Именно это и интересует. Как в regedit создать ключ, что где прописывать?
» Windows заблокирован!
viprus_2004, так как написано:
Цитата:
Цитата:
Пункт меню "Дополнительно" -> "Твики" -> "Сброс ключей Winlogon в начальное состояние".
Нет это не то. Я хочу руками. Разобрался уже: "Строковый параметр"
И где интересно в regedit меню "Дополнительно" -> "Твики" ?
И где интересно в regedit меню "Дополнительно" -> "Твики" ?
viprus_2004, пост был не по regedit, а по uVS. Вы изначально задали вопрос не в той теме, прочтите "Использование редактора реестра".
Причем здесь пост про uVS? Ветка - Windows заблокирован! Про это и спросил, именно про regedit. Ну извините, если что не так. Спасибо за направление.
После заражения комп перестал заходить в нет и не видит второй диск, венее видит но не открывает прелогает формат. Что делать на нем много инфы?
viprus_2004
открыли ветку реестра допустим выделили winlogon -в правом окне правой кнопкой по пустому месту ниже всех записей -создать-строковый параметр,допустим Shell(самое распространенное что убивается) ввод,потом 2-клик по нему и прописываете значение - explorer.exe
хорошо юзать live cd с erd-хой ,можно откатить назад взять здоровые файлы и "закатить" откат обратно)),потом поставить" файлы из прошлого" заместо зараженных,может и выглядит как извращение,но по времени все довольно быстро и уже делалось не раз.
открыли ветку реестра допустим выделили winlogon -в правом окне правой кнопкой по пустому месту ниже всех записей -создать-строковый параметр,допустим Shell(самое распространенное что убивается) ввод,потом 2-клик по нему и прописываете значение - explorer.exe
хорошо юзать live cd с erd-хой ,можно откатить назад взять здоровые файлы и "закатить" откат обратно)),потом поставить" файлы из прошлого" заместо зараженных,может и выглядит как извращение,но по времени все довольно быстро и уже делалось не раз.
Спасибо, так и сделал. По восстановлению файлов - поступаю мне кажется проще: ERD у меня в мультизагрузке, а значит на диске есть и дистрибутив винды, как правило XP SP3. Просто архиватором распаковываю userinit.ex_ и taskmgr.ex_ из cab-архивов в X:\I386 в нужную директорию.
Ну да,можно и просто с флешки подкидывать,у меня так с отката и остались,в следующий раз их и закину.
Схватил банер и не чего каспер сделать не смог 
Цитата:
Схватил банер и не чего каспер сделать не смо
Тело вируса в студию.
Блин, я таких "тел" в неделю 2 - 4 выковыриваю, все тащить?
Кто-нибудь уже встречал такой буткит? 
скопировал 9 секторов, в первом же секторе виден код разблокировки
скопировал 9 секторов, в первом же секторе виден код разблокировки
Цитата:
Кто-нибудь уже встречал такой буткит?
а чем он отличается от предыдущих? Текста больше?
Противный, недавно появился. На форуме Каспера DindiDaq вроде ковырнул его, но как-то неубедительно:
По вашему совету MASolomko скачал видео и попробовал способ через консоль восстановления, в результате чего получил винт без загрузочной записи вообще. Так же пропала таблица разделов на винте. Не знаю с чем связано, раньше пользовался этим методом, правда в других ситуациях, помогало. Может из-за трояна такой эффект. В принципе не испугало, т.к. винт я сбэкапил, Акронисом, и скинул копию раздела на свой резервный HDD.
Ну и начал колдовать с восстановлением разделов, с помощью проги Active Partition Recovery, была на одной из livecd сборок. Оба раздела прога восстановила, но Винда все равно не стартовала. Команды fixboot и fixmbr через консоль восстановления действия не возимели. Придумал запустить acronis DDS 10 build 2169, он наиболее корректно работает с файловой системой ИМХО, сменил раздел C: c основного на дополнительный, затем обратно, причем пометив как активный, и вуаля! Винда запустилась!
Пользуйтесь! Способ работает с данным видом баннеров. И техподдержку беспокоить не придется, и терять время на ожидание оттуда помощи!
http://forum.kaspersky.com/index.php?showtopic=208535&st=20
Добавлено:
Цитата:
Там кажется принцып другой. Ни в реестре не приписывается, ни файлов его нет. Вроде он встраивается в MBR и загружается из соседних секторов.
Сам не встречал.
Добавлено:
Цитата:
Секторов харда? И чем скопировал.
В ваш файл как-то лезть не хочется, боязно, может скрин выложите, что там за код?
По вашему совету MASolomko скачал видео и попробовал способ через консоль восстановления, в результате чего получил винт без загрузочной записи вообще. Так же пропала таблица разделов на винте. Не знаю с чем связано, раньше пользовался этим методом, правда в других ситуациях, помогало. Может из-за трояна такой эффект. В принципе не испугало, т.к. винт я сбэкапил, Акронисом, и скинул копию раздела на свой резервный HDD.
Ну и начал колдовать с восстановлением разделов, с помощью проги Active Partition Recovery, была на одной из livecd сборок. Оба раздела прога восстановила, но Винда все равно не стартовала. Команды fixboot и fixmbr через консоль восстановления действия не возимели. Придумал запустить acronis DDS 10 build 2169, он наиболее корректно работает с файловой системой ИМХО, сменил раздел C: c основного на дополнительный, затем обратно, причем пометив как активный, и вуаля! Винда запустилась!
Пользуйтесь! Способ работает с данным видом баннеров. И техподдержку беспокоить не придется, и терять время на ожидание оттуда помощи!
http://forum.kaspersky.com/index.php?showtopic=208535&st=20
Добавлено:
Цитата:
а чем он отличается от предыдущих? Текста больше?
Там кажется принцып другой. Ни в реестре не приписывается, ни файлов его нет. Вроде он встраивается в MBR и загружается из соседних секторов.
Сам не встречал.
Добавлено:
Цитата:
скопировал 9 секторов, в первом же секторе виден код разблокировки
Секторов харда? И чем скопировал.
В ваш файл как-то лезть не хочется, боязно, может скрин выложите, что там за код?
576438
Цитата:
Цитата:
Кто-нибудь уже встречал такой буткит?
скопировал 9 секторов, в первом же секторе виден код разблокировки
Вчера попался такой красненький вымогатель в загрузочном сеткторе. Новая модификация, которую не берёт FIXBOOT и FIXMBR, после применения этих команд разделы не слетели, но и зловред не пропал. Как это возможно? В наличии был бэкап акрониса восстановил только MBR акронисом, но и после этого он не пропал, исчез только красный текст, а надпись enter code: осталась.
Далее ковырялся руками через акронис диск директор, пока полностью не снёс таблицу разделов...
Далее ковырялся руками через акронис диск директор, пока полностью не снёс таблицу разделов...
Цитата:
Новая модификация, которую не берёт FIXBOOT и FIXMBR, после применения этих команд разделы не слетели, но и зловред не пропал.
может он файлово-загрузочный?
т.е. поражает и сектора и файлы.
ynbIpb
Становиться все интересней и интересней.....
Я конечно понимаю.. но у меня вопрос.. а за бугром тоже есть такие эпидемии вымагетелей... или только у нас это с таким дырявым законодательством возможно
Становиться все интересней и интересней.....
Я конечно понимаю.. но у меня вопрос.. а за бугром тоже есть такие эпидемии вымагетелей... или только у нас это с таким дырявым законодательством возможно
740103
Цитата:
в корень зрите
Цитата:
Я конечно понимаю.. но у меня вопрос.. а за бугром тоже есть такие эпидемии вымагетелей... или только у нас это с таким дырявым законодательством возможно
в корень зрите
Цитата:
может он файлово-загрузочный?
Ну хз, он мгновенно появлялся до загрузки ОС и при просмотре через диск директор в HEX виден был текст вымогателя в секторах. Но теперь уже поздно, я им накатил бэкап c DVD диска, который когда-то заботливо сделал акронисом. А все данные на диске D: улетели (они в прочем не так важны были хозяину). А на будующее я себе сделаю ещё один LiveCD - Active@ Boot Disk.
Цитата:
Становиться все интересней и интересней.....
Ну так разработчики тоже читают подобные темы и изобретают новые механизмы.
А по поводу за бугром: там наверное просят ввести номер кредитки)))
ynbIpb
Руками в MBR лазить довольно опасно. Работа как у сапера. Правда бэкап секторов это первое, что нужно было сделать.
вот ссылка на матчасть MBR: Ссылка
Жаль Вы не попробовали MbrFix.exe от Systemintegrasjon AS
её часто включают в различные LiveCD, по-моему она лучшая в этом деле. Или на крайняк fdisk /mbr.
Кажеться, что следующим шагом вымогателей будет, убийство таблицы разделов, а там уж и таблицы файлов. Вредить так на всю катушку. И тогда плавно переберемся к спецам в этих делах:
Пропал диск. Восстановление таблицы разделов (не данных) - 2 - Ссылка
Восстановление разделов и информации на HDD - Ссылка
Руками в MBR лазить довольно опасно. Работа как у сапера.
Правда бэкап секторов это первое, что нужно было сделать. вот ссылка на матчасть MBR: Ссылка
Жаль Вы не попробовали MbrFix.exe от Systemintegrasjon AS
её часто включают в различные LiveCD, по-моему она лучшая в этом деле. Или на крайняк fdisk /mbr.
Кажеться, что следующим шагом вымогателей будет, убийство таблицы разделов, а там уж и таблицы файлов. Вредить так на всю катушку. И тогда плавно переберемся к спецам в этих делах:
Пропал диск. Восстановление таблицы разделов (не данных) - 2 - Ссылка
Восстановление разделов и информации на HDD - Ссылка
Цитата:
А на будующее я себе сделаю ещё один LiveCD - Active@ Boot Disk
А можно ссылку на хороший образ.
Добавлено:
Цитата:
Правда бэкап секторов это первое, что нужно было сделать.
Какой прогой лучше делать бекап MBR и таблицы разделов?
Цитата:
Правда бэкап секторов это первое, что нужно было сделать.
Делал, но не подумав, сохранил их на этот же винт
Цитата:
А можно ссылку на хороший образ.
тема в варезнике: Active@ Boot Disk
viprus_2004
Цитата:
Код 8105739, открыть файл можно было блокнотом, если отключить антивирус...
Сохранял сектора через 7-tools partition manager через view sektors, так же и восстанавливал на виртуальной машине чтобы получить картинку.
Правда на виртуальной машине разделы слетали после манипуляций с секторами, а на реальной машине после ввода кода баннер пропал. Вообще встречаю его уже второй раз в этом месяце, в первый раз просто обновил mbr с помощью Paragon hard disk manager (fixmbr у меня не сработал)
gold_boy
Сохранять таблицу разделов можно через DM Disk Editor and Data Recovery, только восстанавливать нужно той же версией, которой сохранял. Я так каждый месяц разделы восстанавливаю после "работы" ATIH 2011.
Цитата:
Секторов харда? И чем скопировал.
В ваш файл как-то лезть не хочется, боязно, может скрин выложите, что там за код?
Код 8105739, открыть файл можно было блокнотом, если отключить антивирус...
Сохранял сектора через 7-tools partition manager через view sektors, так же и восстанавливал на виртуальной машине чтобы получить картинку.
Правда на виртуальной машине разделы слетали после манипуляций с секторами, а на реальной машине после ввода кода баннер пропал. Вообще встречаю его уже второй раз в этом месяце, в первый раз просто обновил mbr с помощью Paragon hard disk manager (fixmbr у меня не сработал)
gold_boy
Сохранять таблицу разделов можно через DM Disk Editor and Data Recovery, только восстанавливать нужно той же версией, которой сохранял. Я так каждый месяц разделы восстанавливаю после "работы" ATIH 2011.
576438 (12:26 16-06-2011)
Цитата:
...а на реальной машине после ввода кода баннер пропал...
Операционка, после этого загрузилась? Если да то вирус не нарушил таблицы разделов, вряд ли его функционал мог восстановить её вновь после ввода кода, хотя...
подскажите пожалуйста а вот этим кто нибудь в реалной жизни пользовался(LiveCD) ?
http://www.antiwinlocker.ru/AntiWinLockerLiveCD_features.html
http://www.antiwinlocker.ru/AntiWinLockerLiveCD_features.html
fedoseevka
скачать, образ распаковать в корень флешки.
в Menu.lst прописать -
title AntiWinLockerLiveCD
root (hd0,0)
chainloader (hd0,0)/bootmgr
(или записать на диск - примеру программой UltraIso)
убивать зловредов
скачать, образ распаковать в корень флешки.
в Menu.lst прописать -
title AntiWinLockerLiveCD
root (hd0,0)
chainloader (hd0,0)/bootmgr
(или записать на диск - примеру программой UltraIso)
убивать зловредов
358
спасиб, я в курсе как закиноть изошку на флеш, я спрашивал- реально кто-нибудь пользовал этот продукт?
спасиб, я в курсе как закиноть изошку на флеш, я спрашивал- реально кто-нибудь пользовал этот продукт?
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.