wsadneg Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору folta Цитата:   будете смеяться, но где-то я уже видел локер, который в этой ветке, что-то тыкал. возможно и ошибаюсь, так как примера этого уже нет. замечательно, если все асисяй) в чем нешибко разбираюсь, всегда подозреваю худшее ( а вдруг локер пойдется по "больным" местам реестра). попробую намедни.     Локеры там, скорее всего сами делают хайджекинг, на диспетчер задач например, вряд ли они будут там искать ссылки на антивирус. В любом случае не помешает защитить этот ключ реестра какой-либо софтиной и/или методом установки разрешений на модификацию: удалить все группы и оставить одного пользователя, из-под которого не сидеть в контакте. Всего записей: 212 | Зарегистр. 20-05-2011 | Отправлено: 10:47 17-06-2012 | Исправлено: wsadneg, 10:48 17-06-2012

mbrz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору inile     Цитата: пожалуйста протестируй это    Отпишись. Спасибо. Протестировал. mbr guard в пролёте. После перезагрузки "error loading operation system" , глянул в хексе -  повреждены сектора 62-78 винта. Ну то есть прога защитила мбр, а всё остальное - нет...   А как иначе , если у вируса и mbr guard одинаковые права админа на запуск...? Всего записей: 1848 | Зарегистр. 16-02-2012 | Отправлено: 11:59 17-06-2012 | Исправлено: mbrz, 12:02 17-06-2012

Erekle Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: то есть прога защитила мбр, а всё остальное - нет... Значит, нужно контролировать RAW access к диску, а польза от узкоспециализированной утилиты только для MBR - как от множества охранников ветки Run в случае автозапуска, или от msconfig в случае служб и драйверов... Цитата: А как иначе , если у вируса и mbr guard одинаковые права админа на запуск...? Это не главное. У меня и антивирус, (если обновил модули), шага не сделает без одобрения ХИПСа, хотя и одинаковые права, и драйверы ядра одной группы - ведь драйвер-то изменился, и он недоверенный пока. Так и с локером. Единственный шанс для него - как-нибудь подвеситься к какому-то системному процессу благодаря лазейки в ХИПСе. Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 12:47 17-06-2012

folta Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mbrz решение: Цитата: Вариант с батником мне не подошёл, т.к. запуск bat\cmd запрещён... полноценное win32 приложение. но нужен masm32 для компиляции sethc.asm http://rghost.ru/38714490   хм..можно вообще проще, могу выкинуть экзешник, вам надо будет в хекс-редакторе поправить путь до startf.exe на ваш. ну, не знаю что сложнее будет...но через masm32, полезнее Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 16:13 17-06-2012

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я уже начал внедрять скрипт, глушит на ура. Потом вызываю диспетчер задач и запускаю UVS. А по поводу "запрещено батники", так задействуйте тот же AutoIt скрипт. Всего одна строчка: Run ("C:\UVS\startf.exe")   з.ы. Популярный зверёк ms.exe эволюционировал и теперь стартует даже в безопасном режиме с поддержкой командной строки. Придётся LiveCd грузить каждый раз. Сегодня было 3 вызова на таких. Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 17:08 17-06-2012 | Исправлено: ynbIpb, 17:12 17-06-2012

mbrz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору folta,  Спасибо.     З.Ы. ПМ получили ? Ну и как вам экземпляр ? Есть ли от такого защита ? Всего записей: 1848 | Зарегистр. 16-02-2012 | Отправлено: 17:24 17-06-2012

folta Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mbrz Цитата: Ну и как вам экземпляр ? Есть ли от такого защита ? извиняемся перед malware defender трижды хватает boot_class.exe за яй...шкирку. сначала на чтении \Device\Harddisk0\DR0 потом на записи туда же и требование ребута через cmd Цитата: shutdown -r -t 5 -c "Ссаный анимуёб, тебя уничтожили ВАТАКУ и Олег Комарницкий. Забудь про аниме и начинай плакать. Во славу Олега Комарницкого!" мало того, требует запуск под админом, иначе просто пытается уйти в мирный ребут. хотел внутрь залезть, но он под themid'ой, в распаковке не силен. так, поковырял дамп. заряжалка для бинов на чужие винты. потерял в общем интерес. ничего нового и md не пробивает. так что. даже неохота видео снимать, один из многих. но если есть сомнения, намекните. попозже, двумя кнопками, слеплю.   я думал, что это будет мое предначертание, ну, гипотетически объяснял, как обойти md, надо прописать отложенное выполнение после ребута. чтобы наверняка, без всяких помех, побить мбр и таблицу. а оказалась старушка. сначала гадит, потом сматывает удочки. почему у вас md не схватила его? не знаю. может запуск md требуется под админом или отключение cmd как-то сказалось, не знаю. Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 18:57 17-06-2012

mbrz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору folta Цитата: мало того, требует запуск под админом, иначе просто пытается уйти в мирный ребут. естественно,на это и расчёт,  нужны права админа для его запуска, иначе у вирусов очень мало шансов запуститься....     У меня на испытуемой ВинХР из-под админа этот вирус полностью держит победу над md и системой...   З.Ы. я правильно понимаю ... то есть, когда вы запускаете этот вирус с админскими правами, md блокирует изменение диска и после перезагрузки у вас остаётся всё хорошо ? Всего записей: 1848 | Зарегистр. 16-02-2012 | Отправлено: 19:15 17-06-2012 | Исправлено: mbrz, 19:20 17-06-2012

KismetT Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mbrz Может надавал в MD разрешений без понимания их? Всего записей: 3213 | Зарегистр. 08-09-2009 | Отправлено: 19:23 17-06-2012

mbrz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору folta   Цитата: mbrz    полноценное win32 приложение.    но нужен masm32 для компиляции sethc.asm   http://rghost.ru/38714490     хм..можно вообще проще, могу выкинуть экзешник, вам надо будет в хекс-редакторе поправить путь до startf.exe на ваш. Сделал, как вы сказали. Не сработало, поскольку, как я понял , uvs при запуске создаёт временные файлы в темповых папках профиля юзера, а оттуда запуск всего запрещён...   Цитата: извиняемся перед malware defender    трижды хватает boot_class.exe за яй...шкирку.    сначала на чтении    \Device\Harddisk0\DR0    потом на записи туда же Я таки извиняюсь, MD действительно рубит эту заразу. Это я с настройками чего-то не углядел... Извиняюсь за свою невнимательность и флуд.     Значит, MBR под защитой. Это то что нужно. Всего записей: 1848 | Зарегистр. 16-02-2012 | Отправлено: 19:24 17-06-2012 | Исправлено: mbrz, 21:00 17-06-2012

folta Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mbrz проверил на живой системе через md, ловит. ни мбр, ни разделы не страдают. перезагружаясь, все как покладенно. хотя могу и из под системы посмотреть, есть контакт или нет.   даже запустил и посмотрел как оно крошит. мбр с той самой надписью и исчезнувшие разделы диска. Окна7 х86   в md, на вкладке правила: приложения>*>свойства>разрешения и "запись на физический диск"- спросить, ну или запретить. сохранить в набор правил.   а про вариант с непролазными bat/cmd и win32, ну, попробуйте скрипт от ynbIpb, но с вашими нагромождениями, чую что и они должны быть отключены. вобщем, немножко не понимаю вашей концепции. все отвинтили, а оно прот и прот легче уж все запихнуть в песочницу и так жить, оттуда точно никто не сбежит) удачи в любом случае. Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 21:01 17-06-2012

mbrz Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: проверил на живой системе через md, ловит. ни мбр, ни разделы не страдают.    перезагружаясь, все как покладенно.......в md, на вкладке правила:    приложения>*>свойства>разрешения и "запись на физический диск"- спросить, ну или запретить. сохранить в набор правил. У меня тепер тоже всё в норме, настроил. Спасибо за помощь. К атаке злобного вируса готов !  ) И вам удачи ! Всего записей: 1848 | Зарегистр. 16-02-2012 | Отправлено: 23:05 17-06-2012

ynbIpb Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Обновил свой скрипт (sethc.exe), теперь выводит список убитых процессов (полный путь к файлу) и перезапускает проводник. KillWinlock_v0.2.rar исходный код Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 23:10 17-06-2012 | Исправлено: ynbIpb, 22:34 06-10-2012

Erekle Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Herzz, arvidos Цитата: Цитата: и восстанавливаю mbr (fix mbr)   - И теряешь все данные на HDD и "радуешь" хазяина машины - не все так просто под луной в свете последних локеров MBR.   - теряешь потому что таблица разделов в мбр находится. и весит мбр далеко не 4 байта   Но ведь Цитата: Bootrec.exe /FixMbr Запущенная с ключом /FixMbr, утилита записывает совместимую с Windows 7 и Windows Vista главную загрузочную запись (Master Boot Record, MBR) в системный раздел. Используйте эту опцию для разрешения проблем, связанных с повреждением главной загрузочной записи, или если вы желаете удалить из неё нестандартный код. Существующая таблица разделов в этом случае не перезаписывается.   Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 15:02 24-06-2012 | Исправлено: Erekle, 15:04 24-06-2012

IvANANvI Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ну вот и мне довелось полечить бутового вымогателя (Красными буквами сразу поверх пост экрана). Код для разблокировки можно видеть чуть раньше: BootIce показал unknown MBR. Ввод кода сразу привел к продолжению загрузки. Из под винды снова посмотрел BootIce, он снова показал unknown MBR, ну я его и восстановил на стандартный для XP. Популярный MS.exe попадается все еще часто, снова имеет красивые иконки, но по прежнему там же где и был.   ynbIpb Спасибо за развитие своего детища. Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 16:23 30-06-2012 | Исправлено: IvANANvI, 16:34 30-06-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование