Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Windows заблокирован!

Автор: Neon2
Дата сообщения: 15.10.2012 13:33

http://rghost.ru/40948348
Пароль на архив стандартный (тот, что рекомендуют антивирусные сервисы).
Автор: zikol
Дата сообщения: 15.10.2012 18:38

Цитата:
http://rghost.ru/40948348

Спасибо за подопытное тело.
Троян не блокирует Безопасный режим с поддержкой командной строки, так что удаляется без LiveCD.
Автор: inppk
Дата сообщения: 16.10.2012 08:59
Народ помогите!
Порно-баннер на весь экран по англицки. Но появляется ТОЛЬКО когда система обнаруживает сетевое подключение, т.е. если сетевой кабель не подключать, комп работает, как только подключаешь на весь экран "забавные картинки".
Может кто сталкивался?
Автор: Neon2
Дата сообщения: 16.10.2012 09:04
inppk -> Помощь при лечении компьютера от вирусов
Автор: inppk
Дата сообщения: 16.10.2012 09:18
Народ помогите!
Порно-баннер на весь экран по англицки. Но появляется ТОЛЬКО когда система обнаруживает сетевое подключение, т.е. если сетевой кабель не подключать, комп работает, как только подключаешь на весь экран "забавные картинки".
МОЖЕт БЫТЬ КТО-ТО СТАЛКИВАЛСЯ?
Автор: Neon2
Дата сообщения: 16.10.2012 09:25
inppk, читайте шапку темы Помощь при лечении компьютера от вирусов, делайте логи и вам помогут.
Автор: zikol
Дата сообщения: 16.10.2012 10:19
inppk
Выложите логи avz и uvs - найдем причину проблемы.
Автор: ynbIpb
Дата сообщения: 19.10.2012 13:31
Необычный попался...
Не совсем блокировщик, точнее шифровщик.

virus.rar

Вобщем прислали по мыло в одну контору в архиве Документы.lzh, они радостно открыли и запустили EXE
В результате всё пошифровано. документы, фотки, архивы. и в каждом каталоге бумажка с вот таким содержимым:

Цитата:
КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов .
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
на жалкие бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 11041425
KORSARS@EUROPE.COM

Скачал касперскую софтину RectorDecryptor.exe, не расшифровывает.
Заслал докторвебу с запросом на лечение. Жду.

Upd.
Есть предположение, что тело не то.
Так как на виртуалке оно ничего не шифрует.
Автор: zikol
Дата сообщения: 19.10.2012 17:48

Цитата:
Так как на виртуалке оно ничего не шифрует.

Логично, т.к. это уже не является зловредом и поможет избежать уголовной ответственности при определенных условиях. Но это мелочь, т.к. полиция у нас не ловит таких преступников.
Главная причина - при наличии шифровальщика проще сделать расшифровщик.
Автор: ynbIpb
Дата сообщения: 19.10.2012 19:00
Написал вымогателям, просят 8000р.
Но в итоге удалось расшифровать этим: http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe
А так заражение произошло точно с этого письма. Там в аттаче был архив *.lzh с *.doc файлом и этот *.exe Но как я их не мучил, так и не удалось воссоздать ситуацию.

Вот оригинал из письма: _http://rghost.ru/41033570
Может быть кому-то удастся воссоздать.
В докторвебе сказали трой был тут: C:\DOCUME~1\user\LOCALS~1\Temp\52RU2U044xb0tX9.exe
Но тела не осталось.


---------------------
Payal, все логические диски. Куча документов (комп офисный). Ко мне обратились через 3 дня. Сколько оно там шифровалось я не знаю. Пострадали: все офисные форматы, архивы, фотографии. Расшифровывать пойду в понедельник. А пока протестировал на взятых образцах.
Автор: Payal
Дата сообщения: 19.10.2012 19:07
ynbIpb
какой объём инфы был зашифрован и как быстро?
шутники однако
Автор: jason32
Дата сообщения: 10.11.2012 01:13
Поймал вирус в Win7 - Аваст не успел его заблочить, что-то резко как-то все произошло, через Яву, несколько предупреждений, пока нажимал - Ява полезла в сеть, запретил, но уже красуется winlock.6049.
Загрузился в старую windows XP, почистил семерку зараженную, но видимо переусердствовал - заменил по совету выше explorer.exe и остальные два файла, да не заметил, что заменяю файлы с win32 в своей Windows 7 64 максимальная.
В итоге "Explorer.exe Класс не зарегистрирован" и приехали. Думал перекачать, но по ссылке 64-версии только home базовая x64 SP1, и то одного файла не хватает. Или тоже подойдет?
Если нет - то может кто-нить кинет userinit.exe, explorer.exe и taskmgr.exe со своей
Windows 7 64 бит Максимальная?
У меня версия 6.1.7601 SP1 сборка 7601
PS Отбой, sfc все восстановил сам.

Автор: TimUrKaOff
Дата сообщения: 12.11.2012 08:29
Поймал блокиратор. После его удаления из под Life CD рабочий стол загружается и всё виснет.
В безопасном режиме грузится. Заменял userinit.exe, explorer.exe и taskmgr.exe.
LiveCD Kaspersky Rescue Disk и Dr.Web CureIt! ничего не нашли.
Проверил userinit.exe и explorer.exe в реестре - ничего лишнего нет.
Windows 7 32 бит Максимальная SP1
Автор: zikol
Дата сообщения: 12.11.2012 17:21
TimUrKaOff
AntiSMS?
Автор: TimUrKaOff
Дата сообщения: 12.11.2012 23:16

Цитата:
TimUrKaOff
AntiSMS?

Использовал - AntiWinLockerLiveCD и AntiSMS
Вошёл в систему, установил KIS 2012, когда пытался обновиться - увидел - что сеть не работает. Прошарил на старых базах - 0.
В Центре управления - Не удалось запустить дочернюю службу. В диспетчере обрудования все сетевые адаптеры с восклицательными знаками. Удалить устройства не удавалось.

Импортом кустов восстановил все службы по дефолту.
После перезагрузки - снова та же картина - рабочий стол блокируется.
Повторное применение AntiWinLockerLiveCD и AntiSMS результата не дало.
Автор: Sphinx114
Дата сообщения: 13.11.2012 05:20
TimUrKaOff, попробуй AVZ > Файл > Восст. настроек (там выбрать всё, кроме 6 и 18)
Автор: TimUrKaOff
Дата сообщения: 13.11.2012 08:03

Цитата:
TimUrKaOff, попробуй AVZ > Файл > Восст. настроек (там выбрать всё, кроме 6 и 18)

После AVZ загрузить систему удалось. Базы на KIS 2012 обновил. Полная проверка ничего не выявила.
Сеть недоступна. В Центре управления всё так же - Не удалось запустить дочернюю службу. Уже и запускал проверку целостности. Ряд служб не запускается - Нет доступа.
Скорее всего моему сисадмину придется переустанавливать систему, другого выхода не вижу. (Самое обидное - кроме рабочих сайтов и одного сайта, детского, нигде не был - на работе стоит нод32, дома стоит кис2012 - хождения по таким дебрям, и всё Ок. Извините за флейм.)
Автор: olzaruta
Дата сообщения: 19.11.2012 22:35
Винлокер СВЕЖАК!



сам файл http://rghost.ru/41683786 ( 2012 )

https://www.virustotal.com/file/e724c90e4b794b68c5b1c0d6125fd9cb52d78903b1822621ecc406f32d0068c2/analysis/
Автор: gold_boy
Дата сообщения: 16.12.2012 19:40
Последнее время попадаются машины у которых в сетевых подключениях нечего не присваивается не IP, не DNS. В "Сведениях" сетевого подключения вобще всё пусто. И инета соответственно нету. Делал восстановление системы в AVZ, безрезультатно. Кто с подобным сталкивался?
Автор: ynbIpb
Дата сообщения: 16.12.2012 19:48
gold_boy, система XP? Антивирус Avast?
Если да, то был массовый падёж по причине ложной сработки аваста. Он убивает TCP IP протокол. В сети есть фикс...
Автор: LaVladimir
Дата сообщения: 16.12.2012 19:54
gold_boy
ynbIpb
вот оно )))
Автор: gold_boy
Дата сообщения: 16.12.2012 19:55
Похоже что да. Щас сам тока что прочитал http://forum.ru-board.com/topic.cgi?forum=62&topic=25454#4
Автор: tshudini
Дата сообщения: 19.12.2012 22:05
Что случилось с писателями вин-блокеров? Уж и праздники на носу, а я забыл уже когда вызывали последний раз на снятие очередного порно-банера.((
Автор: folta
Дата сообщения: 19.12.2012 23:46
tshudini
отмирают. как и пророчил)

сейчас впору создавать тему про шифровальщики.
но там более ювелирная работа и упор на всевозможные база (1С и т.д)
и пока платят. стонут, пинают админов, но платят.
так что ждем очередного билдера-шифровальщики под rsa 1024 и вопли попаданцев.
школота ещо отомстит за гонения блокеров,.
вот напишут им билдер D)
Автор: svin88
Дата сообщения: 20.12.2012 18:06
olzaruta можно поподробнее как выковырял из системы именно этот вин-блокер у меня друг на работе поймал именно его - у него winxp куда садится вирус в систему как файл обычно называется портит ли загрузочный сектор загрузил ему комп с LiveCD - AVZ поставил на ночь чтоб просканировал
Автор: gold_boy
Дата сообщения: 20.12.2012 18:50
Да тоже давным давно локеров не снимал. Походу и в правду идёт эра шифровальщиков, тока в массы я думаю она не пройдёт и они будут быстро палиться антивирусами.
Автор: olzaruta
Дата сообщения: 21.12.2012 11:39

Цитата:
olzaruta можно поподробнее как выковырял из системы именно этот вин-блокер у меня друг на работе поймал именно его - у него winxp куда садится вирус в систему как файл обычно называется портит ли загрузочный сектор загрузил ему комп с LiveCD - AVZ поставил на ночь чтоб просканировал


- Слушай, а что тут подробнее писать? Все тысячу раз описано! Но если нужно...пожалуйста
1. Поймали этот винлокер.......перезагружаемся.....при загрузке жмем клавишу F8 и держим её довольно прилично......
2. Выбираем безопасный режим загрузки с поддержкой коммандной строки..
3. Пишем в строке regedit.....жмем enter...открылся редактор реестра..
4. Идем в ветку HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
5. Выбираем shell - это и есть ключик вируса на автозагрузку...
5. Удаляем его....предварительно запомнив или записав его значение....( указано в столбце справа) в моем случае это был файл ms.exe и прописан не помню точно..то ли в temp или еще куда, но это не важно..
6. В редакторе реестра жмем правка-найти-в окошке пишем ms.exe-найти далее...все найденные параметры с ms.exe удаляем...повторяем до тех пор пока не удалим все записи с ms.exe
7. Перезагружаемся коммандой shutdown -r
8. Все!

- Есть еще и другие способы...но этот самый простой и не требует смены загрузки в биосе ни флешек ни дисков с LiveCD
- Я лично снимаю винлокеры программой Process Killer нажав всего 4 кловиши на клавиатуре..это 5 сек.
- Никакие загрузочные сектора этот вирус не портит..это не mbrLock.
- Удачи!
Автор: dimawi
Дата сообщения: 21.12.2012 11:46
Постоянно приходиться сталкиваться с подобными проблемами в силу своих профессиональных обязанностей, хочу сказать что пользовался этим сервисом для удаления баннеров - http://temowind.ru/bezopasnost-windows-7/kak-udalit-virus-s-kompyutera/
Автор: redtherat
Дата сообщения: 21.12.2012 19:03
Столкнулся с winlockerom обычного, казалось бы, вида. Лочит эксплорер, все быстрые комбинации. При попытке загрузится в сэйф-моде (с поддержкой командной стоки или без нее) машина падает в BSOD. Успешно загрузился с BartPE, чекнул все ветки реестра с winlogon, run - там все корректно (ну, разве что значение параметра shell - F:/I386/... - прописан загрузчик эксплорера . Почистил временные папки, кэш броузеров. Локер цел. WinХР, SP 3. Возможно, кто-то подскажет еще методы?
Автор: olzaruta
Дата сообщения: 21.12.2012 19:13

Цитата:
Столкнулся с winlockerom обычного, казалось бы, вида. Лочит эксплорер, все быстрые комбинации. При попытке загрузится в сэйф-моде (с поддержкой командной стоки или без нее) машина падает в BSOD. Успешно загрузился с BartPE, чекнул все ветки реестра с winlogon, run - там все корректно (ну, разве что значение параметра shell - F:/I386/... - прописан загрузчик эксплорера . Почистил временные папки, кэш броузеров. Локер цел. WinХР, SP 3. Возможно, кто-то подскажет еще методы?


Фото блокера какое?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115

Предыдущая тема: "svchost.exe... память не может быть "read"&q


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.