» Windows заблокирован!
Цитата:
Faab,включение меню опций запуска Windows 8
Так а что мне делать если виндак уже заблокирован? Я бы рад вернуться уже просто к заводскому виду, но опять же мне нужно это меню загрузок..
Качайте образ Microsоft Diagnostic and Recovery Toolset (MSDaRT) 8.0 вашей разрядности x86/x64, записывайте на болванку и грузитесь с него. Восстановление из точек и из образа там точно есть, про безопасный режим не помню.
Не проще ли избавиться от блокировщика, просто записав образ AntiSMS и проведя лечение с него?
Не проще ли избавиться от блокировщика, просто записав образ AntiSMS и проведя лечение с него?
Сам ноутбук находиться не у меня - в субботу поеду колдовать.
Питание отключали вроде бы, но последующая загрузка была всегда одной и той же...
Что касается опции F12 bootsmode в биосе, то вроде там такое не нашли.. но пока сам лично не видел, гарантировать не могу.
Пытались подключить LiveCD Dr Web... у меня дома (для теста) всё подключилось... На Aspire вроде загрузка зависает вообще, но не факт, так как делал это человек не в ладах с компами..
Опробую различные методы, особенно Microsоft Diagnostic and Recovery Toolset .. Потом отпишусь. Спасибо всем за комменты.
Питание отключали вроде бы, но последующая загрузка была всегда одной и той же...
Что касается опции F12 bootsmode в биосе, то вроде там такое не нашли.. но пока сам лично не видел, гарантировать не могу.
Пытались подключить LiveCD Dr Web... у меня дома (для теста) всё подключилось... На Aspire вроде загрузка зависает вообще, но не факт, так как делал это человек не в ладах с компами..
Опробую различные методы, особенно Microsоft Diagnostic and Recovery Toolset .. Потом отпишусь. Спасибо всем за комменты.
Faab
Так а в чем у вас проблема?
Как баннер выглядит?
Так а в чем у вас проблема?
Как баннер выглядит?
Готовимся к новому витку. Ссылка
В программах нет, поэтому здесь. Обновилась утилита nProtect MBR Guard до версии 4.0.1.2.
Описание
Страница загрузки
Судя по гуглопереводу, увеличена область защиты. Осталось понять, что это значит. В частности, защищена ли теперь таблица разделов? Может, кто потестит?
Добавлено:
nPMBRGuard.exe v.4.0.1.2 с английским меню и вырезанным splash-экраном (выйти из nProtect MBR Guard и заменить оригинальный в папке программы).
Описание
Страница загрузки
Судя по гуглопереводу, увеличена область защиты. Осталось понять, что это значит. В частности, защищена ли теперь таблица разделов? Может, кто потестит?
Добавлено:
nPMBRGuard.exe v.4.0.1.2 с английским меню и вырезанным splash-экраном (выйти из nProtect MBR Guard и заменить оригинальный в папке программы).
Свежак:
http://rghost.ru/47455124
virii
Отчёт вирустотал
https://www.virustotal.com/en/file/c8348899c396526c0f670f8c3ee69ae5dff4b6461ccfd8fed4a104ea3682c337/analysis/1373963816/
Скрин:
http://i47.fastpic.ru/big/2013/0716/04/f5e6e0baff7e06eba7b6d89465d9e104.png
[more=Традиционно гадит в реестр]
[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run]
"explorer"="C:\\bin\\virii\\1713311.exe"
[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\bin\\virii\\1713311.exe"
"UIHost"="C:\\bin\\virii\\1713311.exe"
"Userinit"="C:\\bin\\virii\\1713311.exe"
[HKEY_CURRENT_USER\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\\bin\\virii\\1713311.exe"="1713311"
"C:\\Windows\\SysWOW64\\taskkill.exe"="Завершение процесса"
[/more]
http://rghost.ru/47455124
virii
Отчёт вирустотал
https://www.virustotal.com/en/file/c8348899c396526c0f670f8c3ee69ae5dff4b6461ccfd8fed4a104ea3682c337/analysis/1373963816/
Скрин:
http://i47.fastpic.ru/big/2013/0716/04/f5e6e0baff7e06eba7b6d89465d9e104.png
[more=Традиционно гадит в реестр]
[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run]
"explorer"="C:\\bin\\virii\\1713311.exe"
[HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\bin\\virii\\1713311.exe"
"UIHost"="C:\\bin\\virii\\1713311.exe"
"Userinit"="C:\\bin\\virii\\1713311.exe"
[HKEY_CURRENT_USER\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\\bin\\virii\\1713311.exe"="1713311"
"C:\\Windows\\SysWOW64\\taskkill.exe"="Завершение процесса"
[/more]
1) Вводим код 654786983
2) Нажимаем комбинацию клавиш CTRL+ALT+DEL
3) В Диспетчере задач нажимаем кнопку Новая задача
4) Вводим regedit
5) Нажимаем ОК
6) Чистим реестр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
изменить на Userinit="userinit.exe"
-------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
изменить на Shell="Explorer.exe"
---------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
UIHost="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
изменить на UIHost="logonui.exe"
-------------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
удалить shell
-------------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
UIHost="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
удалить UIHost
---------------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
удалить userinit
------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
explorer="c:\documents and settings\admin\Рабочий стол\260\260.exe"
удалить explorer
7) Закрываем редактор реестра
8) В Диспетчере задач щелкаем по кнопке Новая задача
9) Вводим shutdown -r и нажимаем ОК
P.S.
Или грузимся с лайфсд и чистим реестр
http://stop-winlock.ru/manual/1223-trojanwinlock8004-protiv-livecd.html
P.P.S.
Бюлдер создает тупой троян. Он может после ввода кода свернуться и тут же развернуться,т.е. нормального удаления после ввода кода нет.Криворукая поделка.Но пробуем,авось.
http://stop-winlock.ru/index.php?newsid=1899
2) Нажимаем комбинацию клавиш CTRL+ALT+DEL
3) В Диспетчере задач нажимаем кнопку Новая задача
4) Вводим regedit
5) Нажимаем ОК
6) Чистим реестр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
изменить на Userinit="userinit.exe"
-------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
изменить на Shell="Explorer.exe"
---------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
UIHost="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
изменить на UIHost="logonui.exe"
-------------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
удалить shell
-------------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
UIHost="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
удалить UIHost
---------------
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit="C:\Documents and Settings\Admin\Рабочий стол\260\260.exe"
удалить userinit
------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
explorer="c:\documents and settings\admin\Рабочий стол\260\260.exe"
удалить explorer
7) Закрываем редактор реестра
8) В Диспетчере задач щелкаем по кнопке Новая задача
9) Вводим shutdown -r и нажимаем ОК
P.S.
Или грузимся с лайфсд и чистим реестр
http://stop-winlock.ru/manual/1223-trojanwinlock8004-protiv-livecd.html
P.P.S.
Бюлдер создает тупой троян. Он может после ввода кода свернуться и тут же развернуться,т.е. нормального удаления после ввода кода нет.Криворукая поделка.Но пробуем,авось.
http://stop-winlock.ru/index.php?newsid=1899
KimFilby
Ну хоть кому-то пригодилось.
Я просто по сети процесс убил, а далее вычистил.
как видно из сообщения, за 10 минут:
Отправлено: 12:39 16-07-2013 | Исправлено: 12:49 16-07-2013
Ну хоть кому-то пригодилось.
Я просто по сети процесс убил, а далее вычистил.
как видно из сообщения, за 10 минут:
Отправлено: 12:39 16-07-2013 | Исправлено: 12:49 16-07-2013
>Ну хоть кому-то пригодилось.
Мне врядли....Авось кому-то...
Мне врядли....Авось кому-то...
здравствуйте, вопрос такого характера: Какой антивирус самый лучший в плане защиты от этой заразы? устал знакомым снимать эту нечисть. 
в плане детекта все хороши, но проблема в том что почти все антивирусы не справляются с самым свежим винлоком, а подцепить такую свежесть возможно. хотелось бы с программными фишечками, касперского не предлагать он один из лучших в этом плане, но хочется альтернативы, например, тот же касперский при настройке контроля программ блокирует эту заразу, а в новом касперском 2014 появилась функция снятия блокировки экрана с помощью горячих клавиш.
в плане детекта все хороши, но проблема в том что почти все антивирусы не справляются с самым свежим винлоком, а подцепить такую свежесть возможно. хотелось бы с программными фишечками, касперского не предлагать он один из лучших в этом плане, но хочется альтернативы, например, тот же касперский при настройке контроля программ блокирует эту заразу, а в новом касперском 2014 появилась функция снятия блокировки экрана с помощью горячих клавиш.Цитата:
но хочется альтернативы
Malwarebytes Anti-Malware с ним не ловил в отличии от каспера.
блокируй возможность изменять значения в реестре и будет спасение. Все там прописывается.
GHETTO7292
Цитата:
Любой, где есть настраиваемый HIPS или 'песочница'.
Тот же NOD32 можно настроить так, что прописывать свои ключи в реестр 'зловредам' станет невозможно, а 'непродвинутый' пользователь не получит право выбора (при выборе большинство таких пользователей при запросе HIPS бездумно нажимают 'разрешить'). Но - с оговоркой ниже.
betssaf
Цитата:
Части софта при установке или работе бывает нужен доступ к запрещённым ветвям реестра или доступ к диску.
Вот тут придётся потратить какое-то время и объяснить 'непродвинутому' пользователю, на что обратить внимание при запросе HIPS.
Цитата:
вопрос такого характера: Какой антивирус самый лучший в плане защиты от этой заразы? устал знакомым снимать эту нечисть.
Любой, где есть настраиваемый HIPS или 'песочница'.
Тот же NOD32 можно настроить так, что прописывать свои ключи в реестр 'зловредам' станет невозможно, а 'непродвинутый' пользователь не получит право выбора (при выборе большинство таких пользователей при запросе HIPS бездумно нажимают 'разрешить'). Но - с оговоркой ниже.
betssaf
Цитата:
блокируй возможность изменять значения в реестре и будет спасение. Все там прописывается.
Части софта при установке или работе бывает нужен доступ к запрещённым ветвям реестра или доступ к диску.
Вот тут придётся потратить какое-то время и объяснить 'непродвинутому' пользователю, на что обратить внимание при запросе HIPS.
betssaf
Tridentifer
Понятно, спасибо!
2all
А есть ли в Bitdefender Internet Security или G Data такие фишечки? Их я просматриваю в качестве альтернативы. Уж больно сильные антивиры.
Tridentifer
Понятно, спасибо!
2all
А есть ли в Bitdefender Internet Security или G Data такие фишечки? Их я просматриваю в качестве альтернативы. Уж больно сильные антивиры.
GHETTO7292
Ещё рассмотрите связки.
Например Avast плюс Emsisoft Online Armor Free.
Для вовседневной работы выбираете в Emsisoft Online Armor Free режим "Заблокировать пользовательский доступ" и тогда пользователь хоть пусть сколько угодно пытается запустить вирус или троян - ничего не запустится.
Подробнее про Emsisoft Online Armor Free можно почитать тут http://av.3dn.ru/publ/kompjuternaja_bezopasnost/emsisoft_online_armor_free_besplatyj_faervol_i_zashhita_ot_zlovrednykh_program/4-1-0-19
Ещё рассмотрите связки.
Например Avast плюс Emsisoft Online Armor Free.
Для вовседневной работы выбираете в Emsisoft Online Armor Free режим "Заблокировать пользовательский доступ" и тогда пользователь хоть пусть сколько угодно пытается запустить вирус или троян - ничего не запустится.
Подробнее про Emsisoft Online Armor Free можно почитать тут http://av.3dn.ru/publ/kompjuternaja_bezopasnost/emsisoft_online_armor_free_besplatyj_faervol_i_zashhita_ot_zlovrednykh_program/4-1-0-19
вот какой зверь повстречался, пока не как не могу одолеть, с наскока Universal Virus Sniffer, не справился.
Nikollay
AntiSms справиться http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=38633&start=60#lt
AntiSms справиться http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=38633&start=60#lt
opt_step
Спасибо ща попробую, вот полный образ автозапуска, сделанный в Universal Virus Sniffer
http://rghost.ru/47697400
Добавлено:
opt_step, спасибо.
AntiSms справился.
Спасибо ща попробую, вот полный образ автозапуска, сделанный в Universal Virus Sniffer
http://rghost.ru/47697400
Добавлено:
opt_step, спасибо.
AntiSms справился.
Цитата:
А есть ли в Bitdefender Internet Security
да есть! сам на нем долго сидел.
Nikollay
Цитата:
это, я так понимаю оно.
но не понимаю, почему uvs не наградил статусом "подозрительные и вирусы", оставив автозагрузку без внимания.
Цитата:
Полное имя C:\DOCUMENTS AND SETTINGS\ALEKSANDR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\QW2JD.EXE
Имя файла QW2JD.EXE
Тек. статус в автозапуске
Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 51F12C80C000
Linker 2.50
Размер 91288 байт
Создан 26.07.2013 в 21:27:26
Изменен 26.07.2013 в 21:27:23
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить
это, я так понимаю оно.
но не понимаю, почему uvs не наградил статусом "подозрительные и вирусы", оставив автозагрузку без внимания.
folta
загрузка через папку АВТОЗАГРУЗКА - тут нет ничего подозрительного
загрузка через папку АВТОЗАГРУЗКА - тут нет ничего подозрительного
Цитата:
загрузка через папку АВТОЗАГРУЗКА - тут нет ничего подозрительного
Это по каким понятиям?
Всё что позволяет запуститься зловреду должно быть на заметке.
Другое дело что автозагрузку уже давненько не использовали для заражения - вот молодые борцы с нечистью и расслабились. А "старички" по прежнему её исследуют.
zikol
я вот мыслю, что неспособность или неподконтрольность uvs контролировать такие плеши автозагрузки, как:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
или тот же путь, но через профиль пользователя - камень в огород кузнецова.
он там апдейты штампует на шрифты и цвета колонок, а существенное, то, что важнее горы горячих клавиш, побоку.
впрочем, удивления сильного не удивляет.
я уже молчу, что с полсотни диковинных мест в реестре, которые так или иначе связанны с автозагрузкой, должны тоже анализироваться.
Цитата:
любая автозагрузка, любая, уже подозрительно и должно взято на контроль.
и не важно в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
что-то нехорошее налипло или криво написанная программа пытается поманипулировать реестром, ради того, чтобы её, горячёлюбимую незнакомку, не вышвырнули на мороз со всеми чемоданами
Добавлено:
а AntiSms и его автор, молодцы.
что собственно и всегда было)
я вот мыслю, что неспособность или неподконтрольность uvs контролировать такие плеши автозагрузки, как:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
или тот же путь, но через профиль пользователя - камень в огород кузнецова.
он там апдейты штампует на шрифты и цвета колонок, а существенное, то, что важнее горы горячих клавиш, побоку.
впрочем, удивления сильного не удивляет.
я уже молчу, что с полсотни диковинных мест в реестре, которые так или иначе связанны с автозагрузкой, должны тоже анализироваться.
Цитата:
загрузка через папку АВТОЗАГРУЗКА - тут нет ничего подозрительного
любая автозагрузка, любая, уже подозрительно и должно взято на контроль.
и не важно в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
что-то нехорошее налипло или криво написанная программа пытается поманипулировать реестром, ради того, чтобы её, горячёлюбимую незнакомку, не вышвырнули на мороз со всеми чемоданами
Добавлено:
а AntiSms и его автор, молодцы.
что собственно и всегда было)
folta
вы знаете что такое поисковые критерии в uVS? нет? а жаль.
вирус нормально отображается. при этом сигнануры нет на него
помимо локера у человека еще вирус есть и + левые днс прописаны в подключении
вы знаете что такое поисковые критерии в uVS? нет? а жаль.
вирус нормально отображается. при этом сигнануры нет на него
помимо локера у человека еще вирус есть и + левые днс прописаны в подключении
arvidos
неа.
и не жаль что-то.
я им не живу, но любопытствую.
вот этой картинки у меня нету.
открывал образ 3.77.16 (по умолчанию) и там всё красиво и чинно в "подозрительные и вирусы". что наверное и у Nikollay наблюдалось.
поэтому и вопросы нарисовались.
или кто-то думает, что споймавший локер будет выруливать поисковые критерии, искать и без того скудную информацию о работе, нюансах uvs?!
нет.
он смачно плюнет и забьёт навсегда на этот продукт, отдав предпочтение тому, который сможет решить проблему баннера быстрее и без погружения в листание отсутствующей документации.
неа.
и не жаль что-то.
я им не живу, но любопытствую.
вот этой картинки у меня нету.
открывал образ 3.77.16 (по умолчанию) и там всё красиво и чинно в "подозрительные и вирусы". что наверное и у Nikollay наблюдалось.
поэтому и вопросы нарисовались.
или кто-то думает, что споймавший локер будет выруливать поисковые критерии, искать и без того скудную информацию о работе, нюансах uvs?!
нет.
он смачно плюнет и забьёт навсегда на этот продукт, отдав предпочтение тому, который сможет решить проблему баннера быстрее и без погружения в листание отсутствующей документации.
ну а где написано что эта программа для нубов, которые думают что запустят ее и в Подозрительных увидят все свои вирусы? там, кстати, кроме это категории есть и другие, в которых спокойно можно найти локер
посмотрел через 3.80.13
QW2JD.EXE - не виден в подозрительных
а вот CGMINER.EXE уже есть.
но картинка совсем другая
где пса прикопали и кто виноват
QW2JD.EXE - не виден в подозрительных
а вот CGMINER.EXE уже есть.
но картинка совсем другая
где пса прикопали и кто виноватСтраницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.