» Windows заблокирован!

POLINA5557

А Пк заблокирован полностью или возможны какие нибудь манипуляции?

Не могу войти на MAIL RU......ПОЧТА НЕ ОТКРЫВАЕТСЯ...ВХОЖУ ЧЕРЕЗ ЖУРНАЛ НА СВОИ СООБЩЕНИЯ...)...ЗАБЛОКИРОВАН ВЫХОД НА ОДНОКЛАССНИКИ У МЕНЯ...ДОЧКА НЕ МОЖЕТ ВЫЙТИ В КОНТАКТ...А ОСТАЛЬНОЕ ВСЕ ЗАГРУЖАЕТСЯ..)

POLINA5557
C:\WINDOWS\system32\drivers\etc
открыть блокнотом файл HOSTS
возможно там собака зарыта

Цитата:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

более там ничего не должно быть

POLINA5557
почту (личный ящик) смотрела ? (на руборде)

POLINA5557
а что за провайдер, а то у меня ЮТК последии недели две такие проблемы с большинством сайтов. А одноклассники только через мозилу заходят.

Притащили ноут Lenovo с русской 7-й. Система не грузится. На синем экране выдает, дескать проверьте на вирусы, отключите новые установленные харды или контроллеры хардов. Проверьте свой хард chkdsk'ом.
Новых хардов нет, CHKDSK ошибок не обнаруживает.

В востановлении системы
Автоматическое восстановление запуска не дает результатов. Дескать, ошибок не обнаружено.
Существет 2 точки восстановлнея системы. На одну восстановление проходит, но общий результат остается прежним. При попытке восстановить на более раннюю вылазит ошибка Память не может быть "read".
Пытаюсь отключить DEP через командную строку (bcdedit.exe /set {current} nx AlwaysOff), говорит, что операция прошла успешно, но в реальности нифига не отключает.

Скачал LiveCD Касперского (10.0), прогнал, нашел несколько троянов, но общий результат не изменился.

Что можете посоветовать, без переустановки системы? А то тащу ОСь с торрента, но сидеров маловато и до завтра возможно и не дотащу.

Дополнительно.
Пытался включить журнал, нифига в папке c:\Windows не создает ни ntbootlog.txt, ни ntbtlog.txt (в инете видел такие две версии для лога загрузки).

Kaylang
Вообще вопрос скорее с эту тему:http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=1537&start=1020#lt
Думаю, что попытка загрузки с загрузочного DVD диска Windows 7 сможет помоч проблеме. Проблема скорее всего не в вирусе.

89654027892
Все коды с http://www.drweb.com/unlocker/index/ не подходят.
Выглядит так:



Добавлено:
портит/лечится "классически"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableTaskMgr"=dword:00000000

На эти номера код 77294738T или 720194320Q) 89030064850 89030064674 89030064740 89030064820 89030064383 89030064604 89030139823 89030139997 89030065460 89030060937 89030060784 89030065390 89030065267 89030065384 89030064258 89030065124 89030065099 89030064972 89030065042 89030064960 89030143148 89030139688 89030065927 89030065859 89030065674 89030065487 89030065506 89030065560 89030065742 89030065563 89030065593 89030065697 89030132891 89030065708 89030065475 89030064534 89030065483 89030065991 89030065568 89030066228 89030066248 89030066037 89030066067 89030132881 89030132762 89030066128 89030066042 89030161819 89030066328 89030160904

еще на номер 89030138195 помог K091104RX (регистр соблюдать)

ndch
А как вошел в систему?
У меня даже в безопасном режиме не получилось - вылетает в синий экран при загрузке!
Причём, СМС отправлять не нужно. Только пополнить счёт номера 89654027891 на 400 р. и в чеке будет код активации.
Бред.
Повеселились работнечги!!!

ivas

Я подобный троян победил редактированием реестра.

Загрузился с BardPE и там в редакторе реестра подключил куст HKLM от системы которую лечил (фаил C:\WINDOWS\system32\config - фаил SOFTWARE или SYSTEM)

ivas
аналогично NskRonin.
загрузка с установочного диска 7/флешки - то что было под рукой
в принципе есть ситуации когда удобнее BardPE и прочая.
в принципе можно и "Offline NT Password and Registry editor". Разбираться до сих пор лень, хотя возможно более удобный вариант.
shift+f10
на самом деле были промежуточные исследования, для успокоения души:[more]запуск AutoRuns
переписывание локера на "комп для исследований"
запуск в sandboxie
просмотр того что локер меняет
проверка кодов от "Сервисов деактивации вымогателей-блокеров" - не подошел ни один, потому написал в этот топик, может кто что посоветует для более простых пользователей.
проверка на virustotal
Очередные выводы о скорости реакции тех или иных антивирусных лабораторий и применимости их в боевых условиях.
отсылка в антивирусные лаборатории.
[/more]

deblocker.cmd:
Код: REG LOAD HKLM\uuusandboxuuu-soft C:\WINDOWS\system32\config\software
REG LOAD HKLM\uuusandboxuuu-sys C:\WINDOWS\system32\config\SYSTEM
REGEDIT /s deBLOCKER.reg
rem deBLOCKER.reg - файл для борьбы с наиболее частыми "порчами" реестра.
REG UNLOAD HKLM\uuusandboxuuu-sys
REG UNLOAD HKLM\uuusandboxuuu-soft

С таким кто сталкивался? 9654028607

У соседа комп заблокирован, картинка как у ndch (см. выше), № 89654029381. Подскажите, если есть, код разблокировки. Сам найти не смог - не подходят.

Ivan47
Если есть время немного подождать, то в этой теме http://forum.drweb.com/index.php?showtopic=292921&st=80 код для вашего номера обязательно появится и там же кстати на последней страничке есть похожие номера отличающиеся последними двумя цифрами стоит попробовать и на них коды.
В противном случае, ручное решение проблемы. Как правило это файлы с расширением *.avi.exe (имя содержит буквосочетание "porno") подменяющие ключ запуска эксплорера в реестре. Файлы *.avi.exe смотреть в кеше браузера в первую очередь, а лучше поиском.

IvANANvI
Спасибо за подсказки, буду пробовать.

Live не работают, ANG тож не помогает, в безопасный не входит,documents and settings перерыл полностью все папки что делать?

SaZke
Цитата:

Live не работают

В каком смысле не работают? Не грузятся?

Не находят вирус

Цитата:

SaZke

Цитата:

documents and settings перерыл полностью все папки

Ты проверь папку C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка. Уже несколько раз у клиентов попадалось именно здесь. Отсюда найдешь самого вирусяку - будет или в C:\WINDOWS\system32 или в C:\System Volume Information
з.ы. файлы скрытые.

не смогу войти в System Volume Information пишет что папка заблокирована

Цитата:

Ты проверь папку C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка. Уже несколько раз у клиентов попадалось именно здесь. Отсюда найдешь самого вирусяку - будет или в C:\WINDOWS\system32 или в C:\System Volume Information
з.ы. файлы скрытые.

Сейчас не один, более менее умный вирус не прописывает себя в автозагрузку... огу посоветовать проверить вот этот ключ реестра [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce], обычно там можно много всякой бяки найти...

Цитата:

Сейчас не один, более менее умный вирус не прописывает себя в автозагрузку...

А ни кто за умный вирус ни чего и не говорит.... Я говорю о тех, которые бродили последнее время - не такие уж и умные....

SaZke
В файлвой системе NTFS она всегда заблокирована для пользователя администратор. Поэтому выставляем права на эту папку и для него. (см. шапку)

http://news.drweb.com/show/?i=1303&lng=ru&c=5

Цитата:

Троянцы семейства Trojan.HttpBlock применили другую тактику. На заражаемом компьютере эта вредоносная программа устанавливает собственный веб-сервер, именно на него и происходит перенаправление с популярных сайтов, в частности с поисковых систем. Целью злоумышленников было вымогание денег за разблокировку доступа к ним.

Правка hosts и стат маршруты вчерашний день))

NaxAlex
Вы путаете красное со сладким Перенаправление как раз скорее всего и осуществляется с помощью правки hosts и/или статмаршрутов. Элементарно открываем на локальной системе веб-сервер на 80-м порту и прописываем в хостсе:

Код: 127.0.0.1 www.google.com

gjf
хех перепутал красное со сладким

к моему сообщению от 30-09-2010 на virusinfo=kaspersky и drweb появились коды:
Q29574621 - у меня подходит только это.
нашелся на http://forum.drweb.com/index.php?showtopic=292921&st=60&p=449649&#entry449649
пост от 24/09/2010 11:29 !

Странно что в ссылках из шапки этот код получить сложно.

Последнее время попадается вирус который при запуске закрывает AVZ и касперу мешает работать. Если AVZ запустить в режиме без отображения заголовка то всё гуд, но все процессы и службы зелёные, то есть AVZ считает их доверительными. Как то удалось поставить KIS 2009 после обновления баз и проверки KIS не чего не нашёл. Запускаю AVZ с включенным KIS 2009, AVZ сразу закрывается. К примеру если завершить Explorer.exe и запустить AVZ то всё гуд, но как тока запускаешь Explorer.exe , AVZ сразу закрывается.
Ни логов AVZ ни отчётов к сожалению нет.

Как отследить вредителя?

gold_boy
Попробовать просканировать DrWeb CureIt. Вирус однозначно есть. Как мешает работать касперскому? Поискать через Autoruns вручную. Иначе, восстановить реестр.