Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
Neon2

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
inppk, читайте шапку темы Помощь при лечении компьютера от вирусов, делайте логи и вам помогут.

Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 10:25 16-10-2012
zikol

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
inppk
Выложите логи avz и uvs -  найдем причину проблемы.

Всего записей: 645 | Зарегистр. 13-02-2011 | Отправлено: 11:19 16-10-2012
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Необычный попался...
Не совсем блокировщик, точнее шифровщик.

virus.rar
 
Вобщем прислали по мыло в одну контору в архиве Документы.lzh, они радостно открыли и запустили EXE
В результате всё пошифровано. документы, фотки, архивы. и в каждом каталоге бумажка с вот таким содержимым:

Цитата:
КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады !  Вэлком  на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж  
командой Зимбабвийских  пиратов .
Ваши файлы зашифрованы нашим
 морским криптографом Намбо  Ваном.
Если вы, нежадный белый человек
  и не психованный депутат  из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
 на жалкие бумажки именуемые бабками.
 Поверьте, бабло  зло - отдайте его  нам.  
  Алчных  и  неадекватных типов за борт.
       Весёлым и находчивым скидки.  
   У вас три дня до отплытия корабля.  
Для переговоров  собираемся в кают компании, sos на мыло
Номер  компании  11041425
KORSARS@EUROPE.COM

Скачал касперскую софтину RectorDecryptor.exe, не расшифровывает.
Заслал докторвебу с запросом на лечение. Жду.
 
Upd.
Есть предположение, что тело не то.
Так как на виртуалке оно ничего не шифрует.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 14:31 19-10-2012 | Исправлено: ynbIpb, 20:40 19-10-2012
zikol

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Так как на виртуалке оно ничего не шифрует.

Логично, т.к. это уже не является зловредом и поможет избежать уголовной ответственности при определенных условиях. Но это мелочь, т.к. полиция у нас не ловит таких преступников.
Главная причина - при наличии шифровальщика проще сделать расшифровщик.

Всего записей: 645 | Зарегистр. 13-02-2011 | Отправлено: 18:48 19-10-2012 | Исправлено: zikol, 18:53 19-10-2012
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Написал вымогателям, просят 8000р.
Но в итоге удалось расшифровать этим: http://support.kaspersky.ru/downloads/utils/xoristdecryptor.exe
А так заражение произошло точно с этого письма. Там в аттаче был архив  *.lzh с *.doc файлом и этот *.exe Но как я их не мучил, так и не удалось воссоздать ситуацию.
 
Вот оригинал из письма: _http://rghost.ru/41033570
Может быть кому-то удастся воссоздать.
В докторвебе сказали трой был тут: C:\DOCUME~1\user\LOCALS~1\Temp\52RU2U044xb0tX9.exe
Но тела не осталось.
 
 
---------------------
Payal, все логические диски. Куча документов (комп офисный). Ко мне обратились через 3 дня. Сколько оно там шифровалось я не знаю. Пострадали: все офисные форматы, архивы, фотографии. Расшифровывать пойду в понедельник. А пока протестировал на взятых образцах.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 20:00 19-10-2012 | Исправлено: ynbIpb, 20:36 19-10-2012
Payal

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb
какой объём инфы был зашифрован и как быстро?
шутники однако

Всего записей: 878 | Зарегистр. 16-07-2007 | Отправлено: 20:07 19-10-2012
jason32



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поймал вирус в Win7 - Аваст не успел его заблочить, что-то резко как-то все произошло, через Яву, несколько предупреждений, пока нажимал - Ява полезла в сеть, запретил, но уже красуется  winlock.6049.  
   Загрузился в старую windows XP, почистил семерку зараженную, но видимо переусердствовал - заменил по совету выше explorer.exe и остальные два файла, да не заметил, что заменяю файлы с win32 в своей Windows 7 64 максимальная.
В итоге "Explorer.exe Класс не зарегистрирован" и приехали. Думал перекачать, но по ссылке 64-версии только home базовая x64 SP1, и то одного файла не хватает. Или тоже подойдет?  
Если нет - то может кто-нить кинет userinit.exe, explorer.exe и taskmgr.exe со своей  
Windows 7 64 бит Максимальная?  
У меня версия 6.1.7601 SP1 сборка 7601
PS Отбой, sfc все восстановил сам.  
 

Всего записей: 692 | Зарегистр. 08-11-2004 | Отправлено: 03:13 10-11-2012 | Исправлено: jason32, 03:26 10-11-2012
TimUrKaOff



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поймал блокиратор. После его удаления из под Life CD рабочий стол загружается и всё виснет.
В безопасном режиме грузится. Заменял userinit.exe, explorer.exe и taskmgr.exe.
LiveCD Kaspersky Rescue Disk и Dr.Web CureIt! ничего не нашли.
Проверил userinit.exe и explorer.exe в реестре - ничего лишнего нет.
Windows 7 32 бит Максимальная SP1

Всего записей: 63 | Зарегистр. 14-01-2005 | Отправлено: 10:29 12-11-2012 | Исправлено: TimUrKaOff, 10:30 12-11-2012
zikol

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TimUrKaOff
AntiSMS?

Всего записей: 645 | Зарегистр. 13-02-2011 | Отправлено: 19:21 12-11-2012
TimUrKaOff



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
TimUrKaOff  
AntiSMS?

Использовал - AntiWinLockerLiveCD и AntiSMS
Вошёл в систему, установил KIS 2012, когда пытался обновиться - увидел - что сеть не работает. Прошарил на старых базах - 0.
В Центре управления - Не удалось запустить дочернюю службу. В диспетчере обрудования все сетевые адаптеры с восклицательными знаками. Удалить устройства не удавалось.
 
Импортом кустов восстановил все службы по дефолту.  
После перезагрузки - снова та же картина - рабочий стол блокируется.
Повторное применение AntiWinLockerLiveCD и AntiSMS результата не дало.

Всего записей: 63 | Зарегистр. 14-01-2005 | Отправлено: 01:16 13-11-2012
Sphinx114



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TimUrKaOff, попробуй AVZ > Файл > Восст. настроек (там выбрать всё, кроме 6 и 18)

Всего записей: 1201 | Зарегистр. 26-03-2011 | Отправлено: 07:20 13-11-2012
TimUrKaOff



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
TimUrKaOff, попробуй AVZ > Файл > Восст. настроек (там выбрать всё, кроме 6 и 18)

После AVZ загрузить систему удалось. Базы на KIS 2012 обновил. Полная проверка ничего не выявила.
Сеть недоступна. В Центре управления всё так же - Не удалось запустить дочернюю службу.  Уже и запускал проверку целостности. Ряд служб не запускается - Нет доступа.  
Скорее всего моему сисадмину придется переустанавливать систему, другого выхода не вижу. (Самое обидное - кроме рабочих сайтов и одного сайта, детского, нигде не был - на работе стоит нод32, дома стоит кис2012 - хождения по таким дебрям, и всё Ок. Извините за флейм.)

Всего записей: 63 | Зарегистр. 14-01-2005 | Отправлено: 10:03 13-11-2012
olzaruta



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Винлокер СВЕЖАК!
 

 
сам файл http://rghost.ru/41683786 ( 2012 )
 
https://www.virustotal.com/file/e724c90e4b794b68c5b1c0d6125fd9cb52d78903b1822621ecc406f32d0068c2/analysis/

Всего записей: 317 | Зарегистр. 15-01-2012 | Отправлено: 00:35 20-11-2012 | Исправлено: olzaruta, 07:51 20-11-2012
gold_boy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Последнее время попадаются машины у которых в сетевых подключениях нечего не присваивается не IP, не DNS. В "Сведениях" сетевого подключения вобще всё пусто.  И инета соответственно нету. Делал восстановление системы в AVZ, безрезультатно. Кто с подобным сталкивался?

Всего записей: 581 | Зарегистр. 04-07-2007 | Отправлено: 21:40 16-12-2012 | Исправлено: gold_boy, 21:41 16-12-2012
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gold_boy, система XP? Антивирус Avast?
Если да, то был массовый падёж по причине ложной сработки аваста. Он убивает TCP IP протокол. В сети есть фикс...

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 21:48 16-12-2012
LaVladimir

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gold_boy
ynbIpb
вот оно )))

Всего записей: 683 | Зарегистр. 03-02-2007 | Отправлено: 21:54 16-12-2012
gold_boy

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Похоже что да. Щас сам тока что прочитал http://forum.ru-board.com/topic.cgi?forum=62&topic=25454#4

Всего записей: 581 | Зарегистр. 04-07-2007 | Отправлено: 21:55 16-12-2012
tshudini



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что случилось с писателями вин-блокеров? Уж и праздники на носу, а я забыл уже когда вызывали последний раз на снятие очередного порно-банера.((

Всего записей: 504 | Зарегистр. 17-05-2008 | Отправлено: 00:05 20-12-2012
folta

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tshudini
отмирают. как и пророчил)
 
сейчас впору создавать тему про шифровальщики.
но там более ювелирная работа и упор на всевозможные база (1С и т.д)
и пока платят. стонут, пинают админов, но платят.
так что ждем очередного билдера-шифровальщики под rsa 1024 и вопли попаданцев.
школота ещо отомстит за гонения блокеров,.
вот напишут им билдер D)

Всего записей: 1177 | Зарегистр. 24-11-2010 | Отправлено: 01:46 20-12-2012
svin88

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
olzaruta  можно поподробнее как выковырял из системы именно этот вин-блокер   у меня друг на работе поймал именно его - у него winxp   куда садится вирус в систему как файл обычно называется портит ли загрузочный сектор   загрузил ему комп с LiveCD - AVZ поставил на ночь чтоб просканировал

Всего записей: 274 | Зарегистр. 11-06-2009 | Отправлено: 20:06 20-12-2012 | Исправлено: svin88, 20:11 20-12-2012
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru