Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
sergei1963



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Чтение  постов  не сильно помогло, так как комп вообще не реагирует.  
Пока прогоняю через Live CD повторно, посмотрим что покажет.  
 Ну а потом полазаем в реестре.
 

Всего записей: 302 | Зарегистр. 15-03-2008 | Отправлено: 09:53 16-05-2011
NaxAlex

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergei1963
Лазить в реестре уже надо начинать, и править ключи...

Всего записей: 1087 | Зарегистр. 21-11-2004 | Отправлено: 10:04 16-05-2011
sergei1963



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
NaxAlex
Я бы с удовольствием, но 2 но. Сканер Live CD работает- ничего не работает.
И если Вы знаете какие ключи править и где(Я не силен в этом) то скинте в ящик пути, что бы здесь не сильно флудить.  

Всего записей: 302 | Зарегистр. 15-03-2008 | Отправлено: 10:45 16-05-2011
NaxAlex

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergei1963
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Shell должен быть Explorer.exe и параметр Userinit, C:\WINDOWS\system32\userinit.exe,

Всего записей: 1087 | Зарегистр. 21-11-2004 | Отправлено: 11:07 16-05-2011
Neon2

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergei1963. проще воспользоваться Universal Virus Sniffer. Запустить, загрузившись с LiveCD, выбрать пункт "Bыбpaть кaтaлoг Windows (выбpaнa aктивнaя cиcтeмa)", указать папку Windows заражённой системы, снять галки с "Bыгpyжaть нeизвecтныe DLL из uVS (вoзмoжны cбoи в paбoтe uvs)" и с "Зaмopaживaть вce пoтoки внeдpяeмыe в uVS (вoзмoжны cбoи)", нажать на "Запустить под текущим пользователем". Пункт меню "Дополнительно" -> "Очистить корзину, удалить временные файлы, затем удалить ссылки на отсутствующие", потом "Дополнительно" -> "Твики" -> "Сброс ключей Winlogon в начальное состояние".

Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 11:37 16-05-2011 | Исправлено: Neon2, 11:59 16-05-2011
sergei1963



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
C Вашего позволения пусть до завтра все останеться, сегодня уже голова кипит. Да и комп на работу унес. Что не будет получаться буду спрашивать.  

Всего записей: 302 | Зарегистр. 15-03-2008 | Отправлено: 13:50 16-05-2011
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
sergei1963
Судя по номеру телефона вымогателя, у вас простой случай как у ynbIpb пост: http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=1480#10  
Главное не забыть восстановить userinit.exe.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 14:24 16-05-2011 | Исправлено: IvANANvI, 14:27 16-05-2011
papados



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да порнобанер может вообще антивирусником никогда не определятся,надо конкретно смотреть что он прописал в автозагрузку и убирать  этот его "сценарий" и ключи explorer и userinit  в ветке winlogon восстанавливать если те испорчены,или к ним что то дописано как часто бывает. чем и хорош erd. там все наглядно -нагляднее некуда. в принципе способ с тоталом хорош по датам можно увидеть абракодабрские ексешники и удалить в  sistem32,windows,папке пользователя.но реестр восстановить все равно придется.

Всего записей: 150 | Зарегистр. 09-01-2007 | Отправлено: 14:56 16-05-2011 | Исправлено: papados, 15:00 16-05-2011
INKOGNI



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sergei1963

Цитата:
Цитата:
Попробуйте этим: http://www.esetnod32.ru/.download/livecd/  
 
Мне или нет, как то безадресно.

Да, Вам, если доктор веб ничего не нашел после проверки, то попробуйте livecd nod32.
Цитата:
http://zalil.ru/31044628 (NOD32 палит криптор, которым накрыт зловред)  

Если палит, то найдет. Но вот по поводу восстановления оригинальных файлов и записей в реестре вряд ли поможет. Так что это отдельно скорее всего придется восстанавливать.

Всего записей: 1355 | Зарегистр. 09-01-2006 | Отправлено: 17:48 16-05-2011
sergei1963



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
День добрый! Хочу отписаться.
 Во первых-LiveCD нашел всякого г-на, но не то, что нужно.
Ребята загрузили с флешки операц. систему и скопировали нужные файлы, ненужные удалили(как на словах легко!)
 Вообщем действовали по описаниюynbIpb, пост с описанием борьбы с гнидами, оказался вовремя в нужном месте
Ну и всем большое спасибо за участие и за помощь.
 
Ну еще хотелось бы добавить,
После разблокировки компа, полазили по истории посещения интернета.  
Глюкнулся комп после посещения ссайтика http://zvukoff.ru/

Всего записей: 302 | Зарегистр. 15-03-2008 | Отправлено: 08:02 17-05-2011 | Исправлено: sergei1963, 08:43 17-05-2011
INKOGNI



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
касперский тоже добавил эту дрянь в детект. Ну а на сайте ничего подозрительного вроде бы не нашел, кроме того, что мозилла пишет предупреждение о том, что сайт атакует компьютеры...

Всего записей: 1355 | Зарегистр. 09-01-2006 | Отправлено: 11:10 17-05-2011 | Исправлено: INKOGNI, 11:11 17-05-2011
gold_boy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чё то мое предложение выложить userinit.exe и taskmgr.exe  для всех операционак не кто не поддержал. На мой взгляд очень удобно было бы.

Всего записей: 581 | Зарегистр. 04-07-2007 | Отправлено: 11:36 17-05-2011
INKOGNI



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Чё то мое предложение выложить userinit.exe и taskmgr.exe  для всех операционак не кто не поддержал. На мой взгляд очень удобно было бы.

Я за, кому-нибудь пригодится...

Всего записей: 1355 | Зарегистр. 09-01-2006 | Отправлено: 11:39 17-05-2011
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ynbIpb
Очень интересно как Вы узнали, что вирус пролез через эксплоит в яве?
Спасет ли при этом типе заражения гостевой запуск браузера? Мне кажется, что браузерописатели должны взять на заметку запуск из под гостевой учетки, тогда можно будет гордится не пробиваемостью своего детища. Поскольку заставить пользователей винды работать с ограниченными правами не удается.
 

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 11:39 17-05-2011 | Исправлено: IvANANvI, 11:45 17-05-2011
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Очень интересно как Вы узнали, что вирус пролез через эксплоит в яве?  
 Спасет ли при этом типе заражения гостевой запуск браузера?

Пришёл к выводу, так как была установлена старая версия явы и пациент перед появлением видел окошко явы посередине. Ну на самом деле в таких клоаках ставят связки эксплоитов, оно поочерёдно перебирет все варианты и в итоге пролезает.
  В режиме запуска от гостя спасёт точно (если у них нет эксплоита на повышение привелегий пользователя конечно). Гость не имеет прав на запись даже на диске D:\

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 13:21 17-05-2011
sergei1963



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
INKOGNI
Кстати, с рабочего компа попытался войти на этот сайт, лис его не пропустил. А вот опера?????????дома ......!

Всего записей: 302 | Зарегистр. 15-03-2008 | Отправлено: 02:26 18-05-2011
RAVIN202



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тоже  несколько раз боролся с новыми блокираторами которые подменяют userinit.
Сначала прохожусь UVS - удаляю темпы и другой хлам, делаю сброс ключей winlogon, чищу hosts( на всякий)
Далее просматриваю/редактирую автозагрузку с помощью AutoRuns.
Копирую в винду userinit.exe explorer.exe taskmgr.exe
Просматриваю/редактирую опасные области корень С, C:\Documents and Settings\Юзеры,  C:\Documents and Settings\Юзеры\Application Data\  
По возможности сканирую Documents and Settings и Windows  cureit-ом, но обычно лениво ждать.
В последний раз после всех этих действий, загрузил лечимую винду и через минут пять работы блокиратор выскочил снова (правда на компе был подключен интернет).
Вобщем не стал парится и сделал восстановление системы на точку, но это хорошо, что винда была нормальная, а во всяких зверях восстановление отключено, вот тогда бы думаю пришлось бы повозиться.
Интересно где-же еще могла бяка быть?
 
При проверке тоже наблюдал вирус в яве.
 
Кому нужны userinit.exe и taskmgr.exe вот народ уже постарался: http://antivir.h18.ru/metodika/0030.html
 
Вот еще любопытная прога, надо будет поиспытывать: http://demenev.ucoz.ru/load/

Всего записей: 16 | Зарегистр. 20-10-2008 | Отправлено: 02:27 18-05-2011
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
сделал восстановление системы на точку

Что чревато восстановлением зверья. Лучше вручную - только файлы реестра.

Цитата:
Интересно где-же еще могла бяка быть?

В любом месте (корни других дисков, например), - не имеет значения, если пропущена запускающая запись.

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 02:47 18-05-2011
RAVIN202



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
После восстановления системы, все действия по списку.
Erekle если знаете какие еще файлы реестра смотреть, пишите не стесняйтесь.
 
Что бяка может быть в любом месте и так понятно, конкретные места дислокации, на примере последних локеров в студию.

Всего записей: 16 | Зарегистр. 20-10-2008 | Отправлено: 03:21 18-05-2011
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Раз в uVS нет функции штатного восстановления, а наоборот - есть его отключение, а Винда попалась нормальная, значит, копий, созданных с uVS, там не было, - выходит, делали штатным средством (ERD или как).
 
После восстановления нет смысла искать "какие ещё" файлы - не во второй же раз заменять?
Копия реестра - те файлы, что лежат в папке восстановления > RР** > Snapshot. Разумеется, с нужным переименованием и в соответствующие места (пять - в system32/config, ntuser.dat - в папку профиля пользователя). Естественно, с резервным сохранением имеющихся (активных) файлов.
 
Штатное восстановление возвращает на место не только реестр, но и вирусы (имеющиеся там с большой вероятностью); кстати, возвращает и реестр с нежелательными записями, если копия создавалась после заражения.

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 03:58 18-05-2011 | Исправлено: Erekle, 04:02 18-05-2011
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru