» Windows заблокирован!

По примеру из шапки: Получение кода разблокировки по телефону и жалоба на короткий номер с проcьбой отправить смс [?]


А по-первому варианту, не так уж и сложно, не такое объяснять приходилось.

29 января поймал вирус, блокирующий Windows... Антивирусы Avast от 29 января и Касперский Rescue Disk от того же числа обновления тоже не нашли его...
Проблема была на Windows 7. Хорошо под рукой был Bart XPE Live CD... Загрузился с него... Вызвал поиск в папке "Users\Имя пользователя" на все "ехе" файлы... Выползло немного... Среди которых бросился в глаза xxx-video.avi.exe... Валялся во временной папке загрузок оперы... Удалил... Перезагрузился... Explorer ессно не загружается... Жму ctrl+alt+del... Выбираю "Диспетчер задач"... Офигел... Выполз Калькулятор... Опять жму ctrl+alt+del... В спец возможностях ставлю галку экранная клавиатура... Возвращаюсь на черный экран с нею... Выбираю в ней "Параметры"... Жму на ссылку помощи... Выполз "Проводник"! Выбираю в нем путь к папке Windows...
Запускаю regedit. Нахожу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправляю Shell на "explorer.exe" (была ссыла на тот файлик вирусика)... Перезагружаюсь... Облом... Выползло тока одно окно проводника... В нем выбираю папку windows и ищу все "explorer.exe"... Нашел еще один в папке "WinSxS" где-то глубоко.. Запускаю его... Оболочка восстановилась, что подтвердила перезагрузка... Жму "диспетчер задач"... Все также калькулятор... Проверил саму программу taskmgr в Windows... Подмены нет... Установил Process Explorer... Думал его использовать... Выставил, "заменить стандартный диспетчер задач"... Попробовал.. Но он требует параметры какие-то... Запустил вновь с каталога Process Explorer... В том же меню выставил "Восстановить стандартный диспетчер задач"... Все заработало...
В общем все остальное было нормально... Может кому пригодится хотя бы способ восстановить оболочку...

Столкнулся с необычным поведением винлока:
Вобщем вызвали как обычно на излечение. Убрал тело, подчистил (попутно ещё букет другой заразы сидел). В системе стоял антивирус Nod32. Пытаюсь обновить базы с флешки - нивкакую. Пробую с инета - никак. Удалил, подчистил папки, реестр от ключей и файлов самого антивиря и вдруг замечаю, что 1 файлик не даётся: update.ver. Ни открыть, ни прочитать, ни удалить его нельзя. Операционка полностью блокирует к нему доступ. Вот и причина, почему он не обновлялся. ибо в первую очредь антивирь обращается к этому файлу. Unlocker удаляет без проблем и не показывает, что его кто-то держит. Простой эксперимент: Создаю на рабочем столе текстовый документ, пишу в него лабуду, переименовываю в update.ver и всё - полная блокировка файла. Стал искать записи в реестре по имени файла - ничего. Времени было мало, поставил на закачку аваст и убёг. Забыл прихватить тела, для исследования (да и зверей там было много)
Вопрос: как это реализовано?

ynbIpb
Тоже самое получаем и на не зараженой машине. Удалить действительно сложно, до перезагрузки (FAT32). Правда вопроизвести еще раз после его удаления и перезгрузки больше не удалось.

IvANANvI, система девственно чиста? или когда-то на ней были зловреды (возможно последствия присутствия) У меня на других системах подобное не проявляется.

ynbIpb
Да больше не проявляется. Сочту за глюк, который возможно у Вас тоже проявился.

Цитата:

если вы абонент билайна то отправте 79602566501 на номер 3116, если абонент мегафона то 600 на номер 84444

удалось подобрать номер разблокировщик, вдруг кому пригодится:123456789

Извините, не удержался. "Вышлите код пополнения - следующий уровень"
http://apikabu.ru/img/5aa712.jpg

Цитата:

"Вышлите код пополнения - следующий уровень"

А ведь кто-нибудь и поведется...
Следующим уровнем будет высылка данных кошелька WebMoney

[more=Новая радость появилась] [/more] На хабре заметка была, даже запускать файл не надо. Походу ожидается наплыв пользователей с зараженными компами.

Это уже давно работает, обычная связка эксплоитов. Как на моём видео

Надо было несколько компов лечить (ноуты), у всех была одна проблема, блокировка при загрузке. Т.к. не было раньше проблем таких пришлось в инете почитать немного. Как результат подборка статей с сайтов в одном файле.

Может кому пригодиться:
Trojan.winlock%2002_2011_small.rar
Размер 15,5мб

По роду своей работы постоянно сталкиваюсь с подобнуми вирусами. Они кстати постоянно мутируют так что совет про blocker.exe и blocker.bin уже давно не актуален. Вот смотри здесь я все подробно описал как избавиться от этого вируса http://kirzhak.livejournal.com/541.html

Добавлено:
По роду своей работы постоянно сталкиваюсь с подобнуми вирусами. Они кстати постоянно мутируют так что совет про blocker.exe и blocker.bin уже давно не актуален. Вот смотри здесь я все подробно описал как избавиться от этого вируса http://kirzhak.livejournal.com/541.html

Попал в руки залоченный нетбук (winlock 2741) Привода нет, загрузочной флешки нет... при загрузке можно сделать Recovery по F4, на ноуте есть такие-то книжки и прочая фигня. Вопрос: восстановление поможет ? и как оно работает, перезапишет только системные файлы или отформатит и развернет сохраненный образ ?

Aleks78
а возможно загрузиться в безопасном режиме с поддержкой командной строки?чтоб добраться до реестра.(regedit)
обычно recovery восстанавливает системные файлы, это ж не акронис, кот.форматирует и разворачивает образ.
Запуск восстановления системы в безопасном режиме с командной строкой в Windows XP

Aleks78
Пока на работе имел дело с большим парком старых машин, не тянуло к загрузочным флешкам. Теперь, когда старья нет, но есть в природе новые компьютеры, иногда - без привода, - заиметь флешку приобрело смысл, и теперь две флешки отведены под это. На новых идут гарантированно.

Safe Mode далеко не всегда можно загрузить при локерах. Часто вместо рабочего стола получаете BSOD.

А вот при выключении компьютера локер выгружается одним из первых (бережет себя =)), и, если шатдаун прервать, получите чистый explorer, после чего можно удалить локер.

Прервать выключение компьютера можно теми же тремя клавишами...

Jene

Цитата:

Прервать выключение компьютера можно теми же тремя клавишами...

Не получается... После начала выключения "три клавиши" уже не останавливают выключение (пробовал на 2K3).

358
Так собственно и сделал Снёс.
Erekle
Сейчас просто реально нет возможности взять свободную флешку... времени нет.

а как удалить?

mvs22, что именно удалить и на чём?

вот и получается, простой способ без LiveCD.(кстати мож в шапку? в раздел Средства борьбы...)

1. Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).
2. Дождитесь появления окна cmd.exe (окно командной строки) на экране.
3.1 В окне cmd.exe ввести regedit + Enter
Правим ключи реестра:
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit д.б. только C:\WINDOWS\system32\userinit.exe, (с запятой в конце)
в Shell д.б. только explorer.exe
в UIHost д.б. только logonui.exe
Все лишнее удалить (в Autoruns процессы в Winlogon: usrinit.exe и userinit.exe. Usrinit.exe удалить, и сам файл из папки windows/system32/usrinit.exe)

3.2 Дальше explorer.exe.
Лечить AVZ. 1) Файл - Восстановление системы - отмечаем все пункты кроме 18 и 21)
2) Файл - Мастер поиска и устранения проблем
3) Сервис - Менеджер файла Hosts
4) Сервис - Менеджер Winsock SPI

и т.д и т.п

358, но чаще всего п.1-то и не работает.

358, он сработает только в том случае, если доступна загрузка в Безопасном режиме.

vzar
Neon2
ест-но, я ж грю, что
358 (13:04 18-02-2011)
Цитата:

способ без LiveCD

когда возможно грузиться в таком режиме

358, то есть ваш способ практически бесполезен, так как первым делом винлокеры блокируют возможность загрузки в Безопасном режиме.

Возникла мысль... а ведь можно запретить изменения Shell или нет ?

Цитата:

а ведь можно запретить изменения Shell или нет ?

а где его меняют? В реестре? Запрет на модификацию ветки. И запрет на модификацию файла всеми (через права нтфс)

Aleks78 (21:28 18-02-2011)
Цитата:

запретить изменения Shell

говорят так -
Для любого ключа реестра можно поставить права доступа (через меню "Правка/Разрешения"). Соответственно, надо запретить на запись этот ключ тому пользователю, от имени которого выполняется вирус. (В принципе, можно запретить на запись и вообще всем — этот параметр отвечает за то, что при запуске файла с расширением EXE выполняется сам этот файл, и вряд ли потребуется это изменять.)

т.е. запретить Админу (ставим Администратор - чтение) редактирование веток в реестре:
(по типу настройки права доступа на диске с NTFS)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]


Запретить именно ключи - Windows не может)
После запрета на ветки реестра баннер уже не может подменить shell, заблокировать диспетчер задач, и редактор реестра, а так же убить загрузку в безопасном режиме.