Windows заблокирован..., решение.

[Sim_vol]

Максимум таблицу mft уронят, а вот прибить mbr вируснёй это 1 процент из 100. И точно не винлокерам по силам...

Вовсе даже не обязательно, каждый день выходят сотни новых вирусов, и очень даже способных. Недавно встретил новый вид банеров подобный mbrlock. Поведение такое же, и внешне очень похож. Сразу после загрузки BIOS появляется, задолго до загрузки системы, только восстановление MBR не помогает. Этот вид банеров заражает файл "C:\ntldr" (как выяснилось после часа мучений в hex редакторе в поисках дефекта mbr) и после его замены на стандартный система успешно стартует, правда у меня ещё почему-то файлы реестра слетели (SAM, System, default, software, security в папке C:\WINDOWS\System32\config). Систему удалось поднять путём копирования стандартных вышеперечисленных файлов из папки "C:\WINDOWS\repair" загрузившись с установочного диска в консоль восстановления XP. Материал по поводу восстановления реестра

купить чтобы получить доступ к скрытому контенту.

 

[stroy2008not]

Мда...Сколько способов..ППЦ...Ларчик открывается очень просто )) Перезагрузка---F8(при загрузке нажимаем)---безопасный режим---удаляем из C:/program files/папка браузера с которого при вылазке в инет получили вирусняк---перезагрузка---повторная установка браузера ВСЕ!Делов на 5минут...
P.S.У кого win x64, у того папка "program fils x86".

 

[Вик_СПб]

ну... неужели всё так просто???? или вам другие не попадались....

 

[Geolog]

Мда...Сколько способов..ППЦ...Ларчик открывается очень просто )) Перезагрузка---F8(при загрузке нажимаем)---безопасный режим---удаляем из C:/program files/папка браузера с которого при вылазке в инет получили вирусняк---перезагрузка---повторная установка браузера ВСЕ!Делов на 5минут...
P.S.У кого win x64, у того папка "program fils x86".

Хмм.... Интересно, а Вы вирусы из разновидностей kido таким способом пытались уничтожать?:icq03: Тем более, в большинстве случаев windows в безопасном режиме не запускается. Если бы всё было так просто, эту тему не создавали бы:icq02:

 

[Sashok007]

Безопасный режим отрубается вирусами путем удаления ветки реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot, или ее портит.

Кстать, вчера видел новый вирус у клиента, он заблокировал комп через MBR диска, и прямо в текстовом режиме просил отправить смс и ввести код.
Винда семерка стояла, загрузился с Hiren's Boot CD, оттуда выбрал загрузку с C:, после чего винда загрузилась. Дальше ничего не делал.
Лечить не стал, так как не просили (ибо денег платить), но за диагностику сказали спасибо)))

Никто не сталкивался с удачным выходом из ситуации? (Переустановку винды не предлагать)

UPD:

купить чтобы получить доступ к скрытому контенту.

нашел описание, пока читал - вспомнил ассемблер =)

 

[stroy2008not]

ну... неужели всё так просто???? или вам другие не попадались....

Бывало и хуже конечно,но максимум,что я делал---это запускал коип с Live CD и удалял всю фигню.

 

[lostegor]

Я на неделе уже троих лечил, причем все баннеры были пойманы в разных местах (но внешне одинаковые)
Мало того, что эта дрянь испаганила реестр (собственно уже указаные ключи в ветке Windows NT\CurrentVersion\winlogon\ explorer.exe и userinit.exe), подменив значения на вирус в папке ТЕМР, так еще собой (телом вируса) заменила файлы taskman.exe и userinit.exe (благо с любой винды подходят)

Вдруг кому поможет

 

[Иваныч69]

Все привет!
С такой бедой сталкиваюсь частенько (специализируюсь на ремонте компов и оргтехники). Уже существуют 3 версии данного зловреда:
1. Только банер, через 2-6 часов сомоликвидируется,
2. После или до самоубийства (точно не выяснял) бьёт загрузочный сектор Винды,
3. Самый наглый (просит перечислить деньги на моб. номер, а код разблокировки типа будет в чеке), этот уже затрагивает BIOS, не дает запустить LiveCD.:icq06:

С первыми двумя разобраться проще: не доводить до харакири, загрузиться с LiveCD, вычистить все папки Temp (под чистую). А потом прогнать весь комп антивирем, глубокой очисткой и со свежими базами.
А с третим сложнее. Выставить на заводские установки BIOS (лучше раза 2-3 подряд), потом опять LiveCDи тд и тп.

С третим я сталкнулся позновато, попробовал сразу , непошло, после правки BIOS это ГАД отменил разделение Винта, ладно был Акронис под рукой востановил разделы , но Винду пришлось переустанавливать. Так что не раслабляйтесь вирусописцы не дремлют, а кушать всем хочется.:icq01:

 

[lostegor]

Все привет!
С такой бедой сталкиваюсь частенько (специализируюсь на ремонте компов и оргтехники). Уже существуют 3 версии данного зловреда:
1. Только банер, через 2-6 часов сомоликвидируется,
2. После или до самоубийства (точно не выяснял) бьёт загрузочный сектор Винды,
3. Самый наглый (просит перечислить деньги на моб. номер, а код разблокировки типа будет в чеке), этот уже затрагивает BIOS, не дает запустить LiveCD.:icq06:

С первыми двумя разобраться проще: не доводить до харакири, загрузиться с LiveCD, вычистить все папки Temp (под чистую). А потом прогнать весь комп антивирем, глубокой очисткой и со свежими базами.
А с третим сложнее. Выставить на заводские установки BIOS (лучше раза 2-3 подряд), потом опять LiveCDи тд и тп.

С третим я сталкнулся позновато, попробовал сразу , непошло, после правки BIOS это ГАД отменил разделение Винта, ладно был Акронис под рукой востановил разделы , но Винду пришлось переустанавливать. Так что не раслабляйтесь вирусописцы не дремлют, а кушать всем хочется.:icq01:

Что касается БИОСа - впервые слышу. Сегодня узнал еще одну тупость этих вирусов, как они косят реестр, это да.... Прихожу, все синптомы на отсутствие userinit (бесконечное Приветствие и выбор пользователя). Грузанул lexramboot, в реестре нашел, что строка юзеринит на месте, с какой-то бякой из темпа, сам юзеринит в папке с виндой есть. Поправил реестр - нифига, проверил - вирусов нет, оказалось, зверюга записал в ррестр строку C:\Windows\system32\userinit.exe,C:\Windows\temp\csrcs.exe, в то время, как винда у него на H:\ (из-за того, что криво винду кто-то когда-то поставил...)

 

[vladimir-z]

Недавно тесть поймал эту фигню, такую видел в первый раз, не дает грузиться винде вообще, сразу вылезает в текстовом режиме предложение забашлять. То есть вирусняк залез в загрузочные файлы. Вышел из ситуации путем восстановления системы с любого установочного диска винды, там в дос режиме восстановил какие-то два файла, сейчас не помню, и все заработало. Кстати потом комп прогнал антивирусом, и он ничего не нашел, во как.

 

[lostegor]

Недавно тесть поймал эту фигню, такую видел в первый раз, не дает грузиться винде вообще, сразу вылезает в текстовом режиме предложение забашлять. То есть вирусняк залез в загрузочные файлы. Вышел из ситуации путем восстановления системы с любого установочного диска винды, там в дос режиме восстановил какие-то два файла, сейчас не помню, и все заработало. Кстати потом комп прогнал антивирусом, и он ничего не нашел, во как.

Userinit.exe и Explorer.exe - эти файлы зазвгрузку винды отвечают, хотя уже и ntldr коцают, вирусописатели-извращенцы. Для таких целей с рабочей семерки и ХР-шки скопировал эти файлы на флеху и при необходимости восстанавливаю винду за минуту.

 

[Sashok007]

отменил разделение Винта

Он просто переместил таблицу разделов. А винда была убита антивирем =)
Все не так плачевно, как кажется. Есть подробные инструкции в интернете по восстановлению бута и таблицы разделов.
А вот БИОС у меня закрыт на запись. На крайний такой случай - БИОС можно прошить.

 

[Иваныч69]

Что касается БИОСа - впервые слышу.

Сам бы не поверил, если бы не видел, но ведь видел , вот в чем беда.

На крайний такой случай - БИОС можно прошить.

Ну это дело хлопотное, иногда достаточно выставлять в "Дефаулт".

 

[lostegor]

Сам бы не поверил, если бы не видел, но ведь видел , вот в чем беда.


Ну это дело хлопотное, иногда достаточно выставлять в "Дефаулт".

Впомнил, что на старых материнках да и на некоторых новых, марки не помню в биосе был пункт "Virus proection", значит баги уже в то время могли биос укусить

 

[Иваныч69]

Впомнил, что на старых материнках да и на некоторых новых, марки не помню в биосе был пункт "Virus proection", значит баги уже в то время могли биос укусить

Совершенно в дырдочку! Ведь теоретически вирус может и железку убить реально, а уж с BIOS справится, ведь всего две фирмы его пишут, так что подобрать лазейку возможно.

 

[Mumang]

Насчёт убитого вирусом биоса не сталкивался , но вот что в boot.ini я и сам могу какой угодно хрени написать это да)

 

[Sashok007]

железку убить реально.

Те материнки, которые сейчас выпускапются вирусом убить не реально. Это факт.

А по поводу дефолтных настроек - сбрасывается только CMOS, биос здесь не затрагивается.

boot.ini

Не о нем разговор идет, а о MBR.

 

[Иваныч69]

А по поводу дефолтных настроек - сбрасывается только CMOS, биос здесь не затрагивается.
.

Мне помогло запустить LiveCD.

 

[Sashok007]

Помог не сброс, а дефолтные настроойки)

 

[Иваныч69]

Вот нарыл эту штучку, но ещё не пробовал, не попался троянчик, кто первый попробует отпишитесь.

 

[Иваныч69]

Прогнал диск правда на здоровом компе, функций достаточно: проверка загрузчиков, возможность правки реестра, файловый управляющий (менеджер),ещё некоторые, но полную работоспособность надо проверять на зараженном...

 

[Иваныч69]

Недавно попался троянчик 3-й версии, диск помог, но не на автомате а вручную, зато вычистил почти идеально, остатки потом подобрал Зайцем.

 

[paganini]

Вот нарыл эту штучку, но ещё не пробовал, не попался троянчик, кто первый попробует отпишитесь.

Тоже пользую AntiWinLockerLiveCD Отлично вычищает.
На данный момент последняя версия

купить чтобы получить доступ к скрытому контенту.

Как и предыдущая тоже бесплатно.

А еще там есть программа AntiWinLocker2 за 300 руб Где-то видел отломаную... Но после чистки компа AntiWinLockerLiveCD и поразившись результатом решил приобрести (правда тогда она стоила еще 200 руб)

 

[Иваныч69]

Вчера попался новый Зловред-вымогатель, но не разновидность WinLock. Этот создает скрытый экзешник на Рабочем столе и прописывается в автозагрузку. При включении через секунду после проявления Р/ст, он активизируется, со всеми вытекающими последствиями (только денюжки просит перегнать уже на МТС). Удалил спомощью LiveCD, всё почистил. :icq03::icq20:
Вот только этот "юзер" за месяц уже дважды ловит...:icq04:

 

[paganini]

Вчера попался новый Зловред-вымогатель, но не разновидность WinLock. Этот создает скрытый экзешник на Рабочем столе и прописывается в автозагрузку. При включении через секунду после проявления Р/ст, он активизируется, со всеми вытекающими последствиями (только денюжки просит перегнать уже на МТС). Удалил спомощью LiveCD, всё почистил. :icq03::icq20:
Вот только этот "юзер" за месяц уже дважды ловит...:icq04:

WinPatrol

Спойлер: О программе

купить чтобы получить доступ к скрытому контенту.

Юзал версию ещё 2007 года. Часто выручает... Эта еще и с русским