Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Windows заблокирован!

Автор: vbif120976
Дата сообщения: 08.02.2012 11:58
antiwinlocker.ru
Мне вот такая шняга помогает.
Автор: 1Kipovec
Дата сообщения: 08.02.2012 13:22
"СВЕЖИЙ" винлокер, а-ля "пионербол" ТУТ пароль 111

во млин пока писал сообщение и закидывал на ргхост уже 5 вендоров "в курсе", а был 1 Оперативно "копипи..ят"
Автор: KLASS
Дата сообщения: 08.02.2012 13:48

Цитата:
"СВЕЖИЙ" винлокер

В виртуалке, предложенный мной выше способ, не сработал для этого локера. На реальной машине все гут. Один из вариантов, когда в виртуалке и на реальной машине не одно и тоже? Барабашка, однако... Спасибо за новости.
Автор: arvidos
Дата сообщения: 08.02.2012 13:57
KLASS
а зачем вообще так извращаться? забавы ради? если такая прям ненависть к антивирусам, то можно обойтись простеньким, но настроенном HIPS'ом
Автор: KLASS
Дата сообщения: 08.02.2012 14:11

Цитата:
такая прям ненависть к антивирусам

Не, антивири это уже побочно... к легальному ПО, которое хуже вирей. Вири, по крайней мере, не скрывают того, что они пришли сделать системе плохо, а вот легальное ПО, которому все привыкли доверять, гадит в тихушку сАбака в систему, в частности, в реестр. А пользователь потом думай, кто млять в очередной раз уронил систему... Надоело. Потому и было принято кардинальное решение в систему не пускать никого.
Автор: arvidos
Дата сообщения: 08.02.2012 14:17
о ужас. вы считаете это решением проблемы? если жалко систему родную, то можно виртуалку поставить.
если нет желания и ее ставить - есть софт который делает практически все что выше написано, даже больше и намного лучше - после ребута все будет также как и до установки какой-либо софтины
Автор: KLASS
Дата сообщения: 08.02.2012 14:34

Цитата:
если жалко систему родную, то можно виртуалку поставить

А зачем?

Цитата:
есть софт который делает практически все

А зачем, когда можно обойтись без него?
Автор: Georgy Nik
Дата сообщения: 09.02.2012 03:02

KLASS

Цитата:
Не, антивири это уже побочно... к легальному ПО

Зря вы так. Вчера убедился, после "Windows заблокирован!", что надежнее и время сэкономишь, если есть то же легальное ПО и диск с набором привычных прог и утилит. Давно мне говорили знающие: -Раз в пол года потратил час времени и все,забыл. Все работает, все летает. А сколько времени мы тратим на поиски в инете хорошей "Винды", антивируса и подбора к нему ключей? Я вот посчитал, сколько за последние 5 лет перелопатил, попадал,вот взял и установил лицензию-залитал комп и это после неплохого августовского "Х-Тима". Нет такого ПО, которое будет год служить и не закакает реестр(если не только сидеть в "контакте"),а сколько времени потрачено на чистку реестра, ухаживал как за женщиной, а результат тот же-ни какой благодарности. Больше без заморочек, пока смотришь футбол, переустановил и все.
Ну и по существу, я 2месяца назад попал на "Windows заблокирован!", повезло, работала всего одна кнопка на клаве - "Пуск", повозился и через нее зашел в программы, открыл "CCleaner" и в автозагрузке удалил эту бяку.
А позавчера попал жестоко, их уровень растет. В биосе отключили(сь) USB, и после перезагрузки вы уже не можете попасть в биос, порты то начинают теперь работу вместе с загрузкой "Винды", раз пять рестортавал, пока не увидел, а клава, мышка и "заставка"!!!, загараются то одновременно, следовательно, с началом загрузки сразу экран! и ни "через fixmbr fixboot"(человек имел ввиду"вост.панель)ни Касперский тут... Жесткого нет(валялся на 3,5Гб, думал не пригодится), купил за бутылку пива старую не USB клаву и она зароботав как положено, завела меня уже в биос. Теперь клаву не поменяю даже на коньяк, нехай полежит еще. Не попадайтесь, Удачи!
Автор: inile
Дата сообщения: 09.02.2012 08:34
KLASS 22:01 15-01-2012
Цитата:
2IP StartGuard Не видит параметры откуда могут вири грузиться: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute

А отредактировать keys.ini нельзя?
Автор: arvidos
Дата сообщения: 09.02.2012 09:54
Georgy Nik

Цитата:
В биосе отключили(сь) USB, и после перезагрузки вы уже не можете попасть в биос, порты то начинают теперь работу вместе с загрузкой "Винды

глупости если честно. ни один вирус на это не способен. мы на в прошлом веке живем. если клава не пашет во время загрузки системы, то надо в Биосе включить USB Keyboard Support, делов то
Автор: KLASS
Дата сообщения: 09.02.2012 14:05
Georgy Nik
Так мы с вами об одном, только подходы разные. Чисто не там где убирают, но там где не сорят. Легальное не легальное не принципиально, принципиально (для меня), чтобы ПО не писало в систему... вообще никакое и не надо будет чистить. Ведь нажав пимпочку, для установки очередной программы, пользователь не ведает, что творит. А отслеживать за каждым ПО-надоело.
inile

Цитата:
А отредактировать keys.ini нельзя?

Наверное можно, не разбирался... по мне дешевле запретить запись в указанные разделы реестра всем и не надо будет что-то ставить для отлавливания жуков. Хобби у мя такое: по возможности научится делать все с помощью системы не прибегая к стороннему ПО. Разумеется, есть специализированное ПО... но это уже тема отдельная.
arvidos
Я, разумеется, пробовал ПО, которое делает откаты при перезагрузке. Просто в свете последних лет бзик у мя, если запрещать жить в системе, то всем
Автор: arvidos
Дата сообщения: 09.02.2012 14:13
KLASS
смотри чтоб твои увлечения в паранойю не переросли
юзай Portable софт если что
Автор: KLASS
Дата сообщения: 09.02.2012 14:19

Цитата:
юзай Portable софт если что

Уже почти год, как все перевел... там правда тоже есть свои подводные камни, но это уже другая история.
Автор: 1Kipovec
Дата сообщения: 10.02.2012 06:18

Цитата:
Оперативно "копипи..ят

"лестное" мнение я им выдал, до сих пор на том же уровне, плюс Авира
Вебина - знает, Нод - догадывается, остальные "монстры" молчат, только ещё некоторые "мелкие вендоры" "в курсе"
Автор: tshudini
Дата сообщения: 10.02.2012 23:25
Что-то с последними МБР-локерами uVS через раз помогает. Приходится еще и через консоль фиксить..
Автор: arvidos
Дата сообщения: 10.02.2012 23:31
tshudini
не верю
есть такие экземпляры для теста?
Автор: zikol
Дата сообщения: 12.02.2012 09:39
просьба потестить мини утилиту AntiSMS 1.2 http://forum.simplix.ks.ua/viewtopic.php?id=399

Работает только с live CD ,
в автоматическом режиме удаляет баннеры,
алгоритм не описан, полагаю, что правит ветки реестра и удаляет temp-ы,
системные файлы вроде userinit.exe не проверяет.
Насколько она эффективна?
Автор: JekG
Дата сообщения: 12.02.2012 10:02
Кому интересно - вирус ходил довольно злобный. Губит буквально все. Оживить после него систему лично у меня не вышло. http://rghost.ru/private/36475104/44689ce4a954d1b61abed1058710f862
Да антивирусами он уже палится.
Автор: KLASS
Дата сообщения: 12.02.2012 15:52

Цитата:
вирус ходил довольно злобный.

Вряд ли это можно назвать вирусом или локером, это "подлянка" сносит настройки системы задокументированными параметрами.

Цитата:
Оживить после него систему лично у меня не вышло

Загрузиться с LiveCD, подцепить кусты реестра:
System-под именем 1SYS
Software-под именем 1Soft
NTUSER.DAT пользователя под которым запускалось сие чудо-под именем 1NTUSER
Выполнить [more=Reg-файл]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\1Soft\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""
[-HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\policies]
[-HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\1soft\Policies\Microsoft\Internet Explorer]
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Explorer]
"NoViewContextMenu"=-
[HKEY_LOCAL_MACHINE\1Soft\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"RPLifeInterval"=dword:0076a700
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowRun"=-
[HKEY_LOCAL_MACHINE\1Soft\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
[HKEY_LOCAL_MACHINE\1soft\Microsoft\Internet Explorer\Main]
"Window title"=-
[HKEY_LOCAL_MACHINE\1Soft\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

[HKEY_LOCAL_MACHINE\1NTUSER\Control Panel\Desktop]
"MenuShowDelay"="400"
"WallpaperOriginX"=-
"WallpaperOriginY"=-
[-HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Run]
[-HKEY_LOCAL_MACHINE\1NTUSER\Software\Policies\Microsoft\Internet Explorer]
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"NoViewContextMenu"=-
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowRun"=-
[HKEY_LOCAL_MACHINE\1NTUSER\Control Panel\International]
"sTimeFormat"="H:mm:ss"
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=-
"LegalNoticeText"=-
[HKEY_LOCAL_MACHINE\1NTUSER\Software\Microsoft\Internet Explorer\Main]
"Window title"=-

[HKEY_LOCAL_MACHINE\1SYS\ControlSet001\Services\LanmanServer\Parameters]
"DiskSpaceThreshold"=-
[HKEY_LOCAL_MACHINE\1SYS\ControlSet001\Services\USBSTOR]
"Start"=dword:00000003

[/more]
Выгрузить кусты, удалить разделы и файл
C:\Program Files\Bizarre Moderators
C:\Program Files\Company
C:\ВАЖНО.txt
и грузиться в систему. Восстановить ассоциацию файлов .txt

Добавлено:

Цитата:
Восстановить ассоциацию файлов .txt

Это я набрехал, просто в виртуалке у мя в данный момент ассоциаций нет.
Автор: Herzz
Дата сообщения: 12.02.2012 21:26
KLASS


Цитата:
Выполнить Reg-файл


Добавить нужно значение для удаления надписи ГНОЙ

[HKEY_LOCAL_MACHINE\1NTUSER\Control Panel\International]
"sTimeFormat"="H:mm:ss"
Автор: KLASS
Дата сообщения: 12.02.2012 22:42

Цитата:
Добавить нужно значение

Так есть же
Автор: olzaruta
Дата сообщения: 15.02.2012 19:51
http://ib2.keep4u.ru/b/2012/02/14/f7/f7fce267eb3c0e9a6a985655e5b957e8.jpg свежайший винлокер..есть у кого..тело вируса для теста?
Автор: arvidos
Дата сообщения: 15.02.2012 20:50
olzaruta
чем он других отличается? другой номер телефона?
Автор: olzaruta
Дата сообщения: 15.02.2012 21:14
-Да номер один при перезагрузке не меняется.
-Зря смеетесь...могу подкинуть для теста винлокер...
Автор: 1Kipovec
Дата сообщения: 16.02.2012 07:11
olzaruta
ждём, для "теста"
То, что на картинке, гдето с месяц назад "пробегало", ясно, номер не помню - ненужно мне запоминать одно и тоже, только "картинки", "суммы" и "номера" пионерские меняются.
Автор: ynbIpb
Дата сообщения: 16.02.2012 08:23
попадался такой два раза, ничего уникального. Прописывается только в текущего юзера.
Тело не сохранилось.
Автор: olzaruta
Дата сообщения: 18.02.2012 18:00
http://zalil.ru/32722006 пожалуйста для теста...пароль на скачку 2012.....свежак..вот скрин на моем компе http://i29.fastpic.ru/big/2012/0216/1d/c22a8e85c56b7c39c1a255d7f7722c1d.jpg
Автор: 1Kipovec
Дата сообщения: 18.02.2012 19:02
olzaruta

Цитата:
свежак
"рекомендую" посетить предыдущую страницу, ЭТО даже на "пионерский" винлок не тянет, банально "прыгает" в автозагрузку и "гасится" в момент запуска винды "на три клавы" и в менеджере задач - "чпок".
Автор: arvidos
Дата сообщения: 18.02.2012 19:17
ну не совсем простой винлок
удаляется да, легко. прописан в обычной ветке автозагрузки
но срет скотина в реестр, что безопасный режим не загрузить, пришлось веточку восстановить
Автор: olzaruta
Дата сообщения: 18.02.2012 21:47
1Kipovec

- Может на пионерский и не тянет, но проблем народу создаст.....
- Мне вот лично это пионерское творение понравилось http://rghost.ru/25897711
- Вот скрин http://i32.fastpic.ru/big/2012/0218/2e/09ebc6eda472e2fd92c2ba621baf562e.jpg
- Я вскрыл его 7-Zipом там 3 файла...reg...cmd...exe.....
- Вот exeшный файл отдельно http://zalil.ru/32733234 пароль 2012
-...посмейтесь

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115

Предыдущая тема: "svchost.exe... память не может быть "read"&q


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.