Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
bomzzz



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kpuk
если это все что он наделал - оптимальное решение батник

Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 17:04 28-12-2009
kpuk



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bomzzz
ха ну я так понимаю это не просто там лежит..
Короче я вот с 9 утра по 16 вечера пытался его вывести разными способами, и безуспешно. Но потом просто поставил заново винду и проблема ушла. Вот именно поэтому я написал что в этом случае лучше и легче перебить виндовс.  
К томуже в моём случае это даже предпочтительнее - там стояла полурусская хр без сп.
зы: хотя я более предпочитаю винду поднять чем переставить!

----------
Мой дед говорил ''делай добро и бросай его в воду,
Оно не пропадёт, добром к тебе вернётся...''

Дружественный хостинг. Мой выбор!

Всего записей: 1099 | Зарегистр. 07-03-2004 | Отправлено: 20:34 28-12-2009
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
где бы подцепить исходное тело, с которого начинается заражение. хочется исследовать.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 22:29 28-12-2009
slay1212

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb

Цитата:
Самое интересное: палит заголовки окон, если в нём есть: AVZ, Total commander, process explorer, антивирус и тд. сразу выключает комп.

 Палевом окон, и как следствие невозможностью запустить под виндой тот же авз отличается например kates вирусы. Его хорошо лечит kateskiller на касперском. Может  у тебя попалась новая версия?

Всего записей: 336 | Зарегистр. 28-05-2008 | Отправлено: 10:14 29-12-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
slay1212
Kates палит не по окнам а по именам ресурсов в исполняемом файле. Во всяком случае - последние версии.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 11:42 29-12-2009
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нее... мой исключительнопо заголовкам палил. даже просто папку с названием "антивирусы" он тутже закрывал. Переименовал в "12345"  и норм открылось. И в отличии от каты мой тушил винду а не эксплорер.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 11:50 29-12-2009
noook



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сегодня бился на работе целый день с вирусом про download master, на сколько возможно биться с вирусом в 9-тиэтажке полной компов и моих любимых пользователей
пока знаю что:
в Application Data создаёт свою папку
в temp папках хранится
в system32 плодится
в безопасном тоже пашет
не лечится куритом 5ти дневной давности
блокирует taskmgr.exe и regedit.exe
 
пробовал забить память бААААльшим количеством запусков тоталкомандера - помогало не всегда
 
пробовал вообще забить комп всякими прогами случайными - помогало потом запустить тоталкоммандер
 
мой тотал может в реестр коннектиться, но и успешно запущеный тотал с возможностью править реестр не смог помочь - разблокировался taskmgr.exe и при его запуске ничего не происходило
 
удивлённ был что редактор за место блокнота в сборке zver (там кажется bred3 или другой редатор) спокойно запускается, видимо написал на редком языке и екзешник сжат как то особо
 
работает по разному, то dll наплодит в temp папке, то в system32 начнёт dll создавать
 
при запуске почти любого екзешника либо выскакивало окно вируса ещё одно либо ничего не происходило и закрывалось приложение
 
есть ещё много мыслей - завтра буду пробовать
 
пробовал время перевести, пробовал загрузку последней удачной - неа

Всего записей: 69 | Зарегистр. 31-03-2006 | Отправлено: 17:50 29-12-2009 | Исправлено: noook, 17:52 29-12-2009
udaffchik



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
noook
попробуй просканируйчерез Kaspersky Rescue Disk .Тока с новыми базами, можно с флешки обновиться.

Всего записей: 254 | Зарегистр. 29-11-2009 | Отправлено: 23:27 29-12-2009
noook



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
короче утро вечера умдреннее
поборолся!
и винду менять не надо - считаю переустановку винды дорогим удовольствием
ну и не профессиональным способом
в итоге как я понял:
копируется значит вирус видимо с инета, с дрянного сайта, в файл *.tmp
от туда переименовываясь в exe запускается
качает с инета остатки и вкладывается в dll в папку system32
и прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]  
"AppInit_DLLs"="XXXXXXXXXX.dll"  
вот этот вот dll надо удалить и почистить временные файлы всего (windows, ie, ...)
нашёл похожих файлов с размером 147968 байт в system32 и тоже удалил
//
http://narod.ru/disk/16463657000/temp.rar.html        пароль 111
вот тут я слил файл в котором лежат файлы из папки temp и system32
там есть ещё папка с xxx там непонятные мне файлы из system32
//
я загружался с ORDO 6.3

Всего записей: 69 | Зарегистр. 31-03-2006 | Отправлено: 07:24 30-12-2009 | Исправлено: noook, 07:33 30-12-2009
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
теперь понятно почему он неубиваем в самой винде, потомучто он инжектится в каждый процесс через этот ключ реестра.
Раз он докачивает себя, фаервол в данном случае решает. У моих клиентов как раз его не было, вот и подцепили.
По ходу изначально он попадает на машину через эксплоит в браузере. или связку сплоитов.
Мой NOD32 2.7 опознал кучу DLL'ок как модифицированный Win32/Kryptik.BHX троян (вероятно спалил по использованому криптору)
Спасибо за информацию.
 
---- add ----
И так имеем виртуальную машину XP, инет через прокси. всё идёт через проксифер.
Переименовал *tmp файлик в virus.exe и понеслось... сразу же тупо на видном месте прописывает себя а автозапуск (видно через msconfig, стыд и срам афтору )
далее следущее:
[09:02] virus.exe - google.com:80 open
[09:02] virus.exe - google.com:80 close, 0 bytes sent, 0 bytes received
[09:02] virus.exe - download.microsoft.com:80 open
[09:02] virus.exe - download.microsoft.com:80 close, 548 bytes sent, 1369431 bytes (1.30 MB) received
дальше процесс умирает из-за внутренней ошибки, о чём пишет докторватсон в своём логе.
после ребута всё посторяется...
чтоже он скачал с микрософта я так и не понял.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 08:20 30-12-2009 | Исправлено: ynbIpb, 09:33 30-12-2009
Grandad



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
noook
аналогичная шняга. найден в system32 - ibgate.dll
был прописан в инитах.

Всего записей: 5 | Зарегистр. 18-05-2006 | Отправлено: 10:58 30-12-2009
BIOS999

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
"чтоже он скачал с микрософта я так и не понял." - .NET FrameWork

Всего записей: 30 | Зарегистр. 26-05-2008 | Отправлено: 15:24 30-12-2009
noook



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
скорее это проверка доступа к обновлениям и тп

Всего записей: 69 | Зарегистр. 31-03-2006 | Отправлено: 15:29 30-12-2009
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Полезная ссылка для пострадавших:
http://support.kaspersky.ru/viruses/deblocker

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 18:13 30-12-2009
Vigorous



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf
долго рожали, у др.веба давно такая страница есть...
 

Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 18:22 30-12-2009
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не все афторы смсвымогателей такие порядочные, им главное получить смс деньгу, а что там дальше с юзером будет их не волнует и по сути разблокирущего кода может не существовать.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 19:34 30-12-2009
Vigorous



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ynbIpb
подтверждаю, уже несколько раз лечил после уплаты пострадавшим смс
(кстати берут уже 600 руб, а не 300 как раньше и в минус)

Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 21:12 30-12-2009
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мои лошки тоже посылали, благо не было столько денег на счёти и им отказали. В минус не дали.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 22:39 30-12-2009 | Исправлено: ynbIpb, 22:40 30-12-2009
kgenius2

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну давайте поделюсь своими траблами. Попал недели 2 назад на какую-то модификацию sdra64. Система Windows XP SP3. С помощью связки DrWeb+AVZ снес заразу, но не полностью. Т.к. часто пользуюзь спящим режимом, то сначала и не заметил. Каждый раз при перезагрузке вирус прописывает себя в автозагрузку + в реестр в userinit. Плюс еще в Temporary Internet Files активируется (делает попытку) JS.Clicker (видимо с его же подачи). В безопасном режиме вирусы не видны. Что можно сделать? Как можно поиграться с автозагрузкой, чтобы найти процесс, инициализирующий цепочку? Где еще может лежать ссылка на скрипт(реестр, %USER/Application Data)?
Сам ИТшник, но не могу понять, как все излечить.
 
Всем спасибо.

Всего записей: 139 | Зарегистр. 12-11-2004 | Отправлено: 22:41 30-12-2009
lunohod1

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
noook
 
в итоге как я понял:  
копируется значит вирус видимо с инета, с дрянного сайта, в файл *.tmp
Адрес сайтика не подскажете?
 

Всего записей: 288 | Зарегистр. 27-04-2005 | Отправлено: 23:06 30-12-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru