Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сорри All
folta
Не ведаю про новые версии, потому как сам образы не юзаю (в смысле, давно)... да и меньше он в размерах, а работает качественней Acronis'a (опять же, не ведаю про новые версии последнего).

Всего записей: 11058 | Зарегистр. 12-10-2001 | Отправлено: 14:51 29-05-2012 | Исправлено: KLASS, 14:54 29-05-2012
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Не знаю как у вас, но у меня практически каждый день обращения, блокираторы одинаковы либо ms.exe (вот усовершенствованный еще размер вырос Ссылка), либо вида 0.[набор цифр].exe (Ссылка), встают в ключе explorer`a ветки HKСU, как уже писал ранее. Просят по 1000 р. все чаще, я же говорю просили бы меньше и больше бы платило, хотя по  500 находятся некоторые еще платят, так что данный вид мошенничества все только развивается еще.
PS: В файлах ms.exe еще и ярлыки вшиты каждый раз разные.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:33 29-05-2012 | Исправлено: IvANANvI, 08:34 31-05-2012
HENDELF

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо всем бум, изучать матчасть, а резервное копирование делаю регулярно акронисом без етого никак .

Всего записей: 416 | Зарегистр. 22-02-2006 | Отправлено: 22:40 29-05-2012
simplix



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если человек живет втаком забитом богом и людьми захолусте, где компютери имеют несколько человек   все чайники, инет есть в нескольких. Как быть?  до райцентра 130 км. Есть ли решение окроме антивируса которие не все имеют детект mbr локеров может я ошибаюсь.

Решение - AntiSMS в шапке темы, создан специально для медленных интернетов и неопытных пользователей. Самодостаточный и полноценный загрузочный диск весит 30 МБ, а программа полностью автоматизирована.

----------
Быстрое автоматическое исправление неполадок

Всего записей: 1151 | Зарегистр. 08-08-2005 | Отправлено: 23:09 29-05-2012
HENDELF

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
simplix потестим Спасиба.

Всего записей: 416 | Зарегистр. 22-02-2006 | Отправлено: 00:28 30-05-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
уже втиснуто в шапку
 
идея заключалась на старых развалинах. что вместо никому не нужного sethc.exe из папки \system32 можно заменить конфеткой.
сначала я хотел и пытался прописать cmd.exe, но оказался не силен в командной строке и главное, многим будет сложно освоить такой метод.
поэтому:
вместо sethc.exe мы кидаем сконвертированный в .exe батник запуска uVS  и после поимки локера, легким движением руки вызываем uVS, нажимая часто кнопку shift.
почему uVS? гениальная программа и там присутствует почти все, что хотел бы реализовать я, но увы)
 
вроде архипростое решение, но оно работает.
всю мою пачку винлокеров потестил и прибил с помощью shift'а.
потом, если понравится, можно автоматизировать процесс.
вобщем, дарю)
 
самый советистый совет:
если winlocker не ребутнулся самостоятельно, не вздумайте перезагружаться! убивайте через uVS "налету", в этой сессии. иначе, особо мерзкая нечисть, после перезагрузки, может побить важные системные файлы. это поправимо в принципе. но зачем создавать проблемы на пустом месте?
 
убиваем винлокеры налету. видео, сконвертированное UVscreen Camer'ой
http://rghost.ru/38373569


у кого запуск запуск bat\cmd запрещён, полноценное win32 приложение.
но нужен masm32 для компиляции sethc.asm  
http://rghost.ru/38714490

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 16:44 30-05-2012 | Исправлено: folta, 16:46 17-06-2012
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 20:17 30-05-2012
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
folta, Отличная идея!
Как ведут себя локеры, которые ограничивают пространство для движения курсором?
Правда полезность сомнительная, так как можно будет это внедрять уже после заражения. Так сказать с прицелом на будущее.
 
Буду писать скрипт на AutoIt под это дело, который тупо киляет окна, которые отображаются. При этом выводить пути к файлу процесса.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 20:34 30-05-2012 | Исправлено: ynbIpb, 20:35 30-05-2012
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
folta, Отличная идея!

несомненно хорошая, однако это работает лишь на так сказать родном или чуть ближнем компе, а обычно уже топаешь к пациенту, который "болен"
и такой чудной штуки там на дух нет, свой то комп, за пару кликов из под лайва снимаешь, да и ловить не удавалось на своём то...обложен аки Кремль защитой.

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 20:52 30-05-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb

Цитата:
Как ведут себя локеры, которые ограничивают пространство для движения
курсором?

они все у меня ограничивают, либо убирают мышь напрочь)
но никто не отменял клавиши, хотя мне требуется для uVS'a только  "Tab" "Enter", "клавиша пкм" и стрелочки. я и раньше давил все локеры этой комбинацией, наживую. говорил тут, но никто не проникся.
потом встретил локер, который конкретно прикрыл рабочий стол и панель задач, как я не хитрил, обойти не смог, даже на ощупь)
начел чесаться.
своими усилиями сваять программу, которая бы передавливала локер, не получилось и хорошо.
есть море замечательных инструментов. вот uVS, был как фаворит опробирован и утвержден. тем более из него можно вызвать кучу нужных инструментов.
жалко кто он выгружает процесс записывающий программы. свежевание локера, самый приятный момент  
 
не всегда и не у всех есть под рукой лив сд/усб, а тут такая засада.
если бы в uVS'e был приличный файловый проводник, то вообще бы не рассматривал всякие добавки и плюшки.
вобщем как-то так.
 можно вообще создать мультибот меню с программами на все случаи жизни, вызываемые через shift.
мечтаю ёба
 
tahirg
можно заклепать автоматизатор, ну что-то вроде как акелпад прописать вместо стандартного блокнота. вывалить и кто хочет, поставит себе съёмный чопик) на всякие непредвиденные случаи.
себе оставлю и всем родственникам вкатаю. буду потом, в случае чего, по телефону, голосовыми командами регулировать забой локеров.

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 21:04 30-05-2012
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот первый набросок файла sethc.exe - KillWinlock.rar (на рыгхосте)
Глушит все окна какие открыты, даже ехplorer.exe
folta, можешь протестировать на своем зверинце?
Какие ещё функции можно прикрутить?

Код:
; ----------------------------------------------------------------------------
; AutoIt Version: 3.3.8.1
; Author: ynbIpb
; ScriptName: KillWinlock v0.1 (30.05.2012)
; Script Function: Kill Trojan.Winlock
; ----------------------------------------------------------------------------

$aWindows = WinList(); собираем в массив все окна
For $i = 1 to $aWindows[0][0]; перебираем все окна в цикле и проверяем видимость
   If IsVisible($aWindows[$i][1]) Then
   $iWinPid = WinGetProcess ($aWindows[$i][1]); определяем PID окна
   ProcessClose ($iWinPid) ; убиваем процесс
   EndIf
Next

; функция проверки видимо ли окно
Func IsVisible($handle)
  If BitAnd( WinGetState($handle), 2 ) Then
    Return
1
  Else
    Return
0
  EndIf
EndFunc

 
з.ы.
Только весело будет если какой геймер нажмёт случайно хитрую кнопку)))

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 22:15 30-05-2012 | Исправлено: ynbIpb, 22:56 30-05-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb
только если можно, перезалей. на обменник без таймера ожидания, например ргхост или народ. и обязательно погоняю)
 
раз уж пошло такое дело, то и автор AntiSMS может приделать своему детищу костыли с коляской)), чтобы каждая доярка могла убивать нечисть.
тогда точно винлокеры этой волны сойдут на нет, надеюсь.

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 22:36 30-05-2012
sasherb



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
folta
Идея классная! РЕСПЕКТ!
видос зачОтный

----------
Intel Core i3-4130/ASRock H81M-VG4 R2.0/ATI HD7750/8GB/SSD 240GB/FSP 550 80GLN/BenQ GW2260

Всего записей: 4071 | Зарегистр. 11-09-2009 | Отправлено: 23:02 30-05-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb
принимайте поздравления. работает на ура.
развивайте машинерию.
но:
поднимать uVS и двумя движениями "удалить все ссылки вместе с файлом" или руками лезть в реестр придется.
\CurrentVersion\Run
\CurrentVersion\Winlogon\Shell
...и далее.
и главное, представте, что
\CurrentVersion\Winlogon\Shell |explorer.exe
побъёт и что нас ждет))
\CurrentVersion\Winlogon\Userinit |C:\Windows\system32\userinit.exe,
тоже перелепит и уйдет в ребут.
нувыпонили
как-никак, а с uVS можно отжать у винлокера, так что развивайте детище. я тоже хотел сначала просто бить окна и ползал в теме батников и скриптов, потом у меня ничего не вышло), посидел, подумал и понял что зря мучался. надо еще и реестр прикручивать, да в таких объёмах , бросил, решил пойти легким, наезженным путем, без всяких лавров. так что, развивайте)
 
плюс с uVS'ом можно решать другие задачи. а нискажу))
Erekle
ну люблю когда меня хвалят, аж расцветаю))
sasherb
спасибо)
картинка понравилась?! писал так, чтобы не заснули при просмотре, хотел похлеще), а то как начнут нудеть словарными словами, хоть вешайся. а значки я убрал, нечего в мою приватную частность пялиться
 
вобщем жду себя в шапке. я прям как влитой для этого дела  
чоткий и рэзкий

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 23:40 30-05-2012
sasherb



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
folta

Цитата:
вобщем жду себя в шапке.

Сделано.

----------
Intel Core i3-4130/ASRock H81M-VG4 R2.0/ATI HD7750/8GB/SSD 240GB/FSP 550 80GLN/BenQ GW2260

Всего записей: 4071 | Зарегистр. 11-09-2009 | Отправлено: 23:57 30-05-2012
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
если бы в uVS'e был приличный файловый проводник

Пишите автору от имени соучастников темы.

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 01:59 31-05-2012
inile

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb
Process Killer 1.4.2 разве не то же делает? Вызывается по Ctrl+Shift+~. Фокус на последнем запущенном процессе, остается лишь Del или Enter нажать.

Всего записей: 1927 | Зарегистр. 29-06-2011 | Отправлено: 06:34 31-05-2012 | Исправлено: inile, 06:39 31-05-2012
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вчерашний зверек и снова ms.exe (Ссылка) Уже без ярлычка и сам походу глючный, когда я пришел вирус не смог запуститься, остановив загрузку без рабочего стола, вызвав диспетчер задач быстро нашел и переместил тело вируса, дальше только удалил ключ его запуска оболочки из HKCU, и дублирующий в RUN.
inile  
UVS может запускаться с предварительным закрытием всех активных процессов. Process Killer думаю только мигнет и скроется за банером. И потом популярные, приложения которые могут хоть чуть повредить банеру, блокируются на запуск.
 
В следующий раз обязательно попробую трюк с sethc.exe, зарание подложу наш скомпилированный KillWinlock, вместо того чтоб удалять сам вирус, и грузанусь. Если вирусописатели в теме то следующей модификации, прикроют данную уязвимость своего детища.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 08:20 31-05-2012 | Исправлено: IvANANvI, 08:36 31-05-2012
inile

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
попробую трюк с sethc.exe, зарание подложу наш скомпилированный KillWinlock, вместо того чтоб удалять сам вирус, и грузанусь
Гмм. Попробовал с "твоим" зверьком. В итоге после перезагрузки окно локера не вышло, explorer-а нет, KillWinlock и Process Killer уже не катят. Вывод - убивать гадов надо сразу и капитально.

Цитата:
Process Killer думаю только мигнет и скроется за банером
В настройках есть - "основное окно всегда активно" (или просто удерживать 3 клавиши).
Способ folta отличный, только многие ли разберутся, что глушить в Uvs?

Всего записей: 1927 | Зарегистр. 29-06-2011 | Отправлено: 12:01 31-05-2012 | Исправлено: inile, 12:28 31-05-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IvANANvI

Цитата:
Если вирусописатели в теме то следующей модификации, прикроют данную
уязвимость своего детища.

не переживайте shift(sethc.exe) не прикроют. даже когда начали обходить "забытые" пароли подставляя вместо sethc.exe>cmd.exe, серьёзные дядьки разводили руками или тихонько молчали.
я сильно в вопрос не вникал, но там очень многое надо менять и ломать, чтобы прикрыть этот "чопик". сколько лет уже прошло, а результата ноль.
так что не переживаем.
если кто более информативно подкован, поправьте. буду благодарен за новую информацию.
 
да и абсолютное большинство, это локеры созданные через конструктор, в сам код никто не лезет, почти. а вот криптуют все. главная цель обойти детект антивирусов
не, моё мнение.
легче упасть на mbrlocker'ы и выжимать профит из них, чем пытаться победить shift(sethc.exe). уже думал о возможных контрмерах, но бросил, оно монументально)
 
Добавлено:

Цитата:
только многие разберутся, что глушить в Uvs

об этом в видео я поставил вопрос ребром.
вообще все винлокеры без прописки в автозагрузке себя не мыслят.
они вываливаются в

Цитата:
подозрительный/ая

остается только убить его вместе с сылками. это два движения.
абсолютное большинство таких локеров.
с теми кто портит критические ключи и файлы, посложнее, вперот изучать uVS, нянькой ходить не буду.
а нет.
ждите когда автор AntiSMS расщедрится и вкатает модуль запуска из под рабочей системы. там нажал и тебе всё сделают хорошо

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 12:02 31-05-2012
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru