» Windows заблокирован!

Цитата:

смелее
попробуйте ваш вариант. нам расскажите.

Я распаковал файлы uvs в system32, всё робит как положено. Вариант с батником мне не подошёл, т.к. использую SRP (запуск bat\cmd запрещён, а прописывать пути исключения - в моём случае нету смысла). А вот юзерам, сидящих "ф канттакте" под админом, это то что надо.

Спасибо за ответ.

Добавлено:
olen6

Цитата:

кроме "Shift" ещё, вроде как, удержание более 5 сек. кнопки "NumLock" тоже вызывает sethc.exe

Не совсем так. Вызывает только при условии чистого рабочего стола. А если открыто окно любого приложения ( особенно локера ) , то вкладка uvs есть только на панели задач, т.е. к uvs нету доступа...

mbrz

Цитата:

запуск bat\cmd запрещён, а прописывать пути исключения - в моём случае нету смысла

всмысле? ничего не понял, может сегодня перегрузился информацией.
запуск старта uVS через полноценный .exe, сконвертированный из батника. не обжатого естественно, чтобы никакой антивирус не ругнулся.
вобщем все написанно и показанно в видео.
ммм..да, туплю), екзешник работает через темповый батник или cmd. а вы пробывали конвертацию bat>exe и запуск? просто любопытная ситуация, надо знать, на всякое.
тем более я не знаю что такое SRP и с чем его едят

Цитата:

а вы пробывали конвертацию bat>exe и запуск?

Естественно. (прогами BatToExeConverter и BatchFileCompiler) Дык...Оттого и не запускается uvs - запуск cmd и bat запрещены.

Цитата:

тем более я не знаю что такое SRP и с чем его едят

Это такая рульная штука, которая позволяет юзеру спокойно сидеть ф кантактте и одноглазиках, а вирь на компе не может запуститься, т.к. даже при дефолтной настройке SRP запуск исполняемых файлов из профиля юзера запрещён.(темп и временные файлы тырнета).

P.S. Вдогонку. Прога Malware Defender себя полностью не оправдала (я ограничился защитой MBR- физический доступ к диску). Несмотря на её вылетевшее окно с предупреждением, вирус внаглую изменил мбр винта . Да и вручную в HEX-редакторе тоже запросто....Боюсь, что пока нет защиты от физического изменения структуры диска...пока юзер под админом работает. Вот если бы сделать как на картах памяти SD - включил lock, и фиг что запишется.
Так что выход пока в ограниченной учётке и SRP.

mbrz

Цитата:

Прога Malware Defender себя полностью не оправдала (я ограничился
защитой MBR- физический доступ к диску). Несмотря на её вылетевшее окно с
предупреждением, вирус внаглую изменил мбр винта

можно взглянуть на виновника торжества, вирус?
сам хочу вердикт вынести.

просто один раз дублем у меня из sandbox убегал mbr, вот грешным делом и подумал. попросил проверить, у всех нормально. оказалось, я накрутил)
а MD крутил и кручу по разному, держит прямое обращение на запись.

.

folta

Цитата:

будете смеяться, но где-то я уже видел локер, который в этой ветке, что-то тыкал.
возможно и ошибаюсь, так как примера этого уже нет.
замечательно, если все асисяй)
в чем нешибко разбираюсь, всегда подозреваю худшее ( а вдруг локер пойдется по "больным" местам реестра).
попробую намедни.

Локеры там, скорее всего сами делают хайджекинг, на диспетчер задач например, вряд ли они будут там искать ссылки на антивирус. В любом случае не помешает защитить этот ключ реестра какой-либо софтиной и/или методом установки разрешений на модификацию: удалить все группы и оставить одного пользователя, из-под которого не сидеть в контакте.

inile

Цитата:

пожалуйста протестируй это
Отпишись. Спасибо.

Протестировал. mbr guard в пролёте. После перезагрузки "error loading operation system" , глянул в хексе - повреждены сектора 62-78 винта. Ну то есть прога защитила мбр, а всё остальное - нет...
А как иначе , если у вируса и mbr guard одинаковые права админа на запуск...?

Цитата:

то есть прога защитила мбр, а всё остальное - нет...

Значит, нужно контролировать RAW access к диску, а польза от узкоспециализированной утилиты только для MBR - как от множества охранников ветки Run в случае автозапуска, или от msconfig в случае служб и драйверов...

Цитата:

А как иначе , если у вируса и mbr guard одинаковые права админа на запуск...?

Это не главное. У меня и антивирус, (если обновил модули), шага не сделает без одобрения ХИПСа, хотя и одинаковые права, и драйверы ядра одной группы - ведь драйвер-то изменился, и он недоверенный пока. Так и с локером. Единственный шанс для него - как-нибудь подвеситься к какому-то системному процессу благодаря лазейки в ХИПСе.

mbrz
решение:

Цитата:

Вариант с батником мне не подошёл, т.к. запуск bat\cmd запрещён...

полноценное win32 приложение.
но нужен masm32 для компиляции sethc.asm
http://rghost.ru/38714490

хм..можно вообще проще, могу выкинуть экзешник, вам надо будет в хекс-редакторе поправить путь до startf.exe на ваш.
ну, не знаю что сложнее будет...но через masm32, полезнее

Я уже начал внедрять скрипт, глушит на ура. Потом вызываю диспетчер задач и запускаю UVS.
А по поводу "запрещено батники", так задействуйте тот же AutoIt скрипт. Всего одна строчка: Run ("C:\UVS\startf.exe")

з.ы.
Популярный зверёк ms.exe эволюционировал и теперь стартует даже в безопасном режиме с поддержкой командной строки. Придётся LiveCd грузить каждый раз. Сегодня было 3 вызова на таких.

folta, Спасибо.

З.Ы. ПМ получили ? Ну и как вам экземпляр ? Есть ли от такого защита ?

mbrz

Цитата:

Ну и как вам экземпляр ? Есть ли от такого защита ?

извиняемся перед malware defender
трижды хватает boot_class.exe за яй...шкирку.
сначала на чтении
\Device\Harddisk0\DR0
потом на записи туда же
и требование ребута через cmd

Цитата:

shutdown -r -t 5 -c "Ссаный анимуёб, тебя уничтожили ВАТАКУ и Олег Комарницкий. Забудь про аниме и начинай плакать. Во славу Олега Комарницкого!"

мало того, требует запуск под админом, иначе просто пытается уйти в мирный ребут.
хотел внутрь залезть, но он под themid'ой, в распаковке не силен. так, поковырял дамп. заряжалка для бинов на чужие винты.
потерял в общем интерес. ничего нового и md не пробивает.
так что.
даже неохота видео снимать, один из многих. но если есть сомнения, намекните.
попозже, двумя кнопками, слеплю.

я думал, что это будет мое предначертание, ну, гипотетически объяснял, как обойти md, надо прописать отложенное выполнение после ребута. чтобы наверняка, без всяких помех, побить мбр и таблицу.
а оказалась старушка. сначала гадит, потом сматывает удочки.
почему у вас md не схватила его?
не знаю. может запуск md требуется под админом или отключение cmd как-то сказалось, не знаю.

folta

Цитата:

мало того, требует запуск под админом, иначе просто пытается уйти в мирный ребут.

естественно,на это и расчёт, нужны права админа для его запуска, иначе у вирусов очень мало шансов запуститься....

У меня на испытуемой ВинХР из-под админа этот вирус полностью держит победу над md и системой...

З.Ы. я правильно понимаю ... то есть, когда вы запускаете этот вирус с админскими правами, md блокирует изменение диска и после перезагрузки у вас остаётся всё хорошо ?

mbrz
Может надавал в MD разрешений без понимания их?

folta


Цитата:

mbrz
полноценное win32 приложение.
но нужен masm32 для компиляции sethc.asm
http://rghost.ru/38714490
хм..можно вообще проще, могу выкинуть экзешник, вам надо будет в хекс-редакторе поправить путь до startf.exe на ваш.

Сделал, как вы сказали. Не сработало, поскольку, как я понял , uvs при запуске создаёт временные файлы в темповых папках профиля юзера, а оттуда запуск всего запрещён...


Цитата:

извиняемся перед malware defender
трижды хватает boot_class.exe за яй...шкирку.
сначала на чтении
\Device\Harddisk0\DR0
потом на записи туда же

Я таки извиняюсь, MD действительно рубит эту заразу. Это я с настройками чего-то не углядел... Извиняюсь за свою невнимательность и флуд.

Значит, MBR под защитой. Это то что нужно.

mbrz
проверил на живой системе через md, ловит. ни мбр, ни разделы не страдают.
перезагружаясь, все как покладенно.
хотя могу и из под системы посмотреть, есть контакт или нет.

даже запустил и посмотрел как оно крошит. мбр с той самой надписью и исчезнувшие разделы диска.
Окна7 х86

в md, на вкладке правила:
приложения>*>свойства>разрешения и "запись на физический диск"- спросить, ну или запретить. сохранить в набор правил.

а про вариант с непролазными bat/cmd и win32, ну, попробуйте скрипт от ynbIpb, но с вашими нагромождениями, чую что и они должны быть отключены.
вобщем, немножко не понимаю вашей концепции.
все отвинтили, а оно прот и прот
легче уж все запихнуть в песочницу и так жить, оттуда точно никто не сбежит)
удачи в любом случае.

Цитата:

проверил на живой системе через md, ловит. ни мбр, ни разделы не страдают.
перезагружаясь, все как покладенно.......в md, на вкладке правила:
приложения>*>свойства>разрешения и "запись на физический диск"- спросить, ну или запретить. сохранить в набор правил.

У меня тепер тоже всё в норме, настроил. Спасибо за помощь. К атаке злобного вируса готов ! )
И вам удачи !

Обновил свой скрипт (sethc.exe), теперь выводит список убитых процессов (полный путь к файлу) и перезапускает проводник.
KillWinlock_v0.2.rar
[more=исходный код]
Код: ; ----------------------------------------------------------------------------
; AutoIt Version: 3.3.8.1
; Author: ynbIpb
; ScriptName: KillWinlock v0.2 (17.06.2012)
; Script Function: Kill Trojan.Winlock
; ----------------------------------------------------------------------------
Global Const $__WINVER = __Ver()
$sScriptName = "KillWinlock v0.2 (17.06.2012)"
$sProcList = "" ; переменная для сбора списка убитых процессов
$sExplorer_exe = @WindowsDir & "\explorer.exe" ; путь к проводнику
$aWindows = WinList(); собираем в массив все окна

For $i = 1 to $aWindows[0][0]; перебираем все окна в цикле
If IsVisible($aWindows[$i][1]) Then ; если окно видимо, то
$iWinPid = WinGetProcess ($aWindows[$i][1]); определяем PID окна
$sFilePath = _WinAPI_GetProcessFileName($iWinPid) ; определяем путь к исполняемому файлу
ProcessClose ($iWinPid) ; убиваем процесс
If $sFilePath <> "" Then
$sProcList &= $sFilePath & @CRLF ; записываем путь к файлу
EndIf
EndIf
Next
If $sProcList <> "" Then ; Если список не пустой
MsgBox (0, $sScriptName, $sProcList, 5); показываем список убитых процессов на 5 сек.
EndIf
; проверяем наличие слов майкрософт в информации файла Explorer.exe
If StringInStr (" Microsoft Corporation Корпорация Майкрософт ", FileGetVersion ($sExplorer_exe, "CompanyName")) <> 0 Then
Run ($sExplorer_exe, @WindowsDir) ; если Explorer не запущен и инфа в файле майкрософт, запускаем проводник
EndIf

;------------------------------------------------------
Func IsVisible($handle)
If BitAnd( WinGetState($handle), 2 ) Then
Return 1
Else
Return 0
EndIf
EndFunc

Func _WinAPI_GetProcessFileName($PID = 0)
If Not $PID Then
$PID = @AutoItPID
EndIf
Local $hProcess = DllCall('kernel32.dll', 'ptr', 'OpenProcess', 'dword', __Iif($__WINVER < 0x0600, 0x00000410, 0x00001010), 'int', 0, 'dword', $PID)
If (@error) Or (Not $hProcess[0]) Then
Return SetError(1, 0, '')
EndIf
Local $Path = _WinAPI_GetModuleFileNameEx($hProcess[0])
_WinAPI_CloseHandle($hProcess[0])
If Not $Path Then
Return SetError(1, 0, '')
EndIf
Return $Path
EndFunc ;==>_WinAPI_GetProcessFileName

Func _WinAPI_GetModuleFileNameEx($hProcess, $hModule = 0)
Local $Ret = DllCall(@SystemDir & '\psapi.dll', 'int', 'GetModuleFileNameExW', 'ptr', $hProcess, 'ptr', $hModule, 'wstr', '', 'int', 4096)
If (@error) Or (Not $Ret[0]) Then
Return SetError(1, 0, '')
EndIf
Return $Ret[3]
EndFunc ;==>_WinAPI_GetModuleFileNameEx

Func __Iif($fTest, $iTrue, $iFalse)
If $fTest Then
Return $iTrue
Else
Return $iFalse
EndIf
EndFunc ;==>__Iif

Func __Ver()
Local $tOSVI = DllStructCreate('dword;dword;dword;dword;dword;wchar[128]')
DllStructSetData($tOSVI, 1, DllStructGetSize($tOSVI))
Local $Ret = DllCall('kernel32.dll', 'int', 'GetVersionExW', 'ptr', DllStructGetPtr($tOSVI))
If (@error) Or (Not $Ret[0]) Then
Return SetError(1, 0, 0)
EndIf
Return BitOR(BitShift(DllStructGetData($tOSVI, 2), -8), DllStructGetData($tOSVI, 3))
EndFunc ;==>__Ver

Func _WinAPI_CloseHandle($hObject)
Local $aResult = DllCall("kernel32.dll", "bool", "CloseHandle", "handle", $hObject)
If @error Then Return SetError(@error, @extended, False)
Return $aResult[0]
EndFunc ;==>_WinAPI_CloseHandle

Herzz, arvidos

Цитата:

Цитата:
и восстанавливаю mbr (fix mbr)

- И теряешь все данные на HDD и "радуешь" хазяина машины - не все так просто под луной в свете последних локеров MBR.

- теряешь потому что таблица разделов в мбр находится. и весит мбр далеко не 4 байта

Но ведь

Цитата:

Bootrec.exe /FixMbr
Запущенная с ключом /FixMbr, утилита записывает совместимую с Windows 7 и Windows Vista главную загрузочную запись (Master Boot Record, MBR) в системный раздел. Используйте эту опцию для разрешения проблем, связанных с повреждением главной загрузочной записи, или если вы желаете удалить из неё нестандартный код. Существующая таблица разделов в этом случае не перезаписывается.

Erekle - есть желание проверить этот постулат ?

Herzz
Вы путаете http://en.wikipedia.org/wiki/Master_boot_record и http://en.wikipedia.org/wiki/Master_File_Table

Ну вот и мне довелось полечить бутового вымогателя (Красными буквами сразу поверх пост экрана).

Код для разблокировки можно видеть чуть раньше:

BootIce показал unknown MBR.
Ввод кода сразу привел к продолжению загрузки. Из под винды снова посмотрел BootIce, он снова показал unknown MBR, ну я его и восстановил на стандартный для XP.
Популярный MS.exe попадается все еще часто, снова имеет красивые иконки, но по прежнему там же где и был.

ynbIpb Спасибо за развитие своего детища.

Знакомые подхватили вымогатель, что-то о порно и 12 часов на оплату штрафа, иначе комп будет невозможно загрузить. Похоже на стандартный винлокер. С их слов, при включении на второй день ушла в ребут, и больше система не видит винт. Вообще, в биосе. На другом компе тоже. MHDD не видит. Возник вопрос, есть ли локеры с такой деструктивной функцией, могу предположить только порчу firmware HDD(WD). Или это таки стечение обстоятельств, и они запинали его ногами?
UPD: не, глянул, вирус только MBR изгадил, игоку на IDE хозяева, на нервах, помяли.

zakataika

Цитата:

Вы путаете

-

Цитата:

и больше система не видит винт. Вообще, в биосе.

Вот о чем речь.

ustsv - с testdisk-6.14-WIP подымается на ура.

Herzz

Цитата:

Цитата:
и больше система не видит винт. Вообще, в биосе.

Ну а так вообще тут софт не при делах. Сорри не разобрался в теме.

[spam_detected]

Итак, народ!
Заранее извиняюсь за свою тупость и в случае, если повторился(что скорее всего)
Итак, уже давненько пропали все ярлыки и пуск с рабочего стола.
Началось все с того, что поймал банер блокирующий винду!Его убрал посредством залезания в реестр и правки пунктов "Shell" и ещё какого-то.
После этого Винда нормально поработала ещё недельку и в один прекрассный день пропали ярлыки и пуск.

Что сейчас имею.
1.Диспечер задач запустить не могу.
2. Безопасный режим только с поддержкой командной строки.(с него я собственно и удалял банер)
3. Если загружаться в обычном режиме, то ничего не работает, просто пустой стол с фоновым рисунком.
4. Повезло, что по своему неумению установил одну винду поверх другой(с неё и пишу с компа).Но хотелось бы разблочить ту)

В общем, как-то так.
Я уже перечитал множество советов.Если будут советы связанные с AVZ, то скажите как её загрузить вообще?Если винда тупо нерабочая.
Заранее спасибо

vanek2219, с командной строки запусти: explorer.exe, если его нет скопируй из рабочей. а далее убедись в наличии диспетчера задач.

ynbIpb
делал.
Вот что пишет:
explorer.exe не является внутренней или внешней программой, исполняемой программой или пакетным файлом((

а сам файл есть в папке Windows?