» Windows заблокирован!

PepelR
загрузись с любого LiveCD и сбрось инфу на usb hdd подходящего объема, потом делай со своим hdd что хочешь

Добавлено:
Diabolik

Цитата:

за обычную платить западло

здесь недалеко есть пролеченная
http://forum.ru-board.com/topic.cgi?forum=35&topic=49510

Ну это очевидно... была бы возможность не спрашивал...
Если тупо все системный папки и файлы с диска D:\ потереть?

PepelR

Цитата:

Если тупо все системный папки и файлы с диска D:\ потереть?

так и надо

PepelR
В вашем случае надо было просто восстановить ключ запуска проводника и файл userinit.exe из свежеустановленной системы подошел бы.
Ключ запуска можно было восстановить и после , поскольку запустить explorer можно из диспетчера задач, который кстати (taskmgr.exe) тоже нужно было восстановить. И вообще файлы блокиратора вручную проще было удалить загрузившись с любого носителя с доступом к системному диску (не обязательно ставить винду, да и не эффективно это) Вся инфа о том где они счас обитают и что портят есть в ветке.

Кто пробовал сканить AntiWinLockerLiveCD? Как долго это происходит и зависит ли от забитости системного раздела и диска в целом? А то пока есть только одна информация о сканировании "Всю ночь" .

Я думаю старая венда на C:\ уже нормально не будет работать.

При загрузке с C:\ только wallpaper и все - диспетчер задач не запускался.
А где почитать про восстановление userinit.exe. Или касаемо моего случая, может можно ещё восстановить? Так-то наверное даже быстрее будет...

Заранее спасибо.

А читать ничего не надо надо просто скопировать из одной винды в другую в тоже место. И еще если бы вы внимательно посмотрели лог вылеченных (удаленных файлов) DrWeb ом вы бы все поняли сами, какие важные для загрузки винды файлы были уничтожены вирусом вымогателем.

Ооо, можете по подробнее пожалуйста?

Вы копировать файлы умеете? Вы представляете структуру дерева каталогов?

PepelR
В шапке есть чистые системные файлы Windows под определленную виндовс, запускайтесь с livecd и скопируйте чистые файлы на место зараженных.

Basszlat, спасибо

Меня много раз спасал AntiWinLockerLiveCD когда компы домой приносили чтобы посмотреть что с ним ))

Сегодняшний винлокер, правда в висте SP1, имеет примерно такоеже циферное название и располагается не в папке пользователей, а в ProgramData модифицирует под себя три ключа реестра и Shell и Userinit и диспетчера задач. Сами файлы системные не удаляет и не заменяет собой, только ключи реестра. AVZ не видит подмену ключа userinit и не восстанавливает его. Пришлось для userinita делать вручную.

IvANANvI

Цитата:

Сегодняшний винлокер, правда в висте SP1

А скрины есть?

да это тот-же самый синенький, который в XP подменяет userinit.exe
Просто он ориентируется какая ОС, и если это не XP, то файлы не подменяет, а только в реестре перебивает ключи.

hohkn
Выглядит абсолютно также. Синенький с белым текстом.
ynbIpb
Да скорее всего так и есть, я не зря упомянул, что наблюдал его на висте.

Сегодня лечил порно-банер блокиратор на windows XP (SP3), имя также цифробуквенное, расположение профиль пользователя. Запускался в одном из ключей RUN пользователя. Пропустил, обновленный на тот момент, Nod32 (4 версия).
Самый простой по лечению, ничего не подменил, ничего не попортил.

IvANANvI
такого не бывает.. что бы ничего не попортил. раз лечил значит что то попортил

740103

Цитата:

такого не бывает.. что бы ничего не попортил. раз лечил значит что то попортил

Да, просто встал в автозагрузку, как и всякого рода программы (например, Mail.Ru Agent). Только функционал банера немного другой, заблокировать любые действия пользователя, показывать порно-картинку (меняющуюся после перезагрузки) и вымогать 500 р.

IvANANvI

Цитата:

Да, просто встал в автозагрузку, как и всякого рода программы (например, Mail.Ru Agent). Только функционал банера немного другой, заблокировать любые действия пользователя, показывать порно-картинку (меняющуюся после перезагрузки) и вымогать 500 р.

Повезло.
Блин, древность какая-то. У меня щас такие редкость: в основном, крутые из последних серий.

reddestfox
Эта разновидность тоже из последних (думаю просто поделка ребенка-любителя), поскольку древности как правило антивирусами уже обнаруживаются. А вот бутовые в нашем городе так и не появлялись, ни разу не встретил.

IvANANvI

Цитата:

древности как правило антивирусами уже обнаруживаются

Точно.

Цитата:

поделка ребенка-любителя

Да уж.
Я имел в виду, что такие убираются просто, в отличие от последних: хитрых и злющих...

Цитата:

бутовые в нашем городе так и не появлялись, ни разу не встретил

Счастливчик. У меня щас, в основном, именно такие.

у меня бутовые пока единичные случаи, в основном обычные, подмена shell и userinit...

Здравствуйте!!! ребята, помогите пожалуйста, подцепила вирус Bundespolizei, почитала как у вас тут люди справлялись.. у меня не получается.. не могли бы вы все пошагово написать!!! оочень прошу!!!
спасибО!!!

Цитата:

подцепила вирус Bundespolizei

вчера описывал на одном из форумов,именно Bundespolizei :
картинка
описание :
скачиваешь ЭТО,создаешь загрузочный диск,загружаешься с него
далее по пунктам:
1.запускаешь-старт-
2.выпадает окно выбираешь-вручную-
3.выбираешь диск с системой (по умолчанию должен найти)
4.кликаешь-загрузить-
5.выпадает окно,выбираешь пользователя,то есть себя
6.кликаешь-загрузить-
7.переходишь на вкладку-автозагрузка-
8.убираешь галочки со всякого левого гавна типа как на скирине
перегружаешь систему,банер не должен появится,куда он еще прописывается не знаю,возможно только в автозагрузку
возможно есть еще варианты : )

IvANANvI (01:09 20-07-2011)
Цитата:

думаю просто поделка ребенка-любителя)

Теперь как мне кажеться это просто хитрый ход вирусописателей против автоматической работы программы AntiWinLockerLiveCD, она же не в курсе что нужно пользователю, чтоб загружалось, а что не нужно. Как правило для обычных пользователей выбор, что прибить это камень преткновения.

Цитата:

Как правило для обычных пользователей выбор, что прибить это камень преткновения.

Или наоборот, мочат все подряд, а потом готорят, что система почему-то не работает

почему никто до сих пор не написал низкоуровневый драйвер, который бы следил за ключами реестра shell и userinit?
кстати... в реестре можно давать разрешения на ключи, а не на ветки?

EVKash

Цитата:

кстати... в реестре можно давать разрешения на ключи, а не на ветки?

То, что Вы называете ключами, в отношении реестра называют параметрами, а ключи - это как раз те же ветки. Нет, отдельным параметрам нельзя присваивать разрешения.

Цитата:

почему никто до сих пор не написал низкоуровневый драйвер, который бы следил за ключами реестра shell и userinit?

А что разные проактивки ещё делают?
Но если значения будет менять "доверенное лицо/процесс", такой драйвер должен закрывать глаза. Вот чтобы были "исключения наоборот" и для доверенных - даже не знаю, есть ли такие ХИПС/проактивки?

Добавлено:
Тогда нужна утиль с драйвером, которая просто следила бы за ключами без всяких доверенных и исключений.

Практивка outpost firewall следит за этими и многими другими ключами и папками. Как то зашел в контакте запустилась java машина и outpost выдал предупреждение что неизвестное приложение пытается завершить работу компа. Не разрешил и отрубил плагины java во всех браузерах.