Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Windows заблокирован!

Автор: Herzz
Дата сообщения: 22.02.2012 12:11
Как с этим боротся - видел кто вживую ?
http://i30.fastpic.ru/big/2012/0222/96/f83c598d1eebd76f290196e463c9e596.jpg
Автор: KLASS
Дата сообщения: 22.02.2012 14:09

Цитата:
Два вида этого клоуна

С первым не понял... MediaGet какой-то, а со вторым прикольно, даже в реестр ничего не гадил
Herzz
А тело не сохранилось
Автор: olzaruta
Дата сообщения: 22.02.2012 15:51

Цитата:
А можно окно изменить как-нибудь, типа вы не проголосавали за Путина теперь вы заблокированы службой ФСБ, ""Купи слона" или что-то в этом роде


- Можно вставить чего душе угодно....есть исходник


Цитата:
Как с этим боротся - видел кто вживую ?


- Это шифровщик....на каком сайте поймали? Сохранился ли файл вируса?


Цитата:
а со вторым прикольно, даже в реестр ничего не гадил


- над друзьями приколоться...они сума сойдут...
- вот еще винлокер для эксперимента http://zalil.ru/32757612 пароль тот же
Автор: 1Kipovec
Дата сообщения: 23.02.2012 15:19
Если надо (переправили мне, после "лечения" по телефону) некая "хитрая" дллка, после удаления которой (систем32) работа в нете восстановилась, до этого постоянно "рвалось???" соединение (отваливалось скупе и не грузились странички).

Добавлено:
olzaruta
пасибки за "локкеров", жаль время "помучить" нет.
Автор: arvidos
Дата сообщения: 23.02.2012 15:22
1Kipovec
ага, ты еще допиши чтоб вирус заработал надо прописать его в AppInit_DLLs
это обычный маячок (Cidox )
Автор: zikol
Дата сообщения: 25.02.2012 10:37
Появился новый вымогатель: MBRlock bootkitlocker.gen32
Отличается тем, что шифрует таблицу разделов, в результате при загрузке с liveCD винчестер невиден, при перезаписи загрузочного сектора большая вероятность потерять всю информацию.
Подробно: http://virusinfo.info/showthread.php?t=117136&p=871275#post871275

Есть у кого идеи, как его лечить?
Автор: BarakOputin
Дата сообщения: 25.02.2012 10:57
zikol

Цитата:
Есть у кого идеи, как его лечить?

Это совсем новое, судя по поисковикам и лучше знать при каких условиях его поймали чтоб предупредить заражение.
Автор: sasherb
Дата сообщения: 25.02.2012 11:02

Цитата:
Отличается тем, что шифрует таблицу разделов, в результате при загрузке с liveCD винчестер невиден, при перезаписи загрузочного сектора большая вероятность потерять всю информацию.

Вот это плохо...савсем плохо...
Автор: KLASS
Дата сообщения: 25.02.2012 13:42

Цитата:
Появился новый вымогатель


Цитата:
Это совсем новое


Цитата:
Вот это плохо

Способы устранения\не_хватания гадости
1. SecInspect, работающая из сценария выхода\входа-было в теме, если комп перегружается\бзод то далее
2. Сохранить MBR (первые 512 байт) заранее и восстанавливать любым HEXредактором
3. Если работать под обычным пользователем, вообще ничего не будет
4. Если ничего не предпринималось заранее, то таблица разделов восстанавливается как два пальца об асфальт
Автор: arvidos
Дата сообщения: 25.02.2012 13:48
Недавно тестил MBR локер который забивал хламом таблицу разделов. Кодов к нему не было. Сначала пофиксил загрузчик, система не грузилась - биос ее не находил. Во всяких прогах для работы с винтом - винт как с завода - одна неразмеченная область. Справился с проблемой за 15 секунд с помощью Partition Table Doctor 3.5 с LiveCD. Он подумал подумал, предложил перезаписать таблицу разделов и все нормально стало работать
Автор: zikol
Дата сообщения: 25.02.2012 13:55

Цитата:
4. Если ничего не предпринималось заранее, то таблица разделов восстанавливается как два пальца об асфальт

Я правильно понял, что для лечения нужно перезаписать загрузочный сектор на нормальный, а затем восстановить таблицу разделов с помощью какой-то утилиты?
А что это за утилита? Есть ли она в Windows?
Автор: olzaruta
Дата сообщения: 25.02.2012 14:00

Цитата:
Появился новый вымогатель: MBRlock bootkitlocker.gen32


- Ерунда.....и по круче тестили.....давайте файл...
Автор: arvidos
Дата сообщения: 25.02.2012 14:01

Цитата:
а затем восстановить таблицу разделов с помощью какой-то утилиты?
А что это за утилита? Есть ли она в Windows?

да. выше написал
Автор: sasherb
Дата сообщения: 25.02.2012 14:02
Образчик бы...
Автор: KLASS
Дата сообщения: 25.02.2012 14:44
zikol
В нашем, данном случае, речь идет об MBR, а не о загрузочном секторе-это два разных понятия.
MBR-это начало винчестера, загрузочный (boot) сектор это начало раздела.
Таблица разделов может быть восстановлена как при использовании сторонних утилит, так и при использовании калькулятора+редактора дисков.
Автор: olzaruta
Дата сообщения: 25.02.2012 21:39

Цитата:
аблица разделов может быть восстановлена как при использовании сторонних утилит, так и при использовании калькулятора+редактора дисков.


...согласен......

Добавлено:
- Есть покруче....вирусок...который удаляет все файлы, соответствующие маске. т.е. удаляет все, например, *.exe, .bmp, .avi и т.д. файлы, и пишет потом сообщение..все файлы удалены...
- http://zalil.ru/32777130 пароль прежний...
-..предупреждаю...на ваш страх и риск...
Автор: Horizone
Дата сообщения: 26.02.2012 09:51

Цитата:
Есть покруче....вирусок...который удаляет все файлы, соответствующие маске.

Запустил этот EvilCleaner в виртуалке х64 х86 вынь 7, учетка обычный юзер, комод автоматом сунул её в сэндбокс, юзер контрол молчит, файлы по маске успешно были удалены. Отключил сэндбокс, при запуске EvilCleaner, комод выдал предупреждение, нажал блокировать и та же самая история, файлы как ветром сдуло.
Настройки проактивки:
Автор: KLASS
Дата сообщения: 26.02.2012 09:56

Цитата:
Есть покруче....вирусок...который удаляет все файлы

Жесть... хоть и не локер, но спасибо... так сказать, для общего развития. Сносит все данные пользователя в том числе и посети... еще одно творение, убеждающее пользователя не сидеть под админом... хоть что-то останется целым.
Автор: 1Kipovec
Дата сообщения: 26.02.2012 15:30
Horizone
Вам как раз в тему указанную sasherb на предыдущей странице или в ветку по комоду, и там жалится, что ваш "чемодан с ручками" НЕ знает о вире "не первой свежести".
Мне совершенно без разницы как он "реагирует", для подобных сообщений и есть тот топик, а в этой ветке это ладно ньюбам "простительно" флудить по данному вопросу.

KLASS

Цитата:
так сказать, для общего развития

я то же к данному присоеденюсь, хотя и "сижу" (и по всяким помойкам, кроме Гконтакта и им подобным соцхлаМойкам) в админской учётке (из принципа и с целью теста: как "держится" система (что делаю) на других "клиентских" компах)
Автор: Horizone
Дата сообщения: 26.02.2012 15:41
1Kipovec

Цитата:
флудить по данному вопросу.

В чем полезность вашего пустого трёпа?

Trucker
2012
Автор: Trucker
Дата сообщения: 26.02.2012 15:50
olzaruta

Цитата:
пароль прежний...



это какой?
Автор: 1Kipovec
Дата сообщения: 26.02.2012 16:04
Trucker
несколько страниц назад, по теме. Рекомендую не только быть писателем, но и читателем тоже.
Horizone
для некоторых - ни какой, а может и другой кто прочтёт глядиш и в соответствующий топик перейдёт и эта тема не будет от пустотрёпа пухнуть.
На сём СВОЙ пусторёп заканчиваю, чего и ДРУГИМ желаю.
Автор: olzaruta
Дата сообщения: 27.02.2012 17:44
- Свежий винлокер http://i31.fastpic.ru/big/2012/0227/9d/3af69e94d727ceb8fe5dfa723f7e769d.jpg
- ...ничего нового..прописан в реестре тут HKEY_USERS\S-1-5-21-583907252-17-57981266-1801674531-1003\software\microsoft\windows nt\currentversion\winlogon\
- ...В этой ветке был создан параметр Shell который указывал путь к вирусу
С:\Documents and Settings\Имя Пользователя\Local_Settings\Application_Data\Opera\Opera\temporary_downloads\afterallgogo.exe
-...и думаю тут...HKEY_USERS\S-1-5-21-583907252-17-57981266-1801674531-1003\software\microsoft\windows\currentversion\run ..параметр Shell..но проверять было лень...
-..сам файл локера http://zalil.ru/32787986 пароль знаете...

Автор: gjf
Дата сообщения: 27.02.2012 17:53
olzaruta (18:44 27-02-2012)
Цитата:
- ...ничего нового..прописан в реестре тут HKEY_USERS\S-1-5-21-583907252-17-57981266-1801674531-1003\software\microsoft\windows nt\currentversion\winlogon\

На самом деле это ветка HKCU заразившегося пользователя
Автор: fleash2000
Дата сообщения: 27.02.2012 17:57

Цитата:
- Свежий винлокер http://i31.fastpic.ru/big/2012/0227/9d/3af69e94d727ceb8fe5dfa723f7e769d.jpg
- ...ничего нового..прописан в реестре тут HKEY_USERS\S-1-5-21-583907252-17-57981266-1801674531-1003\software\microsoft\windows nt\currentversion\winlogon\
- ...В этой ветке был создан параметр Shell который указывал путь к вирусу
С:\Documents and Settings\Имя Пользователя\Local_Settings\Application_Data\Opera\Opera\temporary_downloads\afterallgogo.exe
-...и думаю тут...HKEY_USERS\S-1-5-21-583907252-17-57981266-1801674531-1003\software\microsoft\windows\currentversion\run ..параметр Shell..но проверять было лень...
-..сам файл локера http://zalil.ru/32787986 пароль знаете...

olzaruta - Спасибо, есть чем заняться вечером
Автор: olzaruta
Дата сообщения: 27.02.2012 18:09

Цитата:
На самом деле это ветка HKCU заразившегося пользователя


-...ну..и...что я написал неправильно?
Автор: arvidos
Дата сообщения: 27.02.2012 22:18

Цитата:
Свежий винлокер

ругается при запуске, HIPS не дает ему прописаться
Автор: dimitros456
Дата сообщения: 28.02.2012 14:50
Новые винлоки
Автор: olzaruta
Дата сообщения: 28.02.2012 20:02
Чет скучно тут у ВАС........
- Выкладываю локер...ВРазведке...думаю мало кто его тестил....
- ..скрин при запуске http://i31.fastpic.ru/big/2012/0228/47/c45163ce0f7720dd715c4b40f2d42b47.jpg
-..файл http://rghost.ru/36762359 пароль....тот же

-..не у кого не завалялся такой локер http://i32.fastpic.ru/big/2012/0228/94/a6b9a1fd184769c4007f48656d32ca94.jpg
Автор: arvidos
Дата сообщения: 28.02.2012 20:38
слишком простой локер))

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115

Предыдущая тема: "svchost.exe... память не может быть "read"&q

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.