KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Против файловых: работа без прав админа + утилита 2IP StartGuard Не видит параметры откуда могут вири грузиться: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute Дальше не стал проверять, удалил. В этом отношении Trend Micro HijackThis получше и в памяти не висит, достаточно запускать через сценарии входа и выхода. Всего записей: 11110 | Зарегистр. 12-10-2001 | Отправлено: 22:01 15-01-2012

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А можно подробней? курим групповую политику run > hh.exe ms-its:misc.chm::/customize_with_GP.htm Всего записей: 11110 | Зарегистр. 12-10-2001 | Отправлено: 02:02 16-01-2012

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот был проект system safety monitor ...жаль помер. Можно отлавливать все, что угодно... там, правила свои создавать для того же реестра и т.п. Кому поиграться, выложил свободную версию тут Интересно, есть что-нить подобное сейчас (не антивирусник)? Кто чего видел? Всего записей: 11110 | Зарегистр. 12-10-2001 | Отправлено: 04:45 16-01-2012

olzaruta Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Странный сегодня случай был:   Вызвали убрать блокировщика. Прихожу винда уже не грузится, ругается на испорченный файл SYSTEM Со слов хозяина, вчера вылезло окно, которое вымогало денег и грозилось через 12 часов убить винду. Такое впечатление, что винлокер сдержал обещание. Прогнал CHKDSK /R, файл исправился (видимо тупо от выключения побился), ладно грузим дальше... Появляется чёрный фон и курсор мыши - Всё! Дальше ничего. даже в бесобасном режиме с коммандной строки не грузится. Только чёрный фон и курсор мыши. Грузился с LiveCD, никаких следов не обнаружил, вроде всё ок. Мучал UVS, тоже не помогло. В итоге накатил ОС в режиме восстановления (XP Sp3). Вот теперь не знаю что думать, винлокер такое сделал или просто повреждение файлов из-за внезапного выключения.     Прослеживается очень нехорошая тенденция. Раньше винлокеры только врали, что удалят файлы, убьют ОС, а теперь сталобыть начали это делать.     - Скорее всего вот этот винлокер ( свежак )     http://i30.fastpic.ru/big/2012/0116/3f/457ba7bf8e6485b894dea00b7f73413f.jpg   - Сам файл для теста: http://zalil.ru/32511136 пароль на скачку 2012 - Код разблокировки: 444588525 - А вообще то для этого вида винлоков есть универсальный код разблокировки: 9786775 Всего записей: 317 | Зарегистр. 15-01-2012 | Отправлено: 20:24 16-01-2012 | Исправлено: olzaruta, 20:33 16-01-2012

nevermindiwwe Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mbr-locker h**p://www.1st.rv.ua/wp-content/uploads/2011/08/mbr-winblock-virtual.png образец: h**p://ifolder.ru/28326370 пароль - virus Всего записей: 68 | Зарегистр. 03-05-2007 | Отправлено: 17:11 26-01-2012

arvidos Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: mbr-locker рассчитан на жителей Украины Всего записей: 3557 | Зарегистр. 24-04-2009 | Отправлено: 17:28 26-01-2012

666_Devil Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору в субботу словили на комп блокер. по сервисам деактивации не находит номер 8-(917)-820-86-64. картинка примерно как Trojan.Winlock.3333 с этого места https://www.drweb.com/xperf/unlocker/gallery/ но просит 500 руб на номер МТС Всего записей: 40 | Зарегистр. 22-09-2010 | Отправлено: 12:11 30-01-2012

Sish Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 666_Devil Тулзы из шапки пробовал: Цитата:   Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).   AntiWinLockerLiveCD Специальный LiveCD для разблокировки.   Всего записей: 25337 | Зарегистр. 09-06-2004 | Отправлено: 12:51 30-01-2012

1Kipovec Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 666_Devil ну и дальше что? Решили напомнить про сервис веба (я уж и забыл что он существует ). Если верить, что "соответствует" картинке, то это обычный "пионерский примитивизм". ---------- "ГрОмАтеям" нефиг поучать. Мои ошибки, ЭТО МОИ ошибки. Т.Е. Эксклюзив. Следите луче за своим трёпом. nick-name.ru Всего записей: 641 | Зарегистр. 24-08-2009 | Отправлено: 12:52 30-01-2012

666_Devil Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sish Цитата: Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).   помог   1Kipovec вообще сервис веба помогал, а про Цитата: "пионерский примитивизм" простите, может некорректо написал, просто хотел объяснить какой блокер был пойман.     Всего записей: 40 | Зарегистр. 22-09-2010 | Отправлено: 16:19 30-01-2012

zveroyacher Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору мда.... под сидеть под юзером с админскими правами становится всё страшнее и страшнее... Всего записей: 807 | Зарегистр. 03-04-2011 | Отправлено: 16:22 30-01-2012

RIZIY Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Знакомая словила блокер, просит 1к рублёв на номер +7 913 9402137. Кому-нить попадался код разблокировки? (так неохота к ней идти по морозу) ---------- Новая МММО - Dragon's Prophet Всего записей: 1735 | Зарегистр. 17-07-2006 | Отправлено: 13:36 31-01-2012

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору RIZIY А придется! Код зверька не удалит, однако, вычищать все равно. ---------- А оно мне надо?.. Всего записей: 5443 | Зарегистр. 29-03-2006 | Отправлено: 14:10 31-01-2012

olzaruta Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору http://i25.fastpic.ru/big/2011/0803/76/d796ee964da55420cef25a5b42625976.png   залейте пожалуйста этот винлокер saliter.exe, он выполнен на флеш...я его разберу..интересно что за фрукт...   http://3.bp.blogspot.com/-BKcl9OVn5iE/TkWAxRhJf5I/AAAAAAAAB84/zKjWSJkhukY/s1600/saliter.PNG Всего записей: 317 | Зарегистр. 15-01-2012 | Отправлено: 00:39 03-02-2012

KLASS Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Все таки работая в системе под админом, при этом без антивируса, болезнь легче предупредить чем лечить. Много этой гавнохакерской лабуды грузится через реестр при очередной перезагрузке или синем экране, вот и заморозить реестр пока в нем записей нет. Вири то пусть себе лежат где хотят, то же ведь программы главное, чтобы автозапуском не стартовали. Позапускал разных тварей на рабочей системе будучи под админом... сценарий такой: 1. Бекапим реестр прогой ERUNT, например в папку C:\ERDNT 2. В сценарии загрузки компа (если под обычным юзером), либо в сценарии входа в систему (если под админом) прописать копирование нашего бекапа в соответствующие папки: Код:   copy "С:\ERDNT\default" "%SystemRoot%\system32\config\defaul_" copy "С:\ERDNT\SAM" "%SystemRoot%\system32\config\SA_" copy "С:\ERDNT\SECURITY" "%SystemRoot%\system32\config\SECURIT_" copy "С:\ERDNT\software" "%SystemRoot%\system32\config\softwar_" copy "С:\ERDNT\system" "%SystemRoot%\system32\config\syste_" copy "С:\ERDNT\Users\00000001\NTUSER.DAT" "C:\Documents and Settings\Имя_Пользователя\NTUSER.DA_" copy "С:\ERDNT\Users\00000002\UsrClass.dat" "C:\Documents and Settings\Имя_Пользователя\Local Settings\Application Data\Microsoft\Windows\UsrClass.da_" 3. Тут же в сценарии импорт рег-файла, который пропишет строки сюда HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\PendingFileRenameOperations (REG_MULTI_SZ) вида: \??\C:\WINDOWS\system32\config\defaul_ !\??\C:\WINDOWS\system32\config\default \??\C:\WINDOWS\system32\config\SA_ !\??\C:\WINDOWS\system32\config\SAM и т.д. Жамкаем разных тварей, тут блокировка\синий экран, при загрузке реестр заменится на бекап и так по кругу. Всего записей: 11110 | Зарегистр. 12-10-2001 | Отправлено: 07:54 06-02-2012 | Исправлено: KLASS, 07:58 06-02-2012

kises Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору KLASS Цитата: Жамкаем разных тварей, тут блокировка\синий экран А что делать если ловим винлокер 22CC6C32.exe, который подменяет собой файлы   userinit.exe и taskmgr.exe притом и в папке dllcache и после перезагрузки реестр   восстанавливается на чистый, но винлокер не пропал и придется лесть в систему   через liveCD и восстанавливать файлы. Всего записей: 29 | Зарегистр. 20-10-2006 | Отправлено: 13:46 06-02-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Закладки » Windows заблокирован!

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование