Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Craker, тельце бы сего зверя пошупать (именно тот файл который прислали)
Винлокеры становятся всё изощрённее, уже значит с встроенным ICQ ботом.
  Сколько лет ребёнку, что не может отличить расширение фотки от иного?

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 20:08 25-01-2010 | Исправлено: ynbIpb, 20:09 25-01-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток! На одной из машин поймали очередной винлокер (который был plugin.exe). "Специалисты хреновы" посчитали себя самыми умными, никого не спросив, удалили его (возможно и еще что-то с ним вместе), а сейчас в результате запустить вообще ничего нельзя. При загрузке просто черный экран без всяких окон. Еще не смотрел. По результатам отпишусь.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 08:28 26-01-2010
pompon



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
CrakerИ у KIS и у DrWeb сиё чудо в базах(добавлены 17 января) и детектируется и лечится,базы обновлены были?
ynbIpb
Если нужно могу прислать,стукни в асю.

Всего записей: 882 | Зарегистр. 14-10-2007 | Отправлено: 09:44 26-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Если нужно могу прислать,стукни в асю.
, если палится уже не интересно.

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 10:01 26-01-2010
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
На одной из машин поймали очередной винлокер (который был plugin.exe).

Разобрался. Просто попутно еще и слетел драйвер NVidia. В безопасном режиме загрузился вместе с винлокером. Драйвер переустановил. Вирус был не plugin.exe. Уже известный розовый порнобаннер.

Цитата:
Вы установили банер для доступа на наш сайт. Срок действия банера 30 дней. Если вы хотите прекратить действие банера ранее установленного срока, то отправьте SMS по указанному номеру и введите код удаления. Суппорт. Отправьте SMS с текстом 733167 на номер 9800. Введите полученный код: ( ) удалить банер

Живет: C:\Program Files\Internet Explorer\svcnost.exe, закачан был скриптовым загрузчиком Trojan.Click.37869 с помощью файла C:\WINDOWS\system32\netprotocol.#ll. Скорее всего подцепили где-то на сайте. После удаления файлов и подчистки реестра

Цитата:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Internet Explorer\svcnost.exe
Все пришло в норму. Может кому пригодится.
 
 
Добавлено:
Антивирусник файлы не удалил, нужно удалять вручную.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 10:50 26-01-2010
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вчера был очень сложный случай: установленный DrWeb в дауне и запуск других программ блокирован, утилиты не находят при запуске с LiveCD, отключена система восстановления винды (сбока Зверя будь она неладная со своими твиками).
При запуске любых программ окно ЛЖЕ-антивируса вымогателя, ключ разблокировки не подходит.
Чистка файлов вируса вручную, загрузившись с флехи (ALKID). Восстановление ключа запуска Эксплорера:
"Shell"="Explorer.exe rundll32.exe ovjp.fbo tklvr" из-под ERD-коммандера.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 09:45 27-01-2010 | Исправлено: IvANANvI, 09:48 27-01-2010
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IvANANvI
ну разве это сложный случай, если вы справились двумя прогами..
вот слыхал, но не видел
вирус лочит помимо винды и сидюк
вот это радость, один выход подцеплять к здоровой машине и чистить

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 10:40 27-01-2010
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интересно как он лочит CD если запуск LiveCD  происходит при выключеной ОС ?

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 11:01 27-01-2010
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb
сам задавался этим вопросом, но встречал на вирусинфо именно такие симптомы

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 11:54 27-01-2010 | Исправлено: tahirg, 11:55 27-01-2010
Vigorous



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Интересно как он лочит CD если запуск LiveCD  происходит при выключеной ОС  

да быть такого не может...

Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 11:56 27-01-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tahirg
Как официальный хелпер VI заявляю: это невозможно! А описанные симптомы действительно имели место, но были связаны не с вирусом, а с кривыми руками и настройками BIOS.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:00 27-01-2010
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Поражает тот факт, что все что мы тут рекомендуем очень оперативно вносится вирусописателями в код вируса.
Пример: они теперь не имеют атрибутов скрытости, либо не прячутся в системных папках.
сами отключают систему восстановления винды,
не дают создавать нового пользователя,
не дают запустить офисных программ,
пока дают запустить волков коммандер , но дальше из-под него ничего не запускается либо запускается, но банер вымогатель. Кстати где в реестре ключ запуска программ восстановить, чтоб через альтернативную загрузку решать все это. Жаль, что этого не может делать AVZ погрузив реестр зараженной машины, было бы очень клево!!

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 12:08 27-01-2010 | Исправлено: IvANANvI, 12:09 27-01-2010
Vigorous



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
IvANANvI

Цитата:
Поражает тот факт, что все что мы тут рекомендуем очень оперативно вносится вирусописателями в код вируса.

естественно, деньги то не хилые  
народ то в первую очередь шлет смс и не по одной

 
это нужно рубить на корню, у опососа,  
они только повышают максимальную цену смс
тем самым поощряя вирусописателей
 
песня - "пока живут на свете..." будет во все времена актуальной...

Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 12:17 27-01-2010
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
тогда сорри, сам и других ввёл в заблуждение

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 12:24 27-01-2010
dmitri23



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добавил в шапку RansomHide, найденную на просторах инета, обновляется постоянно

----------
Кому не нравиться, тот может выйти покурить, перебьемся так и быть

Всего записей: 646 | Зарегистр. 02-02-2006 | Отправлено: 13:57 27-01-2010
Dominion



Тыг-дым, тыг-дым
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
dmitri23
Спасибо, сайты шапке не помогли, софтинка выручила.


----------
Сегодня я буду кутить. Весело, добродушно, со всякими безобидными выходками. © Король

Всего записей: 5471 | Зарегистр. 16-04-2002 | Отправлено: 14:50 27-01-2010
Milk



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Интересно как он лочит CD если запуск LiveCD  происходит при выключеной ОС ?  

 

Цитата:
tahirg
Как официальный хелпер VI заявляю: это невозможно! А описанные симптомы действительно имели место, но были связаны не с вирусом, а с кривыми руками и настройками BIOS.
 

 
ЭЭЭ, требует скорей конкретизации:
 
1.Не все гаджеты где стоит Windows это традиционная сборка ПК с кнопкой эджект на CD
, возьмите например IMAC7  где эджект происходит программным образом и(или)  
волшебной комбинацией клафиш, о которой большинство пользователей просто не знают или не хотят заморачиваться этим знанием.
 
2.Скорей всего tahirg  просто не понял, предполагаю что шла речь о программной блокировке, с подменой драйвера от CD. От такой разновидности сам лечился.(также дважды было замечена подмена драйвера звуковой).
 
 
В этих случаях использовался старый Реаниматор 2007 и "касперский ремовал тоолс" + AVZ
Или Флешкой(картой) с установленными на них рековери диск Касперского, через мультибут или аналогичных.  
 
 
 

Всего записей: 5 | Зарегистр. 30-01-2006 | Отправлено: 15:32 27-01-2010 | Исправлено: Milk, 15:34 27-01-2010
Billtm



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hohkn
На выходных чистил его, но немного другой, тоже были plugin.exe и netprotocol, но был еще вирусняк подстроился даже по дате установочных файлов винды сп3, но спалился тем, что нельзя было его просмотреть, был заблочен, разлочил unlocker'ом и NOD его тут же схавал как вирус. Так же пришлось чистить ветку реестра в HKLM и HKCU Winlogon, там много было запчастей от вируса этого.
ЗЫ. А отключать систему восстановления винды очень даже полезно, иначе меяя этот круговорот достаёт: NOD удаляет из system32 вирус, система восстановления восстанавливает его назад. Лучше уж делать образ акронисом, и если что откатывать систему с помощью его.
Если уж вирус не даёт ничего запускать, лучше всего помогает винда с LiveCD, загрузился, прогнал антивирусом комп, подключил реестр, почистил его и запустил комп.
И пользовался для удаления с экрана этого розового банера таким способом:
На компе был установлен Total Commander с плагином "Диспетчер задач", запускал его, переходил в диспетчер задач и убивал процесс plugin.exe, дальше утилитой CureIt вычищал комп.

Всего записей: 544 | Зарегистр. 11-10-2004 | Отправлено: 15:38 27-01-2010 | Исправлено: Billtm, 16:33 27-01-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Milk
У СМС-вымогателей дров не подменяется - максимум инфицируется. При этом основной функционал не меняется, просто так себя скрывает вирусная компонента.
 
Я ОЧЕНЬ сомневаюсь в том, что вирусописатель будет издавать версию, нацеленную на узкую аудиторию пользователей именно с такими приводами. И точно так же я сомневаюсь, что в приводе нет возможности экстренного открывания лотка (ака "метод скрепки").
 
Вирусов, которые поражают BIOS, всего два и оба неактуальны

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:51 27-01-2010
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Очень интересный проект для лечения подобных зараз.
http://dsrt.jino-net.ru/uvs.htm
Billtmх
В том то и дело, что простой прогон антивирусом поможет только после добавления этих сигнатур в базы, а это случится не скоро при условии их постоянного обновления и малой времени жизни. Без ручного вмешательства здесь не обойтись.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:51 27-01-2010 | Исправлено: IvANANvI, 15:55 27-01-2010
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru