Цитата:
порнобанеры даже MBR лезут
давно,
мне попался который был только в MBR был
(сама система чиста)
табличка сразу до загрузки ос.
» Windows заблокирован!
Цитата:
давно,
мне попался который был только в MBR был
(сама система чиста)
табличка сразу до загрузки ос.
Gulftown
ничего себе. А в таких ситуациях как быть ? live-CD Dr.WEB с последними обновлениями или переустановка ?
ничего себе. А в таких ситуациях как быть ? live-CD Dr.WEB с последними обновлениями или переустановка ? contrafack
Цитата:
нафига! МВР восстановить и всё, в шапке усё есть (да и в теме писано).
Цитата:
....... или переустановка
нафига! МВР восстановить и всё, в шапке усё есть (да и в теме писано).
Цитата:
Вот что то новое 18+
вместе с установщиком
http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=2020#3
- Уважаемые старожилы форума!
Просьба залить для тестирования винлокер упомянутый в этом сообщении ( мне такой еще не попадался) к сожалению по ссылке файл уже удален.
Кстати, что-то тут не приводят способы избежания хватания баннеров.
Против MBR: утилита nProtect MBR Guard http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe
Против файловых: работа без прав админа + утилита 2IP StartGuard http://2ip.ru/soft/startguard/
А лучше: антивирус с хорошей проактивкой, который перехватывает прямой доступ к диску и к элементам автозапуска плюс права юзера
Против MBR: утилита nProtect MBR Guard http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe
Против файловых: работа без прав админа + утилита 2IP StartGuard http://2ip.ru/soft/startguard/
А лучше: антивирус с хорошей проактивкой, который перехватывает прямой доступ к диску и к элементам автозапуска плюс права юзера
Странный сегодня случай был:
Вызвали убрать блокировщика. Прихожу винда уже не грузится, ругается на испорченный файл SYSTEM
Со слов хозяина, вчера вылезло окно, которое вымогало денег и грозилось через 12 часов убить винду. Такое впечатление, что винлокер сдержал обещание. Прогнал CHKDSK /R, файл исправился (видимо тупо от выключения побился), ладно грузим дальше... Появляется чёрный фон и курсор мыши - Всё! Дальше ничего. даже в бесобасном режиме с коммандной строки не грузится. Только чёрный фон и курсор мыши. Грузился с LiveCD, никаких следов не обнаружил, вроде всё ок. Мучал UVS, тоже не помогло. В итоге накатил ОС в режиме восстановления (XP Sp3). Вот теперь не знаю что думать, винлокер такое сделал или просто повреждение файлов из-за внезапного выключения.
Прослеживается очень нехорошая тенденция. Раньше винлокеры только врали, что удалят файлы, убьют ОС, а теперь сталобыть начали это делать.
Вызвали убрать блокировщика. Прихожу винда уже не грузится, ругается на испорченный файл SYSTEM
Со слов хозяина, вчера вылезло окно, которое вымогало денег и грозилось через 12 часов убить винду. Такое впечатление, что винлокер сдержал обещание. Прогнал CHKDSK /R, файл исправился (видимо тупо от выключения побился), ладно грузим дальше... Появляется чёрный фон и курсор мыши - Всё! Дальше ничего. даже в бесобасном режиме с коммандной строки не грузится. Только чёрный фон и курсор мыши. Грузился с LiveCD, никаких следов не обнаружил, вроде всё ок. Мучал UVS, тоже не помогло. В итоге накатил ОС в режиме восстановления (XP Sp3). Вот теперь не знаю что думать, винлокер такое сделал или просто повреждение файлов из-за внезапного выключения.
Прослеживается очень нехорошая тенденция. Раньше винлокеры только врали, что удалят файлы, убьют ОС, а теперь сталобыть начали это делать.
ynbIpb
Возможно, локер прописал себя в качестве отладчика winlogon.exe. Тоже была вышеописанная ситуация
После удаления ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe все норм
Возможно, локер прописал себя в качестве отладчика winlogon.exe. Тоже была вышеописанная ситуация
После удаления ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe все норм
Цитата:
Против файловых: работа без прав админа + утилита 2IP StartGuard
Не видит параметры откуда могут вири грузиться:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute
Дальше не стал проверять, удалил.
В этом отношении Trend Micro HijackThis получше и в памяти не висит, достаточно запускать через сценарии входа и выхода.
Цитата:
Не видит параметры откуда могут вири грузиться:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute
Дальше не стал проверять, удалил.
Спасибо за проверку, данной инфы в инете не найти.
Цитата:
В этом отношении Trend Micro HijackThis получше и в памяти не висит, достаточно запускать через сценарии входа и выхода.
А можно подробней? На примере
Цитата:
А можно подробней?
курим групповую политику
run > hh.exe ms-its:misc.chm::/customize_with_GP.htm
Вот был проект system safety monitor ...жаль помер. Можно отлавливать все, что угодно... там, правила свои создавать для того же реестра и т.п. Кому поиграться, выложил свободную версию тут
Интересно, есть что-нить подобное сейчас (не антивирусник)? Кто чего видел?
Интересно, есть что-нить подобное сейчас (не антивирусник)? Кто чего видел?
Цитата:
Странный сегодня случай был:
Вызвали убрать блокировщика. Прихожу винда уже не грузится, ругается на испорченный файл SYSTEM
Со слов хозяина, вчера вылезло окно, которое вымогало денег и грозилось через 12 часов убить винду. Такое впечатление, что винлокер сдержал обещание. Прогнал CHKDSK /R, файл исправился (видимо тупо от выключения побился), ладно грузим дальше... Появляется чёрный фон и курсор мыши - Всё! Дальше ничего. даже в бесобасном режиме с коммандной строки не грузится. Только чёрный фон и курсор мыши. Грузился с LiveCD, никаких следов не обнаружил, вроде всё ок. Мучал UVS, тоже не помогло. В итоге накатил ОС в режиме восстановления (XP Sp3). Вот теперь не знаю что думать, винлокер такое сделал или просто повреждение файлов из-за внезапного выключения.
Прослеживается очень нехорошая тенденция. Раньше винлокеры только врали, что удалят файлы, убьют ОС, а теперь сталобыть начали это делать.
- Скорее всего вот этот винлокер ( свежак )
http://i30.fastpic.ru/big/2012/0116/3f/457ba7bf8e6485b894dea00b7f73413f.jpg
- Сам файл для теста: http://zalil.ru/32511136 пароль на скачку 2012
- Код разблокировки: 444588525
- А вообще то для этого вида винлоков есть универсальный код разблокировки: 9786775
mbr-locker
h**p://www.1st.rv.ua/wp-content/uploads/2011/08/mbr-winblock-virtual.png
образец: h**p://ifolder.ru/28326370 пароль - virus
h**p://www.1st.rv.ua/wp-content/uploads/2011/08/mbr-winblock-virtual.png
образец: h**p://ifolder.ru/28326370 пароль - virus
Цитата:
mbr-locker
рассчитан на жителей Украины
в субботу словили на комп блокер.
по сервисам деактивации не находит номер 8-(917)-820-86-64.
картинка примерно как Trojan.Winlock.3333 с этого места https://www.drweb.com/xperf/unlocker/gallery/
но просит 500 руб на номер МТС
по сервисам деактивации не находит номер 8-(917)-820-86-64.
картинка примерно как Trojan.Winlock.3333 с этого места https://www.drweb.com/xperf/unlocker/gallery/
но просит 500 руб на номер МТС
666_Devil
Тулзы из шапки пробовал:
Цитата:
Тулзы из шапки пробовал:
Цитата:
Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
666_Devil
ну и дальше что? Решили напомнить
про сервис веба (я уж и забыл что он существует 
). Если верить, что "соответствует" картинке, то это обычный "пионерский примитивизм".
ну и дальше что? Решили напомнить
про сервис веба (я уж и забыл что он существует ). Если верить, что "соответствует" картинке, то это обычный "пионерский примитивизм".Sish
Цитата:
помог
1Kipovec
вообще сервис веба помогал, а про
Цитата:
Цитата:
Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
помог
1Kipovec
вообще сервис веба помогал, а про
Цитата:
"пионерский примитивизм"простите, может некорректо написал, просто хотел объяснить какой блокер был пойман.
мда.... под сидеть под юзером с админскими правами становится всё страшнее и страшнее...
[more] Всем привет!
Ноутбук с оригинальным Windows 7 Home Premium 64 bit (думаю, что в данном случае это не принципиально, но всё же для ясности).
Сразу скажу что постоянно в сети . Установлены Eset Nod32 v.5 и Malwarebytes' Anti-Malware 1.60.0.1800 (дата билда 25.12.2011) с последними обновлениями. Всё работало чётко, после каждого изменения в системе (обновления, дополнения) создавалась
точка отката, включая состояние реестра и системные файлы.
После очередного включения компа (никаких обновлений, изменений не проводил) заблокировалась мышь и клава. В безопасном режиме то же самое. При подключении других мышей и клав винда моментально видит новое подключение железа, грузит дрова и сообщает, что всё готово к работе - результат - всё заблокировано. Установка внешних носителей, типа флэшки или DVD проходит нормально.
autorun запускается как положено. Т.е. система живая.
1. Откат системы на более ранние точки восстановления через загрузочный (оригинальный) СиДи и через ERD Commander для Windows7 64bit ничего не дал. В смысле, всё откатилось, загрузилось, но не более. Но при работе с этими внешними системами клава и мышь работают.
2. Просканировал систему через Live CD Kaspersky Rescue, ESET NOD32 и Dr. Web с последними обновлениями. Результат - 0
3. Просканировал систему с Live CD AntiWinLocker 3.3, ESET AntiWinLocker, Kaspersky AntiWinLocker самыми свежими - картина та же.
4. Проверил целостность и оригинальность системных файлов утилитой SFC через загрузочный диск - по отчёту всё ок.
После всех вышеперечисленных действий пришёл к выводу, что произошла подмена одного или нескольких файлов связанных портами I/O не входящих в основную библиотеку винды.
Отсюда вопрос к спецам - какие возможны еще действия? Формат и переустановка системы исключены.
Проблема заключается и в том, что 7-ку нельзя так же отремонтировать как XP установкой поверх.
В любом случае принимаю все толковые советы, может даже и с долей фантазии . [/more]
Ноутбук с оригинальным Windows 7 Home Premium 64 bit (думаю, что в данном случае это не принципиально, но всё же для ясности).
Сразу скажу что постоянно в сети . Установлены Eset Nod32 v.5 и Malwarebytes' Anti-Malware 1.60.0.1800 (дата билда 25.12.2011) с последними обновлениями. Всё работало чётко, после каждого изменения в системе (обновления, дополнения) создавалась
точка отката, включая состояние реестра и системные файлы.
После очередного включения компа (никаких обновлений, изменений не проводил) заблокировалась мышь и клава. В безопасном режиме то же самое. При подключении других мышей и клав винда моментально видит новое подключение железа, грузит дрова и сообщает, что всё готово к работе - результат - всё заблокировано. Установка внешних носителей, типа флэшки или DVD проходит нормально.
autorun запускается как положено. Т.е. система живая.
1. Откат системы на более ранние точки восстановления через загрузочный (оригинальный) СиДи и через ERD Commander для Windows7 64bit ничего не дал. В смысле, всё откатилось, загрузилось, но не более. Но при работе с этими внешними системами клава и мышь работают.
2. Просканировал систему через Live CD Kaspersky Rescue, ESET NOD32 и Dr. Web с последними обновлениями. Результат - 0
3. Просканировал систему с Live CD AntiWinLocker 3.3, ESET AntiWinLocker, Kaspersky AntiWinLocker самыми свежими - картина та же.
4. Проверил целостность и оригинальность системных файлов утилитой SFC через загрузочный диск - по отчёту всё ок.
После всех вышеперечисленных действий пришёл к выводу, что произошла подмена одного или нескольких файлов связанных портами I/O не входящих в основную библиотеку винды.
Отсюда вопрос к спецам - какие возможны еще действия? Формат и переустановка системы исключены.
Проблема заключается и в том, что 7-ку нельзя так же отремонтировать как XP установкой поверх.
В любом случае принимаю все толковые советы, может даже и с долей фантазии . [/more]
Знакомая словила блокер, просит 1к рублёв на номер +7 913 9402137. Кому-нить попадался код разблокировки? (так неохота к ней идти по морозу)
RIZIY
А придется!
Код зверька не удалит, однако, вычищать все равно.
А придется!
Код зверька не удалит, однако, вычищать все равно.Цитата:
просит 1к рублёв
Видимо и запросы стали расти. Просили бы меньше, больше бы сначала пробовали заплатить, а потом за 200 р обращаться с просьбой полечить к спецам.
http://i25.fastpic.ru/big/2011/0803/76/d796ee964da55420cef25a5b42625976.png
залейте пожалуйста этот винлокер saliter.exe, он выполнен на флеш...я его разберу..интересно что за фрукт...
http://3.bp.blogspot.com/-BKcl9OVn5iE/TkWAxRhJf5I/AAAAAAAAB84/zKjWSJkhukY/s1600/saliter.PNG
залейте пожалуйста этот винлокер saliter.exe, он выполнен на флеш...я его разберу..интересно что за фрукт...
http://3.bp.blogspot.com/-BKcl9OVn5iE/TkWAxRhJf5I/AAAAAAAAB84/zKjWSJkhukY/s1600/saliter.PNG
Все таки работая в системе под админом, при этом без антивируса, болезнь легче предупредить чем лечить. Много этой гавнохакерской лабуды грузится через реестр при очередной перезагрузке или синем экране, вот и заморозить реестр пока в нем записей нет. Вири то пусть себе лежат где хотят, то же ведь программы главное, чтобы автозапуском не стартовали.
Позапускал разных тварей на рабочей системе будучи под админом... сценарий такой:
1. Бекапим реестр прогой ERUNT, например в папку C:\ERDNT
2. В сценарии загрузки компа (если под обычным юзером), либо в сценарии входа в систему (если под админом) прописать копирование нашего бекапа в соответствующие папки:
Код:
copy "С:\ERDNT\default" "%SystemRoot%\system32\config\defaul_"
copy "С:\ERDNT\SAM" "%SystemRoot%\system32\config\SA_"
copy "С:\ERDNT\SECURITY" "%SystemRoot%\system32\config\SECURIT_"
copy "С:\ERDNT\software" "%SystemRoot%\system32\config\softwar_"
copy "С:\ERDNT\system" "%SystemRoot%\system32\config\syste_"
copy "С:\ERDNT\Users\00000001\NTUSER.DAT" "C:\Documents and Settings\Имя_Пользователя\NTUSER.DA_"
copy "С:\ERDNT\Users\00000002\UsrClass.dat" "C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data\Microsoft\Windows\UsrClass.da_"
главное, чтобы автозапуском не стартовали. Позапускал разных тварей на рабочей системе будучи под админом... сценарий такой:
1. Бекапим реестр прогой ERUNT, например в папку C:\ERDNT
2. В сценарии загрузки компа (если под обычным юзером), либо в сценарии входа в систему (если под админом) прописать копирование нашего бекапа в соответствующие папки:
Код:
copy "С:\ERDNT\default" "%SystemRoot%\system32\config\defaul_"
copy "С:\ERDNT\SAM" "%SystemRoot%\system32\config\SA_"
copy "С:\ERDNT\SECURITY" "%SystemRoot%\system32\config\SECURIT_"
copy "С:\ERDNT\software" "%SystemRoot%\system32\config\softwar_"
copy "С:\ERDNT\system" "%SystemRoot%\system32\config\syste_"
copy "С:\ERDNT\Users\00000001\NTUSER.DAT" "C:\Documents and Settings\Имя_Пользователя\NTUSER.DA_"
copy "С:\ERDNT\Users\00000002\UsrClass.dat" "C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data\Microsoft\Windows\UsrClass.da_"
KLASS
Цитата:
А что делать если ловим винлокер 22CC6C32.exe, который подменяет собой файлы
userinit.exe и taskmgr.exe притом и в папке dllcache и после перезагрузки реестр
восстанавливается на чистый, но винлокер не пропал и придется лесть в систему
через liveCD и восстанавливать файлы.
Цитата:
Жамкаем разных тварей, тут блокировка\синий экран
А что делать если ловим винлокер 22CC6C32.exe, который подменяет собой файлы
userinit.exe и taskmgr.exe притом и в папке dllcache и после перезагрузки реестр
восстанавливается на чистый, но винлокер не пропал и придется лесть в систему
через liveCD и восстанавливать файлы.
kises
Можно в тот же рег-файл добавить копирование необходимых здоровых файлов по аналогии с реестром... лишь бы с LiveCD не грузиться и антивирь не ставить
Можно в тот же рег-файл добавить копирование необходимых здоровых файлов по аналогии с реестром... лишь бы с LiveCD не грузиться и антивирь не ставить
ой... дел
Принесли ПК с Trojan-Ransom.Boot.Mbro.d (MBR.Locker) До загрузки винды дело, понятно, не доходит. Пробовал Kaspersky Rescue Disk. Он его находил, но лечение и удаление невозможно! (пропустить (рекомендуется)). Я его обновлял, запускал в графике и тексте — ничего не менялось. Решил по-другому: через fixmbr fixboot. Винда загрузилась, потом сидя в ней шлифанул каспером всю систему и без проблем поубивал найденую гадось. Вот так… может такой способ кому-то поможет. Удачи!
Есть замечательная тулза Robocopy от Microsoft, прямо маленький, "нерезидентный антивирус" какой-то против локеров, думаю, и не только. Возможно не всем подойдет данное решение, в частности, кто для бекапа системы юзает образы или часто устанавливает стороннее ПО в систему.
Имеем:
Настроенная система WindowsXPSP3+ со всеми обновами без стороннего софта (.NET и компания тоже отсутствуют) дабы уменьшить системный раздел. Занимаемый объем, включая структуру файловой системы, не более 1Гб. Сторонний софт только портабельный и находится на другом винте.
Задача:
Работать под админом, без антивирусника... все равно новых локеров они не видят.
Решение:
1. Тупо копируем настроенную систему на другой винт\раздел.
2. Создаем два сценария (батника) групповой политики (автозагрузка\завершение работы, т.е. суем их в Конфигурацию компьютера) в которых и будет работать Robocopy с папкой Documents and Settings. Т.е. создаем задания для Robocopy, в которых при каждой загрузке\перезагрузке выполняется синхронизация нашей копии Documents and Settings с системой. Другими словами, просто из копии все копируем назад в систему и убиваем лишнее чего туда накидало.
3. Теперь относительно
Цитата:
Создаем 3 задание для Robocopy, в котором будут синхронизироваться папки Windows (по времени даже не заметно, Robocopy очень шустрая) и суем эту задачу в планировщик заданий для выполнения пpи зaгpузкe кoмпьютepa.
4. Подводные камни при создании заданий Robocopy:
В 1 и 2 задании я исключил из синхронизации папки (параметр /XD):
LocalService
Network
NetworkService
В 3 задании:
config
Prefetch
CatRoot2
Repository
SoftwareDistribution
и файлы (параметр /XF):
SchedLgU.Txt
mfc100rus.dll
mfc100u.dll
msvcp100.dll
msvcr100.dll
так как система их юзает и происходит долгий затык при синхронизации. Возможно, у вас добавятся свои папки\файлы.
В групповой политике укажите Выполнение сценариев загрузки и завершения с отображением команд.
В конце каждого батника поставьте команду PAUSE, чтобы просматривать чего там происходит.
5. Так как реестр я менял только пользовательский, а машинный не менялся (папка config в исключениях) добавляем в наши сценарии еще и импорт REG-файла, в котором на всякий случай восстановим известные разделы и параметры, откуда грузятся локеры (кто какие пути еще знает, добавляйте). Файл Restore.zip выкладываю, но предупреждаю еще раз: у мя система без стороннего ПО, поэтому изучите REG-файл перед использованием и сравните со своими параметрами\разделами, а то мало ли, чего у вас там стоит в системе.
6. Результат и некоторые подробности смотрите в фильме Robocopy, там же, в окнах ком. строки, можно подглядеть и параметры заданий Robocopy.
Предложения, улучшения и новых локеров приму с благодарностью.
Имеем:
Настроенная система WindowsXPSP3+ со всеми обновами без стороннего софта (.NET и компания тоже отсутствуют) дабы уменьшить системный раздел. Занимаемый объем, включая структуру файловой системы, не более 1Гб. Сторонний софт только портабельный и находится на другом винте.
Задача:
Работать под админом, без антивирусника... все равно новых локеров они не видят.
Решение:
1. Тупо копируем настроенную систему на другой винт\раздел.
2. Создаем два сценария (батника) групповой политики (автозагрузка\завершение работы, т.е. суем их в Конфигурацию компьютера) в которых и будет работать Robocopy с папкой Documents and Settings. Т.е. создаем задания для Robocopy, в которых при каждой загрузке\перезагрузке выполняется синхронизация нашей копии Documents and Settings с системой. Другими словами, просто из копии все копируем назад в систему и убиваем лишнее чего туда накидало.
3. Теперь относительно
Цитата:
А что делать если ловим винлокер 22CC6C32.exe, который подменяет собой файлы
userinit.exe и taskmgr.exe
Создаем 3 задание для Robocopy, в котором будут синхронизироваться папки Windows (по времени даже не заметно, Robocopy очень шустрая) и суем эту задачу в планировщик заданий для выполнения пpи зaгpузкe кoмпьютepa.
4. Подводные камни при создании заданий Robocopy:
В 1 и 2 задании я исключил из синхронизации папки (параметр /XD):
LocalService
Network
NetworkService
В 3 задании:
config
Prefetch
CatRoot2
Repository
SoftwareDistribution
и файлы (параметр /XF):
SchedLgU.Txt
mfc100rus.dll
mfc100u.dll
msvcp100.dll
msvcr100.dll
так как система их юзает и происходит долгий затык при синхронизации. Возможно, у вас добавятся свои папки\файлы.
В групповой политике укажите Выполнение сценариев загрузки и завершения с отображением команд.
В конце каждого батника поставьте команду PAUSE, чтобы просматривать чего там происходит.
5. Так как реестр я менял только пользовательский, а машинный не менялся (папка config в исключениях) добавляем в наши сценарии еще и импорт REG-файла, в котором на всякий случай восстановим известные разделы и параметры, откуда грузятся локеры (кто какие пути еще знает, добавляйте). Файл Restore.zip выкладываю, но предупреждаю еще раз: у мя система без стороннего ПО, поэтому изучите REG-файл перед использованием и сравните со своими параметрами\разделами, а то мало ли, чего у вас там стоит в системе.
6. Результат и некоторые подробности смотрите в фильме Robocopy, там же, в окнах ком. строки, можно подглядеть и параметры заданий Robocopy.
Предложения, улучшения и новых локеров приму с благодарностью.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115
Предыдущая тема: "svchost.exe... память не может быть "read"&q
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.