Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Windows заблокирован!

Автор: Gulftown
Дата сообщения: 14.09.2011 07:02

Цитата:
дождались...
http://news.drweb.com/show/?i=1879&lng=ru&c=23


Цитата:
http://www.anti-malware.ru/news/2011-09-13/4625

попытка возродить легендарный ВинЧих
Автор: CVN5510
Дата сообщения: 14.09.2011 10:14
Да, если эту штуку объединят с WinLocker-ом и блокировщик после каждой перезагрузки будет восстанавливаться из БИОСа - дело будет хреноватым!
Автор: sasherb
Дата сообщения: 14.09.2011 10:56
CVN5510
Значит надо менять материнку с не АМI биосом
Автор: Tridentifer
Дата сообщения: 14.09.2011 11:22

Цитата:
Значит надо менять материнку с не АМI биосом


А если из-за модификаций вируса и перебираний раз за разом материнских плат не останется? Пересесть на Mac'и и Linux'ы? По моему скромному мнению - если уж есть такая паранойя 'намотать' заразу в BIOS - то нужно выбирать материнскую плату, в которой есть функция наподобие Virus Warning.
Автор: kpuk
Дата сообщения: 14.09.2011 11:42

Цитата:
http://news.drweb.com/show/?i=1879&lng=ru&c=23

Ну я вижу из написанного , как вариант, забить свободное место мусором, чтоб он не мог записаться в биосе. (если уж так повезло и имеем подходящую для виря мать=))


Цитата:
Почему ни слова помогает ли препрошивка Бивиса?

Думаю обязательно узнаем об этом когда ктонить поймает и попробует перепрошить))
Автор: sevik68
Дата сообщения: 14.09.2011 11:50
Если бивис будет перезаписываться принудительно, несмотря на несоответствие контрольных сумм, которые обычно проверяют оригинальные прошивальщики, то имхо, в большинстве случаев мазаборды будут убиты и вариант ремонта будет только один - внешний программатор для флешчипов биоса.
Это конечно наихудший вариант
Автор: aleksfa
Дата сообщения: 14.09.2011 12:08
Всем здравствуйте! У меня такой вопрос. Купил ноут HP Pavilion dv6700 с лицензионной вистой. Она со временем стала сильно глючить. восстановлеие с диска не помогает. Решил переустановить винду, поставить семерку. полез в биос, а он оказывается в урезанном варианте, то есть установить очередность загрузки невозможно. В меню биоса то есть вообще нет такого пункта. Только тест системы. Подскажите пожалуйста, как на нем можно винду переустаовить?
Автор: xMOHOXPOMx
Дата сообщения: 14.09.2011 12:11
kpuk

Цитата:
как вариант, забить свободное место мусором, чтоб он не мог записаться в биосе.

Как вариант - Windows Vista...

Цитата:
определяет версию операционной системы и в случае, если это Windows 2000 и выше (за исключением Windows Vista), продолжает заражение... http://news.drweb.com/show/?i=1879&lng=ru&c=23


Автор: Neon2
Дата сообщения: 14.09.2011 12:28
aleksfa, а клавишей F12 (или F10) во время загрузки меню выбора носителя для загрузки разве не вызывается?
Автор: Aroun
Дата сообщения: 14.09.2011 12:34

Цитата:
aleksfa, а клавишей F12 (или F10) во время загрузки меню выбора носителя для загрузки разве не вызывается?


Или F2 или F8 ))))

в самом начале загрузки будет написано что-то типа boot menu.
Автор: vzar
Дата сообщения: 14.09.2011 12:34
aleksfa, у НР меню выбора вызывается по F9
Автор: kpuk
Дата сообщения: 14.09.2011 13:52
xMOHOXPOMx
Я подозреваю что вин7 это временное ограничение для зверька)/
vzar,Aroun
Ещё по кнопке ESC в некоторых вызывается

[ALL] Мне кстати на днях попадался гат который портил mbr.
Благо кроме мбр ничо не запорол, лайфсиди + BootSectGui.exe за несколько минут проблему решили
Автор: seamore
Дата сообщения: 16.09.2011 16:14
Доброго времени, all.

Очередной локер пойман одним из юзеров и побежден мною (http://rghost.ru/22172811) - очень изящный метод перехвата управления - ставит себя отладчиком userinit.exe через создание ключа Debugger с путем к себе (Обычно C:\Windows\Temp\zlovred_name.ext) в ветке реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

Этот ключ и ветку нужно удалять, для достижения профита.

Гаденыш автозапускался ещё и через
HKEY_USERS\<USERNAME>\Software\Microsoft\Windows\CurrentVersion\Run - здесь и был сперва быстро обнаружен и удален по указанному пути. Но после этого система перестала загружаться - после ввода имени пользователя и пароля любого пользователя - мгновенно "Завершение сеанса" и мы опять в форме ввода имени и пароля.


Совершенству, блин, нет пределов...
Автор: tahirg
Дата сообщения: 16.09.2011 17:41

Цитата:
отладчиком userinit.exe через создание ключа Debugger

....это давно пройденый этап
Автор: tshudini
Дата сообщения: 16.09.2011 18:45
seamore

Цитата:
(если нужно тело зловреда могу выложить)

Зачем спрашивать? Выложи, кому не надо пройдут мимо.
Автор: Alex_Caspersky
Дата сообщения: 18.09.2011 14:10

Цитата:
Свежак:

Вчера выловил. Проникает через яву, прописывает себя в автозапуск в реестр текущего пользователя ветку: \Software\Microsoft\Windows\CurrentVersion\Run (чтобы открыть эту ветку с LiveCD нужно подгружать куст: C:\Documents and Settings\%имя%\NTUSER.DAT)
Портит безопасный режим, переименовывая ключи Minimal и Network в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Убивает Explorer при запуске, скрывает своё тело и отключает отображение скрытых файлов в ветке: \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметр Hidden текущего пользователя.

0.14082454312524795.rar


Сегодня был пойман такойже, только номер тел. другой указан.
Сервисы деактивации молчат,
AntiWinLocker не помогает,
Kaspersky WindowsUnlocker выдаёт окно со строчками как здесь. В текстовом режиме тоже самое.

Народ как избавиться от этой дряни? Мозг взрывается!!! HELP!!!



Сейчас посмотрел AntiWinLocker'ом, в автозагруке сидел на раб. столе,.. скрыл,.. перезагрузился. С экрана исчез. Ребята как теперь полностью грохнуть?
Автор: Neon2
Дата сообщения: 18.09.2011 15:04
Alex_Caspersky, задайте свой вопрос спецам в этой теме.
Автор: ynbIpb
Дата сообщения: 18.09.2011 17:23
Я же написал где он сидит, в чём проблема убрать руками?
Автор: TheLacrua
Дата сообщения: 20.09.2011 22:41
Здравствуйте, позвонил друг сказал что компьютер заблокирован, какой-то службой Майкрософт, которая просит через терминал положить деньгу на номер+79111398878. Сервисы деактивации вымогателей не помогли, подскажите, что бы не скачивать всё из шапки, с каким софтом пойти к другу в гости?
Автор: opt_step
Дата сообщения: 21.09.2011 04:14
TheLacrua

Цитата:
с каким софтом пойти к другу в гости?

http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=49510&start=60#lt
и cureit + avz
Автор: Gulftown
Дата сообщения: 21.09.2011 05:10
TheLacrua

Цитата:
с каким софтом пойти к другу в гости

любой диск из этой темы:
LiveCD/BootCD (DVD/USB) на базе OPK WinPE
и свежий cureit

полезно всегда иметь с собой маленькие полезные утилитки:
AVZ
Sysinternals Autoruns

этого больше чем достаточо, чтобы убить любую заразу.
Автор: michail10
Дата сообщения: 21.09.2011 09:49
За это ещё забыли.
Автор: grachevnn
Дата сообщения: 21.09.2011 09:58
быстро и без последствий удалил вирус с помощью этой инструкции http://antismsbloker.ru/j/content/view/43/2/
Автор: opt_step
Дата сообщения: 21.09.2011 12:47
michail10

Цитата:
За это ещё забыли.

дело привычки: avz или uvs
Автор: Sec0ndWind
Дата сообщения: 22.09.2011 17:42

Цитата:
быстро и без последствий удалил вирус с помощью этой инструкции


Да елы палы... вы бы уж тогда сразу первоисточник указали http://www.antiwinlocker.ru/, а не занимались продвижением своего сайта.
Качаете от туда последний antiwinlockerlivecd.iso. Нарезаете на болванку. Загружаетесь с этого диска. И готово. Всё по-русски и понятно.
Прога отлично режет большинство блокеров! Не однократно проверено, на своем и на компах друзей!
Автор: Seduxen
Дата сообщения: 22.09.2011 20:48
Господа юзерыTheLacrua, grachevnn, Sec0ndWind
Не нужно изобретать велосипед - достаточно почитать шапку и 3-4 последних страницы, чтобы не флудить. Конкретный вопрос - конкретный ответ!

Прошу прощения за offtop!

Автор: Ajar
Дата сообщения: 23.09.2011 13:03
Наказать бы этого локера ...
Автор: IvANANvI
Дата сообщения: 23.09.2011 17:51
Сегодня лечил от блокера Windows 7 (отключена UAC, антивирус Аваст)
Вирус сидел в ProgramData изменил под себя сразу два ключа и userinit и shell.
Вирус удалил, ключи подправил при загрузке винда долго загружается потом окошко с жалобой на работу Сокета (Soсks служба не стартует). Винда загружается, скнаирование AVZ не выявляет ошибок в Socks
(4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено).

Сканирование на вирусы Касперским, DrWeb ничего не обнаруживает. Вручную через autoruns также ничего подозрительного, разве, что в закладке Поставщики WinSocks чисто. Не помню может в 7 так и должно быть.
Автор: Pyatachet
Дата сообщения: 24.09.2011 13:35
Ради интереса решил посмотреть в виртуалке как люди вирусы ловят, поставил касперского 2012 с пробным ключом, обновил, набрал в яндексе "порно видео смотреть" и где-то минут за пять нарыл то что искал что характерно касперский ругнулся что надо перезагрузить полечиться, результат - "ваш windows заблокирован", а я то думал касперский понадежней других будет. Правда в данном случае пользователь сам виноват был бы, в конце концов при просмотре видео согласиться запустить exe файл, это э тоже додуматься надо кому интересно проверить ссылочка _http://porkaxmx-freex1c.ru/_
Автор: Gulftown
Дата сообщения: 24.09.2011 13:38
Pyatachet
у тебя не правильный касперский

или в нем что-то отключено
(например КСН)

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115

Предыдущая тема: "svchost.exe... память не может быть "read"&q


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.