Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 45
Вот сколько раз надо говорить, не работайте на машине с правами администратора!
Вам ещё простенький попался, есть локер который требует перевести 400р. на телефон МТС или билайн через аппарат оплаты, так эта падла заменяет диспетчер задач на кулькулятор.
Всё проще:
1. грузимся в безопасном режиме, с поддержкой командной строки. — локер грузиться, но строка поверх него.
запускаем реестр
2. запускаем реестр и вычищаем: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell
3. ищем файлы которые были прописаны в п.2, что-то типа: vip_porno_27452.avi.exe везде!!! по реестру. ибо прописывается этот гад в 4-6 местах
4. грохаем файлик на харде (скорее всего лежит в temp папках браузеров)
перегружаемся, и ищем нормальный антивирус)
Всё проще:
1. грузимся в безопасном режиме, с поддержкой командной строки. — локер грузиться, но строка поверх него.
запускаем реестр
2. запускаем реестр и вычищаем: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell
3. ищем файлы которые были прописаны в п.2, что-то типа: vip_porno_27452.avi.exe везде!!! по реестру. ибо прописывается этот гад в 4-6 местах
4. грохаем файлик на харде (скорее всего лежит в temp папках браузеров)
перегружаемся, и ищем нормальный антивирус)
В данном случае безопасный режим с поддержкой командной строки не загружался. Вернее загружался точно также как просто безопасный. Без командной строки.
Не только простенький, но и не новый. Я бы даже сказал старый, как какули мамонта.
Прочитал заголовок, думал может что новое появилось, может бороться надо как-то по другому, а тут…
Прочитал заголовок, думал может что новое появилось, может бороться надо как-то по другому, а тут…
Этот тоже простенький. Есть такие, которые безопасный режим в BSOD валят.
вернуть диспетчер задач можно по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
в разделе taskmgr.exe есть стринговый параметр Debugger и значение у него calc.exe если всё так, то смело удаляйте раздел taskmgr.exe из \Image File Execution Options
вчера только боролся с этой заразой :)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
в разделе taskmgr.exe есть стринговый параметр Debugger и значение у него calc.exe если всё так, то смело удаляйте раздел taskmgr.exe из \Image File Execution Options
вчера только боролся с этой заразой :)
ERD от Руссиновича или какой-нибудь самосбор с включенными ERD Tools на флэшку или болванку и всё. Загружаешь, подключаешься к внешнему реестру, чистишь.
Больше всего меня удивляет отсутствие средств защиты этих самых всем известных ключей (Shell, AppCompat и т.п.)
А если права на них Read-Only выставить то будет BSOD…
Больше всего меня удивляет отсутствие средств защиты этих самых всем известных ключей (Shell, AppCompat и т.п.)
А если права на них Read-Only выставить то будет BSOD…
Случайно не в курсе, ERD не научились умельцы встраивать/устанавливать в отдельный раздел на HDD, чтобы можно было загрузиться в случае чего и не таскать с собой болванки/флешки
Рекомендую поставить GRUB перед загрузчиком винды, а в корень положить ISOшку.
default 0 title Windows chainloader /ntldr boot title ERD map --mem /erd.iso (0xff) map --hook chainloader (0xff) boot
А как GRUB относится к Windows 7/2008 R2/XP на разделах? Пользовались ли такой схемой? :) Спасибо за подсказку!
Нормально относится. Все кряки-загрузчики для Windows 7 это модифицированный GRUB.
Имеется в виду GRUB4DOS (файл grldr).
Имеется в виду GRUB4DOS (файл grldr).
BCD можно прекрасно научить грузить Grub4dos, Из которого можно уже грузить .iso
такой вариант точно не будет вызывать проблем с которыми сталкиваются пользователи ломанеых через G4D операционок.
Так же посмотрите про WinRE, связанно с WAIK и WinPE
такой вариант точно не будет вызывать проблем с которыми сталкиваются пользователи ломанеых через G4D операционок.
Так же посмотрите про WinRE, связанно с WAIK и WinPE
Будет BSOD, проверено лично мною. Только тогда ReaD Only было для всех, включая SYSTEM. Интересно, если поставить ReaD Only для всех пользователей, исключая SYSTEM, будет BSOD или нет и как это повлияет на работу пользователей вообще?
Вы первый комментарий читали?
На инфицированной машине был установлен Windows
На инфицированной машине был установлен Windows
На инфицированной машине был установлен Windows.
На инфицированной машине был установлен Windows
На инфицированной машине был установлен Windows.
Есть еще один способ:
1. Go to Ubuntu.com.
2. Click «Download Ubuntu»
3. Iso -> USB or CD.
4. Install Ubuntu
5. ???????
6. PROFIT
1. Go to Ubuntu.com.
2. Click «Download Ubuntu»
3. Iso -> USB or CD.
4. Install Ubuntu
5. ???????
6. PROFIT
В папке system32 не зная что за программа попробуйте найти вирус под Ubuntu
1. Try play games
2. ????????????
3. Tux Racing
4. Reinstall Windows
2. ????????????
3. Tux Racing
4. Reinstall Windows
такой заразы пока нет под линукс только потому, что линуксов в виде десктопа установлено очень мало (по сравнению с виндой)
поверьте, когда количество линуксов станет процентов 10-15, то появятся линлокеры
пока это никому из хацкеров не интересно
поверьте, когда количество линуксов станет процентов 10-15, то появятся линлокеры
пока это никому из хацкеров не интересно
Если это тот, который обсуждали в том посте, то он стартует не только из \Winlogon\Shell. Да и «Диспетчером задач» его было не убить. А засигнатурен Dr.Web'ом он был как Trojan.Inject.20672.
Тот топик не видел, спасибо.
По описанию очень похоже. К сожалению, сейчас нет возможности проверить реестр той машины на остальные ключи.
По описанию очень похоже. К сожалению, сейчас нет возможности проверить реестр той машины на остальные ключи.
Как избавляться от винлокеров: звоните в техподдержку своего оператора и узнаете, кому принадлежит короткий номер и их телефон. Звоните туда и узнаете код разблокировки.
Я всегда так поступаю, когда знакомые звонят мне с такими проблемами.
Я всегда так поступаю, когда знакомые звонят мне с такими проблемами.
Главное, что от агрегатора владелец лохотрона получает бан.
Главное, чтобы код разблокировки сработал. Находил блокировщики, в которых авторы ленились добавить функцию удаления, либо она была написана очень криво.
т.е. как я понимаю лохотронщики не скрываются, поэтому им можно дозвониться и они предоставят ключики?
Иначе, я так понимаю, они бы получили уже срок?
Иначе, я так понимаю, они бы получили уже срок?
С локерами можно бороться через LiveCD с редактором реестра — открыв реестр пользователя, найти в стандартных местах (run, winlogon, dllcache) и почистить.
линуксовые LiveCD случайно не научились работать с реестром Win? :)
Это умели еще линуксовые загрузочные дискеты
сборки WinPE с нужным софтом — под рукой должно быть всегда)
Ну, это уже стёб пошел, а на самом деле сотовые компании такому виду мошеничества способствуют.
Вчера удалял его с одного компа (на весь экран, просил пополнить счет). После нажатия Win+D показал рабочий стол, просто закрыл окно и далее стандартная чистка. Был очень удивлен такой простотой.
Не холивара ради, но таки добавлю свои пять копеек. После новогодних бдений моего молодого братца я обнаружил на своем компе подобную заразу. Найдя на сайте Др.Веба описание, как можно от вируса избавиться, я впервые порадовался наличию второй системы. Да-да, это была Ubuntu. Дальше было дело пяти минут, после которых я радовался чистой Windows. Так что наличие второй системы под рукой всегда положительно.
когда я ещё пользовался виндой и линуксом, системный раздел винды у меня всегда был забэкаплен (командой dd), и все подобные штуки лечились бы простой загрузкой в линукс и распаковкой бэкапа (10 минут). ну и потом может минут 15 на обновление софта (антивируса и браузера)
все пользовательские данные хранились на другом физическом разделе, и просто монтировались к диску Ц или подключались через симлинки или реестр (по аналогии с папкой home в линуксе)
все пользовательские данные хранились на другом физическом разделе, и просто монтировались к диску Ц или подключались через симлинки или реестр (по аналогии с папкой home в линуксе)
Позавчера наткнулся на этот же винлок, ноут был медленный и я успел грохнуть процесс во время его запуска. Дальше мне очень помогла утилита HiJackThis free.antivirus.com/hijackthis/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Избавление от нового Winlock`ера