ZverDVD - Лучшая сборка во всем Рунете!
 http://forum.zverdvd.org/viewtopic.php?p=1179Правила конференции 
 ТемыТемы   FAQFAQ   ПоискПоиск   ГруппыГруппы   РегистрацияРегистрация 

Windows Заблокирован - SMS лохотрон
На страницу
1, 2  След.
Если ваш антивирус нашел что то подозрительное в сборке!!!
 
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
 
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция
Предыдущая тема :: Следующая тема  
Автор Сообщение
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 39
Стаж: 15 лет 1 месяц и 22 дня
Сообщения: 1171
Благодарности: 780/579



Сообщение10.05.2011 22:01  Windows Заблокирован - SMS лохотрон Ответить с цитатой

 Скрытый текст   Скрытый текст 


Почти все из нас сталкиваются периодически с блокерами и порнобанерами.
В связи с этим и создана эта тема.


Ресурсы, на которых можно найти коды разблокировки.
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 

Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав
 Скрытый текст  и раздел  Скрытый текст  .

Квинтэссенция темы
 Спойлер

Все СМС-вымогатели, блокирующие Ваш компьютер, направлены только на обогащение их создателей. Вместе с ними удается обогатиться еще недобросовестным людям из сервисных и не сервисных центров, которые часто вместо быстрого лечения от блокираторов, предлагают платную переустановку системы, естественно вместе с платной переустановкой софта, пересохранения нужной пользователю информации, потери пользовательских настроек присутствовавших в системе.
Не спешите помогать этим людям в их корыстных целях.
Попробуйте сначала самостоятельно избавиться от этих вымогателей.


ЧАВО (FAQ) по материалам этой темы
 Спойлер

Вопрос: А каким образом происходит заражение?
Ответ: На сайтах с подозрительной и не очень подозрительной тематикой всплывает окошко якобы для установки кодеков или еще чего нибудь, вы соглашаетесь и становитесь активным участником SMS лохотрона

Вопрос: У меня установлен антивирус, значит мне SMS лохотрон не грозит?
Ответ: Как правило, антивирусы пропускают эту заразу, да и не редко пользователь сам из любопытства жмет на разные цацки на лохотронных сайтах, игнорируя вопли антивирусов.

Вопрос: Если баннер закрывает весь экран и ничего не дает сделать, что можно предпринять?
Ответ: Во время сообщения баннера вызываете экранную клавиатуру, там в свойствах вкладка "перейти на веб-узел майкрософта" кликаете, он открывает вам эксплорер, и с него ходите по компу и удаляете всю гадость, только не кликайте на окно лохотрона, иначе все свернется

Вопрос: Была сделана переустановка системы дважды с полным форматированием дисков, но проблема осталась
Ответ: Если терять на диске уже нечего, форматировалось все, что можно было отформатировать, а зараза опять появляется из ниоткуда и есть подозрение на MBR вирус(их недавно несколько свежих родилось), то вот мой личный план действий.
1. Для надежности обнуляю и заново настраиваю BIOS(обжегшись на молоке стоит подуть и на водку).
2. Запускаю с компакт диска Victoria, стартую тест поверхности в режиме erase 256 sect. Затираю всю нулевую дорожку вместе с MBR. Получаю неинициализированный диск, как будто с завода.
3. Запускаю установку системы на неразмеченное пространство с нарезанием основного раздела нужной формы в процессе установки.
4. Проверяю на свежеустановленной системе выход в инет, на почту и т.п.
5. Скачиваю свежую версию антивируса и устанавливаю. (собственными перезаписываемыми носителями пока не пользуюсь до обеспечения надежной антивирусной защиты).
6. Отключаю к чертовой матери автоплей со всех носителей, запускаю сканирование всех флешек подряд антивирусными сканерами, флешки открываю только в тотал командере с отключенным показом иконок.(Stuxnet использует как раз уязвимость винды при использовании иконок).


Вопрос: Куда можно жаловаться на SMS лохотронщиков?
Ответ: В полицию и  Скрытый текст 

Вопрос: После перезагрузки пустой экран(без рабочего стола)
Ответ: Удали ключ реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Debugger"="ntsd -d"


Вопрос:
Ответ:

 Скрытый текст 

Желающим попробовать свои силы в самостоятельном удалении баннера:
 Скрытый текст  : применим в случае если файл userinit.exe заменён файлом локера.
 Скрытый текст  : применим в случае если файл userinit.exe не заменён файлом локера
 Скрытый текст  : применим в случае если модифицирована загрузочная запись (MBR)
 Скрытый текст  : применим при удалении локера "22CC6C32"
 Скрытый текст  : Удаление локера AS
Все операции проводить ТОЛЬКО на виртуальной машине (VirtualBox, входит в состав WPI)


Проект Уважаемого модератора glax24:
 Скрытый текст 

Еще несколько вариантов удаления локеров.
 Скрытый текст 
Antiwinlocker LiveCD с сайта
 Скрытый текст 
Winlocker:
 Скрытый текст  .  Скрытый текст  .  Скрытый текст 
_________________
Не профи, но для любителя тоже неплохо...
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
YikxX
Сборщик сборок


Возраст: 45
Стаж: 15 лет 11 месяцев и 10 дней
Сообщения: 2038
Благодарности: 1861/501



Сообщение13.05.2011 21:27   Ответить с цитатой

писал(а):
1.Чтобы не допустить установку winlocker себе на компьютер, стоит использовать приличный Firewall


Доcтаточно просто не серфить по инету с браузера, запущенного с правами админа и все. Проблема 99.99% зловредов, пытающихся проникнуть в ваш комп сразу решиться и не в их пользу.

Все просто - создаем пользователя (пока с правами админа), называем его, скажем, Browser. С паролем. Заходим под ним и устанавливаем с WPI Оперу или Мозиллу. Копируем профили данных браузеров из своего в профиль Browser (например c:\Documents and Settings\Ваше_имя_пользователя\Application Data\ каталог Opera копируем в c:\Documents and Settings\Browser\Application Data\). У ярлыков запуска браузеров на рабочем столе дописываем %windir%\system32\runas.exe /user:Имя_вашего_компа\Browser (получается что-то типа %windir%\system32\runas.exe /user:DEMON\Browser "C:\Program Files\Mozilla Firefox\firefox.exe") Меняем значек ярлыка, взяв его из firefox.exe (opera.exe) - кнопка "Сменить значек".
Потом идем в Управление - Локальные пользователи - Пользователи и в свойствах пользователя Browser удаляем его из группы Администраторы и добавляем в группу Пользователи.
Потом в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList создаем новый параметр типа DWORD, называем Browser и присваиваем ему значение 0. Можно еще на папку TEMP и на папку Оперы (c:\Documents and Settings\Browser\Local Settings\Application Data\Opera\Opera\temporary_downloads\) задать права Разрешить - Записывать, Читать, Удалять; Запретить - все остальное (для папок и для файлов).
На время обновления браузеров через встроенную обновлялку нужно будет временно давать Browser права админские.
Без разницы с какой учетки обновлять браузер. А вот дополнения нужно обновлять с учетки Browser. Но с этим проблем нет, даже не надо Browser'у права админские давать.
Да и еще - при кликах на ссылках во всяких аськах и т.п. лучше чтобы браузер под пользователем был уже запущен. А то запустится под админом (аська то под админом работает), а вдруг там ссылка на вирусню пришла? А если браузер под пользователем будет уже запущен - в нем ссылка и откроется.

Посмотреть, под каким пользователем запущено то или иное приложение можно через Диспетчер задач Windows

Известные проблемы: Иногда подглючивает Punto Switcher в окне браузера и его значек в трее никак не реагирует на переключение языка в окне браузера. Разрабам писал, в новой версии ничего не изменилось. Мне лично помогает Aml Maple Smile

_________________
Advanced super bot-admin

 Скрытый текст 

Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
Поблагодарили(4): S0ier, Gamz, StrDt, FLASH1K
Вернуться к началу
YikxX сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
elepss
Ёжик


Возраст: 33
Стаж: 12 года 10 месяцев и 1 день
Сообщения: 3
Благодарности: 1/1



Сообщение01.06.2011 12:24   Ответить с цитатой

Раньше сам занимался этим делом хочу сказать что это всё грузится через iframe трафик покупной на больших ресурсах. Могу посоветовать ограничить всплывающие окна и всё такое и запретить JS скрипты потому как через айфрам всё льется на сплойт,експлойт и всякую нечесть.
Вернуться к началу
elepss сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Vovva
Навечно в строю
Навечно в строю


Возраст: 65
Стаж: 16 лет и 17 дней
Сообщения: 1026
Благодарности: 324/283
Откуда: г.Мегион Россия


Сообщение29.06.2011 0:48  Cамостоятельно удаляем баннер. Способ первый. Ответить с цитатой

 Скрытый текст   Скрытый текст 

Желающим попробовать свои силы в самостоятельном удалении баннера.

Все операции проводить ТОЛЬКО на виртуальной машине (VirtualBox, входит в состав WPI)

Исходя из народной мудрости "Лучше один раз увидеть чем сто раз услышать" предлагается всем желающим смоделировать ситуацию заражения вирусом_блокиратором операционной системы в виртуальной машине. Для этого:
1. Установите в виртуальную машину WinXP(без разницы, сборку или любую другую)
2. Установите в ней дополнения гостевой ОС.
3. Выберите оптический привод хоста с которого в дальнейшем будете запускать LiveCD предварительно вставив в него образ или записаный диск в составе которого есть LiveCD или WinPE.
4. Из расшареной папки основной ОС компьютера скопируйте в виртуальную систему архив "Блокировщики.7z" скачаный из вложения.
5. Распакуйте архив введя пароль infect получите папку "Блокировщики", в ней разные вирусы блокираторы. Все они отловлены пользователями нашего сайта на реальных компьютерах, каждый из них ведёт себя по разному, но алгоритм лечения от подобных блокировщиков схож с теми с которыми вы можете столкнуться в дальнейшем.
6. Вот пожалуй и всё из приготовлений. Приступаем к заражению системы.
_________________________________

Запускаем любой из файлов вирусов в папке. На примере будет показан запуск файла "0.5781717993039942.exe". После его запуска сразу произошла блокировка системы с запуском окна блокиратора, на некоторых других блокираторах подобное окно увидите после перезагрузки.
 Спойлер
 Скрытый текст 
Перезагрузиться можно только внаглую, т.к ничего кроме ввода текста в окне баннера не активно. После перезагрузки видим снова окно баннера на фоне обоины рабочего стола. Ничего кроме ввода текста не активно. Начинаем лечить систему с помощью Алкида идущего в составе сборок Zver.
1. После перезагрузки в появившемся меню выбора загрузок грузимся со строки запуска Алкида
 Спойлер
 Скрытый текст 

2. В загрузившемся LiveCD запускаем редактор реестра
 Спойлер
 Скрытый текст 

3. Выбираем заблокированую учётную запись
 Спойлер
 Скрытый текст 

4. Идём в реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon где в основном прописывают себя подобные блокировщики и сравниваем там записи. Должно быть так:
Shell = Explorer.exe
UIHost = logonui.exe
Userinit = C:\WINDOWS\system32\userinit.exe

Но в нашем случае видим что запись в параметре "Userinit" изменена на C:\WINDOWS\system32\drivers\system32.exe
 Спойлер
 Скрытый текст 
Т.е путь ведёт не на нужный для запуска и работы системы файл, а на запуск исполняемого файла вируса.
5. Приводим к соответствию запись значения
 Спойлер
 Скрытый текст 
6. Проходим поиском по реестру по названию файла вируса "system32.exe", найденую запись удаляем
 Спойлер
 Скрытый текст 

6. Удаляем(или переименовываем) исполняемый файл вируса
 Спойлер
 Скрытый текст 

7. Просматриваем директорию C:\WINDOWS и C:\WINDOWS\system32 на предмет нахождения в них системных файлов с изменённой датой создания которая соответствует по времени заражению компьютера, что-бы убедиться что системные файлы не подменены вирусом. При возможности сканируем компьютер антивирусным сканером из состава LiveCD или предварительно скачаным со свежими базами.
8. Выходим из LiveCD и загружаем свою основную ОС, запускаем Win+R вводим команду msconfig(настройка системы) в появившемся окне во вкладке "Автозагрузка" убираем из загрузки прописавшийся там запуск вируса .
 Спойлер
 Скрытый текст 

9. Проходим поиском по названию файла вируса "system32.ехе" и при его обнаружении удаляем. Обновляем антивирусные базы, или скачиваем сканер от drWeb и сканируем систему от возможного присутствия в системе других вирусов.
10. Помня что антивирусы могут только удалять вирусы но не последствия их атак, желательно каждому иметь в наличии утилиты типа AVZ для восстановления функционала ОС.

По всем вопросам писать в этой теме.

_________________
В гостях хорошо, а дома интернет.


Последний раз редактировалось: Vovva (29.06.2011 11:32), всего редактировалось 4 раз(а)
Поблагодарили(10): Дон, gerat80, Doctor, taniko98, Велосипедист, Arahnid_x73, Zver, lubam123, AlfastatoR, ketub
Вернуться к началу
Vovva сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 39
Стаж: 15 лет 1 месяц и 22 дня
Сообщения: 1171
Благодарности: 780/579



Сообщение30.06.2011 14:04  Cамостоятельно удаляем баннер. Способ второй Ответить с цитатой

 Скрытый текст   Скрытый текст 

Такой метод применим только в том случае, если userunit.exe не заменён локером.
Если при запуске в безопасном режиме запустится баннер, то данный способ для решения непригоден.

Система заблокирована баннером, казалось бы всё, в сервис, но нет, справимся своими силами.
 Скрытый текст 
Перезагружаем ПК, нажимаем F8 выбираем "Безопасный режим с поддержкой командной строки":
 Скрытый текст 
Выбираем операционную систему и нажимаем Enter:
 Скрытый текст 
После загрузки появится Диалоговое окно командной строки:
 Скрытый текст 
Запускаем редактор реестра командой regedit и нажимаем Enter:
 Скрытый текст 
Откроется диалоговое окно редактора реестра:
 Скрытый текст 
Находим ветку реестра Winlogon и видим в ключе Shell паразита:
 Скрытый текст 
Открываем ключ Shell и вырезаем всё содержимое ключа:
 Скрытый текст 
Восстанавливаем значение ключа Shell (Explorer.exe)
 Скрытый текст 
Проверяем ключи автозагрузки:
 Скрытый текст 
Запускаем диспетчера задач, команда taskmgr и нажимаем Enter:
 Скрытый текст 

Уважаемый модератор glax24 писал(а):
Если не запускается regedit и taskmgr набрать команду:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f


Нажимаем кнопку "Файл", затем выбираем в "Новая задача (Выполнить)"
 Скрытый текст 
В открывшемся окне правым кликом мыши вставляем путь, который вырезали из ключа Shell, нажимаем кнопку "Обзор":
 Скрытый текст 
Откроется диалоговое окно проводника, видим целый "рассадник" локеров
 Скрытый текст 
Удаляем локер, закрываем окно проводника:
 Скрытый текст 

Уважаемый модератор glax24 писал(а):
Некоторые локеры имеют атрибут скрытый, поэтому будут не видны для удаления.
Удалить можно из командной строки:

del /a "вставляем путь, который вырезали из ключа Shell или автозагрузки"


Нажимаем кнопку "Отмена", возвращаемся к диспетчеру задач:
 Скрытый текст 
В меню диспетчера задач нажимаем кнопку "Завершение работы", в появившемся списке выбираем "Перезагрузка":
 Скрытый текст 
Проверяем отсутствие баннера:
 Скрытый текст 

При возникновении вопросов писать в этой теме.

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (25.09.2011 19:46), всего редактировалось 5 раз(а)
Поблагодарили(11): StrDt, gerat80, apirozhkov, glax24, tyami, taniko98, Велосипедист, Arahnid_x73, Zver, lubam123, AlfastatoR
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
sink
Ёжик



Стаж: 16 лет и 20 дней
Сообщения: 18
Благодарности: 12/7



Сообщение17.08.2011 7:36  Из баннеров... Ответить с цитатой

При входе в систему, сразу-же завершается сеанс. Далее предлагается выбрать пользователя и войти - но при любой попытке войти в ситему - "Загрузка личных настороек ..." потом идет "Сохранение ...." и завершение сеанса - в итоге не возможно войти в систему

1. Проверьте параметр в реестре: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
2. Проверьте что userinit.exe не подменён
3. Удалите этот раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe, \ /здесь вы увидите имя тела вируса\

Enjoy!

p.s. Такое может произойти если вы лечили блокер с LiveCD(допустим CureItом, и он удалил всё что ему не понравилось), в контейнере с блокером может идти есчё один вирус, после удаления тела этого вируса учётка перестаёт грузится


Последний раз редактировалось: sink (23.08.2011 3:58), всего редактировалось 3 раз(а)
Вернуться к началу
sink сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 39
Стаж: 15 лет 1 месяц и 22 дня
Сообщения: 1171
Благодарности: 780/579



Сообщение24.08.2011 19:20   Ответить с цитатой

 Скрытый текст   Скрытый текст 

Техника:
- компьютер одного из пользователей
- загрузочный USB-накопитель, созданный по
 Скрытый текст  Уважаемого модератора mannaleks

Локер, в данном примере программа модифицировала загрузочную запись (MBR):

 Скрытый текст 

Последовательность действий:

Загружаю ПК с помощью AlkidCD, запускаю программу MBR Fix
 Скрытый текст 

Выбираю необходимый диск (1), выбираю опцию восстановления загрузочной записи (2), запускаю выполнение программы (3):

 Скрытый текст 

При успешном завершении операции появляется запись (4). Выхожу из программы (5), перезагружаю компьютер.

 Скрытый текст 

Загрузочная запись восстановлена.

После перезагрузки компьютера необходимо выполнить сканирование антивирусной программой всех дисков и съёмных носителей.

 ВАЖНО!:


MBR-локер элементарно лечит портативная версия антивирусного сканера DrWeb (входит в состав AlkidCD), причем без риска потери данных, как это иногда случается с fixMBR.

При заражении сдвигается блок таблицы разделов, fixMBR его на место не возвращает, а DrWeb возвращает все назад, как оно должно быть.

Если сдвиг критический(много разделов и таблица большая), могут теряться разделы.

Также с данным видом локеров справляются следующие программы:  Скрытый текст  и  Скрытый текст 

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (17.05.2012 8:42), всего редактировалось 3 раз(а)
Поблагодарили(11): Ильдар Им, voron367, Cristal87, Zver, lubam123, TPACCEP, gerat80, chomka, AlfastatoR, se5dat, dmitrich67
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 39
Стаж: 15 лет 1 месяц и 22 дня
Сообщения: 1171
Благодарности: 780/579



Сообщение12.09.2011 20:43   Ответить с цитатой

 Скрытый текст   Скрытый текст 

Удаление локера 22CC6C32.

Техника:
- ноутбук Emachines D620
- загрузочный USB-накопитель, созданный по
 Скрытый текст  Уважаемого модератора mannaleks

Для наглядности процесса удаления локер запустил без виртуальной машины:

(Данный эксперимент проводить ТОЛЬКО на виртуальной машине!)
 Скрытый текст 

Выключаю ноутбук, затем включаю, выбираю загрузку с USB-накопителя:
 Скрытый текст 

Запускаю редактор реестра:
 Скрытый текст 

Подключаюсь к реестру учётной записи:
 Скрытый текст 

Проверяю ветку реестра Winlogon, вижу демона в ключе Shell:
 Скрытый текст 

Вырезаю путь к демону, восстанавливаю значение ключа Shell:
 Скрытый текст 

Значение ключа Shell восстановлено:
 Скрытый текст 

Закрываю редактор реестра, перехожу к удалению демона из системы.
Вставляю вырезанный из значения реестра путь, удаляю часть строки с именем и расширением файла демона:
 Скрытый текст 

Нажимаю Enter, открывается папка с демоном:
 Скрытый текст 

Удаляю демона:
 Скрытый текст 

Проверяю папку windows\system32, вижу замену файла userinit.exe:
 Скрытый текст 

Копирую из папки AlkidCD оригинальный файл:
 Скрытый текст 

Вставляю оригинальный файл, подтверждаю замену:
 Скрытый текст 

Проверяю папку windows\system32\dllcache, вижу замену файла userinit.exe:
 Скрытый текст 

Вставляю оригинальный файл, подтверждаю замену:
 Скрытый текст 

Готово. Перезагружаю ноутбук, проверяю результат:
 Скрытый текст 


 ВАЖНО!:

Помимо userinit.exe также следует обратить внимание на taskmgr.exe, некоторые модификации локера С32 заменяют его.

Список файлов, на которые следует обратить внимание:
explorer.exe
taskmgr.exe
userinit.exe
logonui.exe


_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (13.09.2011 14:42), всего редактировалось 1 раз
Поблагодарили(4): onlyelf, Вольд, AlfastatoR, voron367
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Дон
Позывной: Беркут
Позывной: Беркут


Возраст: 39
Стаж: 15 лет 1 месяц и 22 дня
Сообщения: 1171
Благодарности: 780/579



Сообщение19.09.2011 21:44   Ответить с цитатой

 Скрытый текст   Скрытый текст 

Удаление локера "AS" и "IEFL"

Техника:
- ноутбук Toshiba Satellite L670 С на ноутбуке Windows 7 Домашняя базовая, 64 битная
- загрузочный USB-накопитель, созданный по
 Скрытый текст  Уважаемого модератора mannaleks

Баннер: слева - AS, справа - модификация IEFL
 Скрытый текст   Скрытый текст 

На этот раз осмотр техники начал с папок временных файлов и в папке С:\windows\temp обнаружил подозрительный файл.
Посмотрел свойства файла, интуиция не подвела, это был файл запуска баннера:
 Скрытый текст 

Свежеотловленный локер архивирую для данного сообщения, копирую на флешку, содержимое папки отправляю в корзину с последующей очисткой:
 Скрытый текст 

Запускаю редактор реестра:
 Скрытый текст 


Указываю путь к папке Windows:
 Скрытый текст 

Подключаюсь к реестру учётной записи пользователя:
 Скрытый текст 

Запускаю поиск по названию файла в реестре:
Нахожу демона в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 Скрытый текст 

Таким же образом обнаруживаю и удаляю демона в следующих ветках и ключах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="C:\\WINDOWS\\temp\\as.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"s5ch0st"="C:\\WINDOWS\\temp\\as.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"s5ch0st"="C:\\WINDOWS\\temp\\as.exe"

Удаляю ключ, продолжаю поиск в реестре до его окончания:
 Скрытый текст 

Закрываю редактор реестра, перезагружаю ноутбук.

Скрин финала не сделал, так как далее ноутбук был отдан на проверку хозяйке, которая находилась рядом и с переживанием смотрела как восстанавливаю технику...


Внимание!, Появилась модификация локера "AS".

Принцип удаления тот же самый, различия:
В автозагрузке он прописывается как "AdobeUpdater" с содержанием параметра "C:\WINDOWS\temp\iefl.exe"

_________________
Не профи, но для любителя тоже неплохо...


Последний раз редактировалось: Дон (06.10.2011 20:35), всего редактировалось 4 раз(а)
Поблагодарили(3): Sachka, glax24, tyami
Вернуться к началу
Дон сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
snowbars
Ёжик


Возраст: 37
Стаж: 15 лет 7 месяцев и 21 день
Сообщения: 15
Благодарности: 2/29



Сообщение23.09.2011 7:46   Ответить с цитатой

Некоторые локеры пишутся в папку dllcahe и заменяют там winlogon taskmgr regedit итд, и соответсвенно самовостанавливаются оттуда, послу правки реестра при 1м же запуске, самый верный вариант это загрузка с лайв сиди, и зачистка вирусов сперва по путям в реестре, затем зачистка кешевых папок системы и браузеров
Вернуться к началу
snowbars сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
mannaleks
Командир команды
Командир команды



Стаж: 15 лет 5 месяцев и 17 дней
Сообщения: 2446
Благодарности: 1711/388
Откуда: Куда: Зачем:


Сообщение27.09.2011 20:06   Ответить с цитатой

писал(а):
После перезагрузки пустой экран(без рабочего стола)

Удали ключ реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Debugger"="ntsd -d"

_________________
Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Вернуться к началу
mannaleks сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
down
Ёжик



Стаж: 16 лет 2 месяца и 2 дня
Сообщения: 16
Благодарности: 100/1



Сообщение30.09.2011 18:38   Ответить с цитатой

На antiwinlocker.ru обновился AntiWinLockerLiveCD 3.2. Появилась возможность удаления в авто режиме ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe. Также обновилась платная версия AntiWinLocker2. На просторах интернета уже лежит ломанная версия. Проверена на виртуальной машине на последних вымогателях, отрабатывает на отлично.
Поблагодарили(2): YikxX, TPACCEP
Вернуться к началу
down сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
glax24
LuckyHunter
LuckyHunter


Возраст: 41
Стаж: 15 лет 4 месяца и 11 дней
Сообщения: 354
Благодарности: 502/173
Откуда: Ульяновск
ICQ: 406978885

Сообщение02.10.2011 1:29   Ответить с цитатой

Вот еще одно чудо, на данный момент только один антивирус видит данный вирус.
 Спойлер

 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 
 Скрытый текст 

После перезагрузки файл удалил.
Отправил файл на анализ drweb и kaspersky пока ответа нет.
зато
 Спойлер
 Скрытый текст 

 Ответ от DrWeb
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Mayachok.1

_________________
Решение на поверхности, надо только копнуть поглубже.
 Скрытый текст 
Поблагодарили(1): imunitet
Вернуться к началу
glax24 сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
АнтонТ
Ёжик



Стаж: 12 года и 25 дней
Сообщения: 1




Сообщение07.03.2012 11:58  Не вижу жесткий!!! Ответить с цитатой

Поймал вирус, из разряда "за посещение порносайтов и сайтов с зоофилией.....положите деньги на такой-то номер". Теперь при загрузке, компьютер не видит жесткий. Пробовал поставить как второстепенный, Винда его увидела как устройство, файловая система не определена. Форматировать очень не хочется, т.к. там важная информация. Кто сталкивался или знает, пожалуйста выручайте! Crying or Very sad Crying or Very sad Crying or Very sad Crying or Very sad Crying or Very sad Crying or Very sad Crying or Very sad
Вернуться к началу
АнтонТ сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Vovva
Навечно в строю
Навечно в строю


Возраст: 65
Стаж: 16 лет и 17 дней
Сообщения: 1026
Благодарности: 324/283
Откуда: г.Мегион Россия


Сообщение07.03.2012 22:28   Ответить с цитатой

Например у меня в схожей ситуации после заражения вирусом ОС не загружалась, а загрузившись из под LiveCD она не видела системный винт исправным и просила его отформатировать.
Загрузившись через Акронис диск директор(ADD) увидел винт поделённым на несколько разделов(в реале до заражения было 2 раздела, 19GB с небольшим основным и второй примерно на 800Mb логическим) с нереальными размерами
 Нарушение таблицы разделов mbr локером
 Скрытый текст 
и Акронис при попытке сканирования выдавал ошибку считывания.
 Ошибки сканирования
 Скрытый текст 
Стало понятно что виновата перезаписанная вирусом таблица разделов, осталось только найти инструмент для исправления. Он нашёлся, в Алкиде на диске со сборкой Зверя
 MBR FIX
 Скрытый текст 

Ну и собственно само решение этой проблемы:
Грузимся в Алкида со сборки Зверя, далее в нём запускаем Fixmbr прогу.
Примечание:
В экзотичных режимах работы дискового контроллера(например в AHCI) Алкид может не запуститься, в нём не такая широкая драйверная поддержка как у самой сборки, а уж на совсем экзотических, может не запуститься и Акронис. Поэтому при невозможности загрузки стороннего софта, на время работы с ним, надо будет перевести режим работы контроллера зайдя в биос на IDE.
В общем наделал пошаговых картинок, так всем наверное будут понятней пошаговые действия.
 Перезаписываем MBR и удаляем таблицу разделов
 Скрытый текст   Скрытый текст  У меня был всего один диск в системе, следовательно номер диска 0. Для этой операции в выпадающем меню программы нужно выбрать проблемный диск, или что-бы не ошибиться оставить на время лечения его одного, остальные отцепить физически.
Проделав эти 2 действия выходим из Алкида и загружаемся в Акронис диск директор выбрав соответствующее меню загрузки на диске Зверя
 Грузимся в ADD а в нём в Acronis Recovery Expert
 Скрытый текст   Скрытый текст   Скрытый текст   Скрытый текст   Скрытый текст 
Примечание:
Алкид в сборке Зверя идёт с урезанным функционалом, в нём нет ADD(Акронис диск директор), его загружать надо отдельно. Возможно что загрузившись в полную версию Алкида(если конечно таковую имеете) можно из него сразу произвести вышеописаные действия. У кого есть полная версия Алкида, желание и время, протестируйте.
П.С.. Для чистоты тестов заразил ОС mbr локером ещё несколько раз. Все восстановления работы ОС вышеописанным методом завершились успехом, вся информация на разделах и сами разделы 100% восстановлены. С той лишь разницей, что в некоторых случаях после заражения Акронис восстанавливал сразу 2 моих раздела, в некоторых случаях предлагал их восстановить поодиночке. Но всегда успешно.
Удачи...

_________________
В гостях хорошо, а дома интернет.
Поблагодарили(5): se5dat, gerat80, товарищ2, glax24, VICTT
Вернуться к началу
Vovva сейчас оффлайн Посмотреть профиль Отправить личное сообщение  
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов ZverDVD - Конференция Часовой пояс: GMT + 3
На страницу
1, 2  След.
Страница 1 из 2

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете вкладывать файлы
Вы не можете скачивать файлы
 

Anti Bot Question MOD - phpBB MOD against Spam Bots
Заблокировано регистраций / сообщений: 618035 / 329


Powered by phpBB © 2001, 2005 phpBB Group
Яндекс.Метрика