ZverDVD - Лучшая сборка во всем Рунете!
 http://forum.zverdvd.org/viewtopic.php?p=1179Правила конференции 
 ТемыТемы   FAQFAQ   ПоискПоиск   ГруппыГруппы   РегистрацияРегистрация 

Windows Заблокирован - SMS Похоже грибы были псилофиты
На страницу Пред.  
1, 2
Если ваш антивирус нашел что то подозрительное в сборке!!!
 
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
 
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция
Предыдущая тема :: Следующая тема  
Автор Сообщение
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 33
Стаж: 9 лет 6 месяцев и 8 дней
Сообщения: 1021
Благодарности: 739/570
Откуда: Санкт-Петербург
ICQ: 364682576

Сообщение10.05.2011 22:01  Windows Заблокирован - SMS Похоже грибы были псилофиты Ответить с цитатой

 Скрытый текст   Скрытый текст 


Почти все из нас сталкиваются периодически с блокерами и порнобанерами.
В связи с этим и создана эта тема.


Ресурсы, на которых можно найти коды разблокировки.
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 

Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав
 Скрытый текст  и раздел  Скрытый текст  .

Квинтэссенция темы
 Спойлер

Все СМС-вымогатели, блокирующие Ваш компьютер, направлены только на обогащение их создателей. Вместе с ними удается обогатиться еще недобросовестным людям из сервисных и не сервисных центров, которые часто вместо быстрого лечения от блокираторов, предлагают платную переустановку системы, естественно вместе с платной переустановкой софта, пересохранения нужной пользователю информации, потери пользовательских настроек присутствовавших в системе.
Не спешите помогать этим людям в их корыстных целях.
Попробуйте сначала самостоятельно избавиться от этих вымогателей.


ЧАВО (FAQ) по материалам этой темы
 Спойлер

Вопрос: А каким образом происходит заражение?
Ответ: На сайтах с подозрительной и не очень подозрительной тематикой всплывает окошко якобы для установки кодеков или еще чего нибудь, вы соглашаетесь и становитесь активным участником SMS Похоже грибы были псилофиты

Вопрос: У меня установлен антивирус, значит мне SMS Похоже грибы были псилофиты не грозит?
Ответ: Как правило, антивирусы пропускают эту заразу, да и не редко пользователь сам из любопытства жмет на разные цацки на Похоже грибы были псилофиты сайтах, игнорируя вопли антивирусов.

Вопрос: Если баннер закрывает весь экран и ничего не дает сделать, что можно предпринять?
Ответ: Во время сообщения баннера вызываете экранную клавиатуру, там в свойствах вкладка "перейти на веб-узел майкрософта" кликаете, он открывает вам эксплорер, и с него ходите по компу и удаляете всю гадость, только не кликайте на окно Похоже грибы были псилофиты, иначе все свернется

Вопрос: Была сделана переустановка системы дважды с полным форматированием дисков, но проблема осталась
Ответ: Если терять на диске уже нечего, форматировалось все, что можно было отформатировать, а зараза опять появляется из ниоткуда и есть подозрение на MBR вирус(их недавно несколько свежих родилось), то вот мой личный план действий.
1. Для надежности обнуляю и заново настраиваю BIOS(обжегшись на молоке стоит подуть и на водку).
2. Запускаю с компакт диска Victoria, стартую тест поверхности в режиме erase 256 sect. Затираю всю нулевую дорожку вместе с MBR. Получаю неинициализированный диск, как будто с завода.
3. Запускаю установку системы на неразмеченное пространство с нарезанием основного раздела нужной формы в процессе установки.
4. Проверяю на свежеустановленной системе выход в инет, на почту и т.п.
5. Скачиваю свежую версию антивируса и устанавливаю. (собственными перезаписываемыми носителями пока не пользуюсь до обеспечения надежной антивирусной защиты).
6. Отключаю к чертовой матери автоплей со всех носителей, запускаю сканирование всех флешек подряд антивирусными сканерами, флешки открываю только в тотал командере с отключенным показом иконок.(Stuxnet использует как раз уязвимость винды при использовании иконок).


Вопрос: Куда можно жаловаться на SMS Похоже грибы были псилофиты?
Ответ: В полицию и  Скрытый текст 

Вопрос: После перезагрузки пустой экран(без рабочего стола)
Ответ: Удали ключ реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Debugger"="ntsd -d"


Вопрос:
Ответ:

 Скрытый текст 

Желающим попробовать свои силы в самостоятельном удалении баннера:
 Скрытый текст  : применим в случае если файл userinit.exe заменён файлом локера.
 Скрытый текст  : применим в случае если файл userinit.exe не заменён файлом локера
 Скрытый текст  : применим в случае если модифицирована загрузочная запись (MBR)
 Скрытый текст  : применим при удалении локера "22CC6C32"
 Скрытый текст  : Удаление локера AS
Все операции проводить ТОЛЬКО на виртуальной машине (VirtualBox, входит в состав WPI)


Проект Уважаемого модератора glax24:
 Скрытый текст 

Еще несколько вариантов удаления локеров.
 Скрытый текст 
Antiwinlocker LiveCD с сайта
 Скрытый текст 
Winlocker:
 Скрытый текст  .  Скрытый текст  .  Скрытый текст 
_________________
Не профи, но для любителя тоже неплохо...
================================
 Скрытый текст 
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
glax24
LuckyHunter
LuckyHunter


Возраст: 36
Стаж: 9 лет 8 месяцев и 27 дней
Сообщения: 355
Благодарности: 500/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение08.03.2012 8:39   Ответить с цитатой

 Скрытый текст 

 Скрытый текст 
Если вы столкнулись с данным типом mbrlock.19, для лечения попробуйте подбор кодов.
 Скрытый текст 
 Скрытый текст 

Если подбор кодов не помог, воспользуйтесь
 Скрытый текст 
_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 
Поблагодарили(3): se5dat, gerat80, ivannovv
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
glax24
LuckyHunter
LuckyHunter


Возраст: 36
Стаж: 9 лет 8 месяцев и 27 дней
Сообщения: 355
Благодарности: 500/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение13.03.2012 18:34   Ответить с цитатой

Новый винлок блокирует систему, меняя пароль пользователя
13 марта 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.

Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729.

Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.

Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.

Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.

Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.
 Скрытый текст 
_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 
Поблагодарили(6): S0ier, Pagapa, TPACCEP, AlienEagle, YikxX, challenger80
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
irchat
Ёжик



Стаж: 7 лет 11 месяцев и 3 дня
Сообщения: 1




Сообщение14.03.2012 15:23   Ответить с цитатой

Ловил такую же заразу, изменение MBR. Ставил диск с Акрониксом как загрузочный ( с выставлением в BIOSе), в востановлении галочки на востановление радела С и MBR. Помогло и быстро. Хорошо иметь копию раздела С. Rolling Eyes
Вернуться к началу
irchat сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
down
Ёжик


Возраст: 33
Стаж: 10 лет 6 месяцев и 18 дней
Сообщения: 16
Благодарности: 100/1



Сообщение16.03.2012 7:44   Ответить с цитатой

 Скрытый текст  Не в качестве рекламы, а в качестве ознакомления. Образ скачал, опробую позже.
Поблагодарили(1): challenger80
Вернуться к началу
down сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
Ded_T.s
Jast Che Burashka


Возраст: 29
Стаж: 10 лет 11 месяцев и 1 день
Сообщения: 266
Благодарности: 593/316
Откуда: РФ. Карелия. Костомукша
ICQ: 312446371

Сообщение19.03.2012 18:08   Ответить с цитатой

down писал(а):
 Скрытый текст  Не в качестве рекламы, а в качестве ознакомления. Образ скачал, опробую позже.

Пробовал. Помогает. Грузить нужно сначала любой LiveCD с поддержкой флешек. А с флешки уже запускал эту утилиту. Опробована на 3х баннерах. К сожалению имен троянцев и скиншотов нет.

_________________
Вернуться к началу
Ded_T.s сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
ego76
Леопард


Возраст: 32
Стаж: 10 лет 3 месяца и 27 дней
Сообщения: 178
Благодарности: 123/132
Откуда: UA, Mariupol
ICQ: 468238278

Сообщение20.03.2012 1:23   Ответить с цитатой

недавно пролечивал MBRLock.06
при помощи утилиты fix mbr с загрузочного носителя запустил винду а в ней уже свежим CureIt'ом в режиме усиленной защиты вывел всю заразу.

_________________
Читаем  Скрытый текст 
Вернуться к началу
ego76 сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ] Посетить сайт автора
andreyru_v
Ёжик


Возраст: 30
Стаж: 8 лет 2 месяца и 29 дней
Сообщения: 1
Благодарности: 0/9
Откуда: Украина, Винница
ICQ: 366964102

Сообщение26.04.2012 16:33   Ответить с цитатой

down писал(а):
 Скрытый текст  Не в качестве рекламы, а в качестве ознакомления. Образ скачал, опробую позже.

MBR-Locker вымогал 1900 руб. на номер МТС 89854585991. Варианты с использованием Kaspersky Rescue Disk (24.04.2012), AntiWinLockerLiveCD v3.3, Bootice v0.8.1, консоли восстановления (fixmbr и fixboot) результатов не дали.
При вводе в качестве кода "PASSWORD" появлялась надпись "Loading OS. Error Loading operating system. Press Ctrl+Alt+Del to restart.". После перезагрузки получал исходную картину.
Вопрос был решен при помощи AntiSMS v1.8.4.

_________________
Вернуться к началу
andreyru_v сейчас оффлайн Посмотреть профиль Отправить личное сообщение   Посетить сайт автора
FLASH1K
Ёжик



Стаж: 6 лет 3 месяца и 1 день
Сообщения: 1
Благодарности: 0/1



Сообщение16.05.2012 23:48   Ответить с цитатой

Vovva
по поводу вашего метода.
Вот я на днях подхватил подобный МБР-вин-локер, после фиксМБР сообщение вируса исчезло и начало писать "invalid partition table". При этом Acronis Revovery Expert и никакой другой софт Акроникса не находил мои разделы. Единственое что находило их - Power Data Recovery. Так и не нашел оптимальное решение, через эту Power Data Recovery поперекидывал на флешку основные важные данные и полностью форматнул винт. Crying or Very sad
Вернуться к началу
FLASH1K сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
АрПи
Леопард


Возраст: 30
Стаж: 10 лет и 6 дней
Сообщения: 163
Благодарности: 103/88
Откуда: Иркутск
ICQ: 229158369

Сообщение17.05.2012 8:42   Ответить с цитатой

FLASH1K
попробуйте winhex. возможно, он сможет найти toc по сигнатурам.
Вернуться к началу
АрПи сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 33
Стаж: 9 лет 6 месяцев и 8 дней
Сообщения: 1021
Благодарности: 739/570
Откуда: Санкт-Петербург
ICQ: 364682576

Сообщение17.05.2012 8:53   Ответить с цитатой

FLASH1K

На неделе было что-то похожее, возможно последствия локера.

Смотрел ноут, на котором переустановили ОС и после ререустановки перестал открываться диск с данными.

R-studio выполнил сканирование диска, программа увидела файлы, но при открытии из проводника программа просила форматировать диск.

Восстановил с помощью программы Partition table doctor, сначала сканировал диск, а потом выполнил Rebuild таблицы разделов.

_________________
Не профи, но для любителя тоже неплохо...
================================
 Скрытый текст 
Поблагодарили(1): gerat80
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение [ скрыт ]
glax24
LuckyHunter
LuckyHunter


Возраст: 36
Стаж: 9 лет 8 месяцев и 27 дней
Сообщения: 355
Благодарности: 500/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение04.06.2012 9:05   Ответить с цитатой

Вниманию пользователей, пострадавших от блокировщика файлов lockdir.exe и фишинга якобы от Сбербанка!
Порталу VirusInfo.Info, через проверенного человека, стал известен код, который возможно подойдет пользователям для разблокировки их файлов.

Итак, внимание, код: FgmwH4hdh+S54hsdf/fhdfbs7

_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 
Поблагодарили(2): gerat80, SergM
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция Часовой пояс: GMT + 3
На страницу Пред.  
1, 2
Страница 2 из 2

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
 

Anti Bot Question MOD - phpBB MOD against Spam Bots
Заблокировано регистраций / сообщений: 163718 / 329


Powered by phpBB © 2001, 2005 phpBB Group
Яндекс.Метрика