбивке и проблем с возможным восстановлением.
поэтому присматриваюсь к ghost'у и не могу определиться с нумаром))
или ссылку подарите, бо гуглю-гуглю, толку и внятного (проблемы возможного восстановления) нету.

Сорри All
folta
Не ведаю про новые версии, потому как сам образы не юзаю (в смысле, давно)... да и меньше он в размерах, а работает качественней Acronis'a (опять же, не ведаю про новые версии последнего).

Не знаю как у вас, но у меня практически каждый день обращения, блокираторы одинаковы либо ms.exe (вот усовершенствованный еще размер вырос Ссылка), либо вида 0.[набор цифр].exe (Ссылка), встают в ключе explorer`a ветки HKСU, как уже писал ранее. Просят по 1000 р. все чаще, я же говорю просили бы меньше и больше бы платило, хотя по 500 находятся некоторые еще платят, так что данный вид мошенничества все только развивается еще.
PS: В файлах ms.exe еще и ярлыки вшиты каждый раз разные.

Спасибо всем бум, изучать матчасть, а резервное копирование делаю регулярно акронисом без етого никак .

Цитата:

Если человек живет втаком забитом богом и людьми захолусте, где компютери имеют несколько человек   все чайники, инет есть в нескольких. Как быть?  до райцентра 130 км. Есть ли решение окроме антивируса которие не все имеют детект mbr локеров может я ошибаюсь.

Решение - AntiSMS в шапке темы, создан специально для медленных интернетов и неопытных пользователей. Самодостаточный и полноценный загрузочный диск весит 30 МБ, а программа полностью автоматизирована.

simplix потестим Спасиба.

уже втиснуто в шапку

идея заключалась на старых развалинах. что вместо никому не нужного sethc.exe из папки \system32 можно заменить конфеткой.
сначала я хотел и пытался прописать cmd.exe, но оказался не силен в командной строке и главное, многим будет сложно освоить такой метод.
поэтому:
вместо sethc.exe мы кидаем сконвертированный в .exe батник запуска uVS и после поимки локера, легким движением руки вызываем uVS, нажимая часто кнопку shift.
почему uVS? гениальная программа и там присутствует почти все, что хотел бы реализовать я, но увы)

вроде архипростое решение, но оно работает.
всю мою пачку винлокеров потестил и прибил с помощью shift'а.
потом, если понравится, можно автоматизировать процесс.
вобщем, дарю)

самый советистый совет:
если winlocker не ребутнулся самостоятельно, не вздумайте перезагружаться! убивайте через uVS "налету", в этой сессии. иначе, особо мерзкая нечисть, после перезагрузки, может побить важные системные файлы. это поправимо в принципе. но зачем создавать проблемы на пустом месте?

убиваем винлокеры налету. видео, сконвертированное UVscreen Camer'ой
http://rghost.ru/38373569

---

у кого запуск запуск bat\cmd запрещён, полноценное win32 приложение.
но нужен masm32 для компиляции sethc.asm
http://rghost.ru/38714490

folta, Отличная идея!
Как ведут себя локеры, которые ограничивают пространство для движения курсором?
Правда полезность сомнительная, так как можно будет это внедрять уже после заражения. Так сказать с прицелом на будущее.

Буду писать скрипт на AutoIt под это дело, который тупо киляет окна, которые отображаются. При этом выводить пути к файлу процесса.

Цитата:

folta, Отличная идея!

несомненно хорошая, однако это работает лишь на так сказать родном или чуть ближнем компе, а обычно уже топаешь к пациенту, который "болен"
и такой чудной штуки там на дух нет, свой то комп, за пару кликов из под лайва снимаешь, да и ловить не удавалось на своём то...обложен аки Кремль защитой.

ynbIpb

Цитата:

Как ведут себя локеры, которые ограничивают пространство для движения
курсором?

они все у меня ограничивают, либо убирают мышь напрочь)
но никто не отменял клавиши, хотя мне требуется для uVS'a только "Tab" "Enter", "клавиша пкм" и стрелочки. я и раньше давил все локеры этой комбинацией, наживую. говорил тут, но никто не проникся.
потом встретил локер, который конкретно прикрыл рабочий стол и панель задач, как я не хитрил, обойти не смог, даже на ощупь)
начел чесаться.
своими усилиями сваять программу, которая бы передавливала локер, не получилось и хорошо.
есть море замечательных инструментов. вот uVS, был как фаворит опробирован и утвержден. тем более из него можно вызвать кучу нужных инструментов.
жалко кто он выгружает процесс записывающий программы. свежевание локера, самый приятный момент

не всегда и не у всех есть под рукой лив сд/усб, а тут такая засада.
если бы в uVS'e был приличный файловый проводник, то вообще бы не рассматривал всякие добавки и плюшки.
вобщем как-то так.
можно вообще создать мультибот меню с программами на все случаи жизни, вызываемые через shift.
мечтаю ёба

tahirg
можно заклепать автоматизатор, ну что-то вроде как акелпад прописать вместо стандартного блокнота. вывалить и кто хочет, поставит себе съёмный чопик) на всякие непредвиденные случаи.
себе оставлю и всем родственникам вкатаю. буду потом, в случае чего, по телефону, голосовыми командами регулировать забой локеров.

Вот первый набросок файла sethc.exe - KillWinlock.rar (на рыгхосте)
Глушит все окна какие открыты, даже ехplorer.exe
folta, можешь протестировать на своем зверинце?
Какие ещё функции можно прикрутить?

Код: ; ----------------------------------------------------------------------------
; AutoIt Version: 3.3.8.1
; Author: ynbIpb
; ScriptName: KillWinlock v0.1 (30.05.2012)
; Script Function: Kill Trojan.Winlock
; ----------------------------------------------------------------------------
$aWindows = WinList(); собираем в массив все окна
For $i = 1 to $aWindows[0][0]; перебираем все окна в цикле и проверяем видимость
If IsVisible($aWindows[$i][1]) Then
$iWinPid = WinGetProcess ($aWindows[$i][1]); определяем PID окна
ProcessClose ($iWinPid) ; убиваем процесс
EndIf
Next
; функция проверки видимо ли окно
Func IsVisible($handle)
If BitAnd( WinGetState($handle), 2 ) Then
Return 1
Else
Return 0
EndIf
EndFunc

ynbIpb
только если можно, перезалей. на обменник без таймера ожидания, например ргхост или народ. и обязательно погоняю)

раз уж пошло такое дело, то и автор AntiSMS может приделать своему детищу костыли с коляской)), чтобы каждая доярка могла убивать нечисть.
тогда точно винлокеры этой волны сойдут на нет, надеюсь.

folta
Идея классная! РЕСПЕКТ!
видос зачОтный

ynbIpb
принимайте поздравления. работает на ура.
развивайте машинерию.
но:
поднимать uVS и двумя движениями "удалить все ссылки вместе с файлом" или руками лезть в реестр придется.
\CurrentVersion\Run
\CurrentVersion\Winlogon\Shell
...и далее.
и главное, представте, что
\CurrentVersion\Winlogon\Shell |explorer.exe
побъёт и что нас ждет))
\CurrentVersion\Winlogon\Userinit |C:\Windows\system32\userinit.exe,
тоже перелепит и уйдет в ребут.
нувыпонили
как-никак, а с uVS можно отжать у винлокера, так что развивайте детище. я тоже хотел сначала просто бить окна и ползал в теме батников и скриптов, потом у меня ничего не вышло), посидел, подумал и понял что зря мучался. надо еще и реестр прикручивать, да в таких объёмах , бросил, решил пойти легким, наезженным путем, без всяких лавров. так что, развивайте)

плюс с uVS'ом можно решать другие задачи. а нискажу))
Erekle
ну люблю когда меня хвалят, аж расцветаю))
sasherb
спасибо)
картинка понравилась?! писал так, чтобы не заснули при просмотре, хотел похлеще), а то как начнут нудеть словарными словами, хоть вешайся. а значки я убрал, нечего в мою приватную частность пялиться

вобщем жду себя в шапке. я прям как влитой для этого дела
чоткий и рэзкий

folta

Цитата:

вобщем жду себя в шапке.

Сделано.