Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
kgenius2

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Дело то дело, только вот покажите мне того, кто до суда с этими претензиями дошел...

Всего записей: 139 | Зарегистр. 12-11-2004 | Отправлено: 23:07 21-01-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kikozz
Ну да, осталось на броневик залезть и призвать к победе коммунизма
В статье не нашёл ничего толкового. Да, сбор доказательств сделан правильно и видно, что человек сильно обозлился. Только вот концовка смазалась:

Цитата:
Это самый крутой вариант разбирательств с контент-провайдером. На этом этапе вам абсолютно точно потребуется адвокат, потому что самостоятельно разобраться в том, что и как нужно делать, сложно. Нам с женой это пока лишь предстоит, поэтому тут пока ничего не могу сказать конкретно.

Так что далеко не факт, что все усилия к чему-либо приведут.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 23:10 21-01-2010
NeliyZar



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://www.drweb.com/unlocker/index/

----------
Женщины и кошки одинаковы: ты только думаешь, что ты ими владеешь.©
Мужчины всегда правы, а женщины никогда не ошибаются :)

Всего записей: 2587 | Зарегистр. 17-02-2008 | Отправлено: 23:45 21-01-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kgenius2

Цитата:
C:\WINDOWS\system32\sdra64.exe,

Нужно удалить файл ручками. Он почему-то антивирусником не определяется как вирус. А потом еще и CureIt-ом полечить свежей версией.
 
Добавлено:
kikozz

Цитата:
Тут дело человек пишет....

Ерунда это полная. Почитал, ничего хорошего не нашел кроме призывов в духе КПСС. Сам юрист и прекрасно понимаю, что в России с нашим законодательством такое не пройдет. Особенно если вирусописатель сидит например в Украине. Справедливость в таком случае "курит". Оттуда, как в свое время с Дона выдачи нет.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 07:19 22-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну да сам контент провайдер перепродаёт свои услуги дальше анонимным лицам (в виде префикса, с которым и надо слать смс) и делят бабло пополам, по этому не охотно банят. один короткий номер может принадлежать сразу нескольким смс биллингам.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 08:42 22-01-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ну да сам контент провайдер перепродаёт свои услуги дальше анонимным лицам (в виде префикса, с которым и надо слать смс) и делят бабло пополам, по этому не охотно банят. один короткий номер может принадлежать сразу нескольким смс биллингам.

Вот именно. Пока они будут иметь с этого прибыль, ничего они делать не будут. Даже если одному из сотни вернут деньги (возможно), все равно будут в плюсе.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 09:53 22-01-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
C:\WINDOWS\system32\sdra64.exe

однозначно зловред, при чём скорее всего - ZBot. Просто перепакованный. Кстати, именно по этой причине рекомендую после СМС-вымогателей менять все пароли - думаю, там дело не только в СМС....


----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:31 22-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так как хозяева компьютеров не любят сидеть из под ограниченного юзера, им Админа подавай - от этого все беды.
 Что если создать вторую учётку ограниченную, но из под неё не сидеть, а в основной админской сделать ярлык браузера от имени ограниченной учётки, это убережет наших горе юзеров от большинства заразы?
Ярлык делаю на автоите лоадером.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 18:56 22-01-2010
Focusrite

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А может кто подсказать? тут вот гуру разные говорили в ветке в реесте в winlogon ниже userinit.exe ничего не должно быть.
А у меня там написано:
 
Userinit REG_SZ windows/system32/userinit.exe
VmApplet REG_SZ   rundll32 shell32,Control_RunDLL "sysdm.cpl"
WinStationsDisable REG_SZ 0
 
вот то что ниже userinit нужно?
 
у меня винда запускается, иногда вылетает окно с смс, иногда нет,
но не работает регедит, командная строка и никакие екзешники!
 
 
Др.Веб от Ливсиди нашёл и прибил такие вещи:
Trojan.BlackMailer.832 - wxilib.dll
Trojan-PWS.Stealer - pdfupd.exe
trojan.packed.189
win32.hllw.marf  - system32/aston.mt
BackDoor.Zapinit.88 - efgop.ee
BackDoor.Zapinit.94 - r33.es
Trojan.Rvz.10
 
так что про юзеринит?
 
Добавлено:
ynbIpb
 объяснил бы как ты его прибил, у меня такой же Intrnet Security и смс,  но файлов тифовских которые у тебя были у меня нет, как ты их нашёл то?
 
Кстати парни, почти не нужно никакой милиции, если я смогу я достану айпи тех кто это распространяет, если конечно нужно. Ко мне стучались эти люди, и пытались купить у меня трафик с сайта, чтобы сливать его на эти сплойты, людям этим я отказал,  но я могу согласится "якобы", чтобы их изловить, если нужно.
 
Добавлено:
ynbIpb

Цитата:
Спасибо за информацию, буду бороться.
з.ы.
статейку можно в шапку: Альтернативные потоки данных или ADS

 
статейка, да, не весёлая, только не понятно как запускать просмотр потоков экзешником, если любые! экзешники блокирует троян.

Всего записей: 141 | Зарегистр. 18-03-2006 | Отправлено: 02:04 23-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
объяснил бы как ты его прибил

Эту хрень убить можно ток из неактивного состояния.
С Live CD, сканируй папку Windows програмой ADSSpy, всё что она найдёт мочи. Нормальные программы в потоках не живут, следовательно всё что в потоках - зло.

Цитата:
если я смогу я достану айпи тех кто это распространяет

Такие люди не сидят на прямую.
Они явно имеют армию сокс ботов, используют дедики, ВПН сервисы. Нереально найти.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 09:55 23-01-2010 | Исправлено: ynbIpb, 12:17 23-01-2010
ROD6ono6

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уважаемые! Помогите советом, как сделать оптимальный LiveCD на USB (да и стоит ли, ведь USB - не защищено от вирусов!)? Какой сайт может оптимально помочь моей цели?
 
Да, совем забыл. Скачал ISO отсюда http://www.freedrweb.com/livecd/, но не понимаю, как сделать загрузочную флэшку. То, что там есть в PDF не работает. Помогите, подалуйста!

Всего записей: 10 | Зарегистр. 19-01-2010 | Отправлено: 14:17 23-01-2010 | Исправлено: ROD6ono6, 17:41 23-01-2010
NskRonin



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ROD6ono6
 
На счет USB - ее можно сделать с защитой от записи. Покупаешь SD флешку (на ней есть аппаратный переключатель записи)+Картридер к ней - мне набор обошелся в 500 р. (флеш - 2 гига)  
 
Я на нее свежую версию CureIt + лечилку от конфикера и AVZ закинул и не жужжу

----------
Выбери себе работу по душе, и тебе не придется работать ни одного дня в своей жизни.
/Конфуций/

Всего записей: 1608 | Зарегистр. 10-05-2007 | Отправлено: 20:41 23-01-2010
StaryDed4



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сервис деактивации от DrWeb изменил свой адрес
http://www.drweb.com/unlocker/index/?lng=ru
По адресу в шапке деактивации нет.

Всего записей: 275 | Зарегистр. 09-10-2008 | Отправлено: 21:21 23-01-2010
alpanf



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Уважаемые! Помогите советом, как сделать оптимальный LiveCD на USB (да и стоит ли, ведь USB - не защищено от вирусов!)? Какой сайт может оптимально помочь моей цели?

 
USB Disk Storage Format Tool 2.0.6  
 
Это бесплатное программное обеспечение позволяет Вам форматировать любую флешку USB с необходимой файловой системой.  
 
Чтобы сделать флешку USB загрузочной, например для того, чтобы восстановить компьютер с помощью резервной копии, необходим инструмент, такой как USB Disk Storage Format Tool. USB Disk Storage Format Tool рассматривает флешку USB как нормальный дисковод и затем форматирует флешку USB с нужной файловой системой (FAT, FAT32, NTFS). С NTFS Вы можете также увеличить объем, если Вы включаете сжатие данных.  
 
Пригодится всем любителям Live ОС и тем, кому нужно восстановить данные.
 
поищи в инете эту программу может поможет (я читал ее исппользуют для создания Live ОС) или может это поможет
 
PeToUSB - утилита для форматирования и создания загрузочных разделов на USB флэш и жёстких дисков USB. Также есть дополнительные возможности, например резервирование и восстановление Master Boot Record на устройстве.
 
Есть опции копирования BartPE/WinPE на флэш диск с созданием загрузочной записи, показ подробной информации о флэш диске, возможность изменения буквы диска.
 
 
 
Добавлено:

Цитата:
Уважаемые! Помогите советом, как сделать оптимальный LiveCD на USB (да и стоит ли, ведь USB - не защищено от вирусов!)? Какой сайт может оптимально помочь моей цели?

 
http://www.flashboot.ru/index.php?name=Files&op=cat&id=5

Всего записей: 97 | Зарегистр. 29-06-2008 | Отправлено: 21:53 23-01-2010
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я наверно долго сам приходил к этому мнению...
у людей запарка с блокерами, да выщёлкиваются они в два клика
1-обязательно держать на болванке Erd Commander
http://rapidshare.com/files/330612137/ERD_commander.rar
2-грузимся с него, указываем к какой винде подключиться, запускаем тамошний редактор реестра
проверьте ветки реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
В этой ветке находятся файлы которые загружаются вместе с запуском ОС. Всё что вам незнакомо  
1 - запомните\запишите их пути
2 - войдите в My Computer и поиском найдите все подозрительные файлы, удалите их
3 - очистите значения параметров реестра от этих записей
 
проверте параметры реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Родная запись выглядит только так. Если вы увидели, что есть дописанные значения типа "Userinit"="C:\\WINDOWS\\System32\\userinit.exe, блабла.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows значение параметра AppInit_DLLs  
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
1 - запомните\запишите это
2 - поиском найдите эти файлы, удалите
3 - восстановите значения параметров до родных
 
Очистите содержимое папок Temp и Tmp. До кучи можно удалить папки из System Volume Information
 
всё, далее к оркестру подключается любой свежий антивирь
сканим по полной, шерсть выстригая
и готово

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 22:04 23-01-2010 | Исправлено: tahirg, 10:45 27-01-2010
vikv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
проверте параметры реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Родная запись выглядит только так. Если вы увидели, что есть дописанные значения типа "Userinit"="C:\\WINDOWS\\System32\\userinit.exe, блабла.exe"  

"Виновс заблокирован" отправьте на номер 9690 72001**** последние цифры меняются, "деблокиры" выдают коды, и мимо!
В автозагрузке чисто как на новой системе, ничего подозрительного на первый взгляд.
В безопасном просканил КАВ 7.0 со свежими базами, результат 0.  
Вот только, что победил гада. Сидел в C:\WINDOWS\System32\userinit.exe размер 158 кб. родной 24,5 кб.
В реестре путь был просто на userinit.exe, переименовал гаденыша, и КАВ нашел Trojan-Ransom.Win32.Digitala.bh, ну если есть в базе, почему не прибить самостоятельно?
Может кому поможет, удачи!

Всего записей: 130 | Зарегистр. 22-02-2006 | Отправлено: 00:29 24-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я откопал очередной псевдоантивирус, звать его: Antivirus Online, козыряет крутыми словечками типа переустановка не поможет, тело сидит в загрузочном секторе и т.д. На месаджбоксе красуется гордо: Kaspersky Lab

Стартует через мидифицированный ключ запуска проводника, обходится запуском безопасного режима с командной строкой, а дальше родной AVZ всё пофиксит.
 
 

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 13:45 24-01-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток! Что-то нигде не могу найти ADSSpy. Может кто кинет ссылочку, а то нашел, но там лишнего полгектара, что-то не хочется мусор качать.
 
Добавлено:
ynbIpb
Такой я уже видел, так что не самый новый. Но все-равно, спасибо за информацию.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 13:54 24-01-2010
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hohkn
http://ifolder.ru/16083949
забирай
 
Добавлено:
ynbIpb
а тельце вируса сохранилось?
лучше конечно сайтик откуда оно прилетело или инсталятор ентот
 
и вообще TO ALL
 
дайте плиз адреса сайтов в пм откуда можно принять EKAV и Internet Security
ну горю желанием повстречаться с глазу на глаз со злодеями
ps прошу всякими Download Master и другими старыми не швырять, есть они в колекции

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 14:02 24-01-2010 | Исправлено: tahirg, 14:07 24-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tahirg, не уверен что это оно (AVZ не сказал, что было прописано, а мне было лень рыться в этой захламлённой тачке, денюжку получил и свалил.), но вот подозрительные файлики: вирус.rar (pass: virus)
  А по поводу ловли на живца, я делаю так: VirtualBox, Ставлю XP, погу Total Uninstall, инет на него пробрасываю и в гугле: "Смотреть порно онлайн бесплатно" много попадается, но всё примитивное.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 14:31 24-01-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru