» Windows заблокирован!

IvANANvI
Здесь живут профи по этому делу. Обратись, обязательно помогут.

Не факт, что это последствия работы вирей, возможны банальные глюки с питанием.

Попался MBR locker, разделы не шифрует, но на всякий случай снял вот этой прогой (не знаю правильно или нет):

MBR_HardDisk0.rar (pass: 1)

Код сразу бросается в глаза, после ввода загрузочный сектор восстановился.

Восстановливаю RAW раздел прогой UNFORMAT (www.unformat.com) с утилит одной из загрузочных флешек. Раздел FAT32 восстановились все папки кроме Windows, восстанавливал на другой диск, затертый еще не портил.

А вот сектор проблемного диска:


Но он и не вымогал ничего, просто не шла загрузка. Сравнив картинки можно видеть куда можно пихать текст с запросом кода разблокировки.
PS Похоже все же не вирус, а случайное отключение бука с софтовым повреждением FAT таблицы.

Цитата:

самый советистый совет:
если winlocker не ребутнулся самостоятельно, не вздумайте перезагружаться! убивайте через uVS "налету", в этой сессии. иначе, особо мерзкая нечисть, после перезагрузки, может побить важные системные файлы. это поправимо в принципе. но зачем создавать проблемы на пустом месте?

Вот полезные утилки, в случае принудительного аварийного ребута лёгким движением мышки перезагрузка отменяется, рекомендую.
Ссылка : http://rghost.ru/38498992 (Офф.сайт : http://www.manhunter.ru/releases/317_stop_1_0.html)

З.Ы. Спасибо вам и всем спецам за полезные, а главное простые и реально работающие решения в борьбе с локерами.

ynbIpb

вы бы номер на который требует прислать написали...или из темпа копию дропера прислали

KimFilby, да что-то я забыл сфотать экран. В следующий раз если попадётся, учту.

Поймал баннер и на могу загрузится ни в безопасном режиме,ни с дика.
Подскажите варианты решения проблемы.

Добавлено:
Поймал баннер и немогу загрузится ни с диска,ни в безопасный режим.Выставляю загрузку с диска и всё заканчивается окном банера.Ноут Asus K50AB.Прошу помощи или совета.

tanderbol, просто некорректно выставил загрузку с диска или не читается диск.
Баннер не может влиять на порядок загрузки. Бук поочерёдно пытается загрузиться и как доходит очередь до винчестера - опять видишь баннер.

Снова после непродолжительного недельного отдыха активизируются Windows блокираторы. Вот очередной ms.exe Ссылка располагается все там же, пойман на сайте http://kinofilms.tv/. Опять без иконки, фантазия закончилась

А пароль какой?

Неужели нельзя по умолчанию для всех семплов ставить пароль virus

Это обще-принятая практика

свежак:
h**p://zalil.ru/33433778
вчера ни один антивирус не ловил
(сегодня ситуация не сильно изменилась)

KimFilby
Обще принятая практика на данном форуме другая. Поэтому пароль стандартный.

IvANANvI
MirCyber

Цитата:

свежак

Цитата:

вчера ни один антивирус не ловил

AVG не нужны сигнатуры

maispovis

Цитата:

AVG не нужны сигнатуры

Ну и КАКОЙ смысл от написанного вами? Или "похвастаться" некому, в рамках другой темы уже "неумещаетесь". Трольте пожалуйста в сответствующем том-другом топике, где из вас и вам подобных великолепная компания (даже типа-тесты "устраиваете") по мерянью пи...ми (о "крутости" различных вендоров) получилась.

1Kipovec
утютю

Сигнатуры всегда нужны. Особенно если облако не может работать из за отсутствия Инета. И все новомодные фичи типа облаков,разномастных HIPSов и проактивок еще очень долго будут отставаться второстепенным рубежом обороны. Потому как только сигнатурный детект наиболее точен и безопасен.Потому очень актуально своевременное и как можно полное добавление вендором новой заразы в свои АВ базы.Неслучайно ведь лидеры АВ индустрии имеют частое по времени обновление баз.

Принесли ноут сегодня, после трояна он перестал включатся, включаю, на полсекунды включается и сразу выключается, до загрузки дело не доходит. Наверно надо BIOS теперь перешивать аппаратно, но меня ломает что-то с ним возиться, сказал клиенту, чтоб нёс в сервис.
Вот такая фигня. Можно что-то сделать, не прибегая к трепанации?

wsadneg, Возможно просто совпадение. Обычная аппаратная неисправность.

Подскажите, где можно скачать WIN LEX CD 2012! Спс!)

http://zalil.ru/33443704

на данную минуту др веб не видит, два часа назад им отправлен
картинку не видел, тупо удалил и взял себе

ynbIpb
да я тоже так подумал, но уж больно подозрительно: компу сделали откат системы, потом вышли с него опять в инет, потом синий экран, потом снова попытались загрузить, и выключился на пол загрузки. Очень похоже на установку драйвера с последующим запарыванием биоса.

wsadneg
да не слушайте вы эти сказки про биос

Да вендоров материнок очень много, под все универсального способа нет. Это довольно трудно реализовать.

ynbIpb
Вендоров то много, но может там два-три реализовано, и как раз этот попал.
А может настройки биоса запороты.
Не, я понимаю, что и не такие совпадения бывают, я просто ещё по инету поискал, многовато совпадений.
В общем-то я сам не очень в это верю, но всё-таки допускаю вероятность.

wsadneg
Слишком уж много возможно в вашем случае. Случаев порчи БИОСа материнок вирусами или "бирусами" практически не существует в свободном распространении. Ваш случай больше похож на полный разряд батареи, но вы я думаю вытащили её для чистоты эксперимента. Либо плохой контакт в разъеме памяти, но точно дело в железе. Ну и не в эту ветку форума данный вопрос.

Folta , хочу задать вам вопрос.

Цитата:

поэтому:
вместо sethc.exe мы кидаем сконвертированный в .exe батник запуска uVS и после поимки локера, легким движением руки вызываем uVS, нажимая часто кнопку shift.

А если просто uvs.exe переименовать в sethc.exe и кинуть в system32 ? Зачем для запуска uvs нужен батник ?

Спасибо.

mbrz
смелее
попробуйте ваш вариант. нам расскажите.

если открыть общий "faq.txt" uVS то вы узнаете, что означают все те файлы без расширений, лежащие в одной папке с uvs.exe
например uvsz и есть тело программы, без которого вообще ни туды и ни сюды.
теоретически, можно распаковать архив uVS прямо в \system32, переименовать экзешник.
но даже не блюдя чистоту системных папок, я бы это у себя, не делал.
ну, мягко говоря, мне не удобно)
а почему через батник?
uVS спокойно себе спит в нужной папке, никто к его файлам не прицепится с бубновым интересом, только потому, что нехарактерные файлы в системной директории (я о антивирусах толкую, действительно не знаю, как у кого это сработает). и нажатие клавиши shift даст нужный результат(а не алерт под винлокером на подозрительное срабатывание из заповедной папки).
у меня нет антивирусов, но кто их знает.

так.
покороче.

Цитата:

А если просто uvs.exe переименовать в sethc.exe и кинуть в system32 ? Зачем для
запуска uvs нужен батник ?

люблю порядок, а не разброд и хлам всюду.
и главное:
хочу чтобы у всех метод работал наверняка. без всяких но.
дерзайте.
расскажите)

Цитата:

вместо sethc.exe мы кидаем сконвертированный

Есть ещё вариант сделать хайджекинг. Делается вот такой файлик с расширением .reg :


Код: Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe]
"Debugger"="c:\\uvs\\startf.exe"

folta, кроме "Shift" ещё, вроде как, удержание более 5 сек. кнопки "NumLock" тоже вызывает sethc.exe

wsadneg

Цитата:

...\CurrentVersion\Image File Execution Options\

будете смеяться, но где-то я уже видел локер, который в этой ветке, что-то тыкал.
возможно и ошибаюсь, так как примера этого уже нет.
замечательно, если все асисяй)
в чем нешибко разбираюсь, всегда подозреваю худшее ( а вдруг локер пойдется по "больным" местам реестра).
попробую намедни.

Цитата:

Ключ реестра в любой момент можно удалить, и тогда снова
будет запускаться sethc

оригинальный файл setch.exe можно в любой момент вернуть в лоно \system32
если вы его даже не забекапили, всегда можно выдернуть из хранилища winsxs (окна7) и будет как и росло
вот просто любопытно, пользует кто по назначению этот setch.exe? по мне, каб не локеры, знать не знал бы и жил счастливо)

olen6
опс. на моем acer'е нету полной кнопки "NumLock", есть дубль, влепленный в клавишу F11, но он не срабатывает. так что не ведаю)