Комментарии 45
Вот сколько раз надо говорить, не работайте на машине с правами администратора!
+11
Добавлю: «И не отключайте UAC»
+8
У нас в корпоративной сети есть домен, и все юзеры работают на своих машинах с максимально урезанными правами, но это не мешало им ловить подобную заразу.
+1
Вам ещё простенький попался, есть локер который требует перевести 400р. на телефон МТС или билайн через аппарат оплаты, так эта падла заменяет диспетчер задач на кулькулятор.
Всё проще:
1. грузимся в безопасном режиме, с поддержкой командной строки. — локер грузиться, но строка поверх него.
запускаем реестр
2. запускаем реестр и вычищаем: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell
3. ищем файлы которые были прописаны в п.2, что-то типа: vip_porno_27452.avi.exe везде!!! по реестру. ибо прописывается этот гад в 4-6 местах
4. грохаем файлик на харде (скорее всего лежит в temp папках браузеров)
перегружаемся, и ищем нормальный антивирус)
Всё проще:
1. грузимся в безопасном режиме, с поддержкой командной строки. — локер грузиться, но строка поверх него.
запускаем реестр
2. запускаем реестр и вычищаем: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell
3. ищем файлы которые были прописаны в п.2, что-то типа: vip_porno_27452.avi.exe везде!!! по реестру. ибо прописывается этот гад в 4-6 местах
4. грохаем файлик на харде (скорее всего лежит в temp папках браузеров)
перегружаемся, и ищем нормальный антивирус)
+5
В данном случае безопасный режим с поддержкой командной строки не загружался. Вернее загружался точно также как просто безопасный. Без командной строки.
0
Не только простенький, но и не новый. Я бы даже сказал старый, как какули мамонта.
Прочитал заголовок, думал может что новое появилось, может бороться надо как-то по другому, а тут…
Прочитал заголовок, думал может что новое появилось, может бороться надо как-то по другому, а тут…
+2
Этот тоже простенький. Есть такие, которые безопасный режим в BSOD валят.
0
вернуть диспетчер задач можно по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
в разделе taskmgr.exe есть стринговый параметр Debugger и значение у него calc.exe если всё так, то смело удаляйте раздел taskmgr.exe из \Image File Execution Options
вчера только боролся с этой заразой :)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
в разделе taskmgr.exe есть стринговый параметр Debugger и значение у него calc.exe если всё так, то смело удаляйте раздел taskmgr.exe из \Image File Execution Options
вчера только боролся с этой заразой :)
+2
ERD от Руссиновича или какой-нибудь самосбор с включенными ERD Tools на флэшку или болванку и всё. Загружаешь, подключаешься к внешнему реестру, чистишь.
Больше всего меня удивляет отсутствие средств защиты этих самых всем известных ключей (Shell, AppCompat и т.п.)
А если права на них Read-Only выставить то будет BSOD…
Больше всего меня удивляет отсутствие средств защиты этих самых всем известных ключей (Shell, AppCompat и т.п.)
А если права на них Read-Only выставить то будет BSOD…
+3
Случайно не в курсе, ERD не научились умельцы встраивать/устанавливать в отдельный раздел на HDD, чтобы можно было загрузиться в случае чего и не таскать с собой болванки/флешки
0
Рекомендую поставить GRUB перед загрузчиком винды, а в корень положить ISOшку.
default 0 title Windows chainloader /ntldr boot title ERD map --mem /erd.iso (0xff) map --hook chainloader (0xff) boot
+2
А как GRUB относится к Windows 7/2008 R2/XP на разделах? Пользовались ли такой схемой? :) Спасибо за подсказку!
0
Нормально относится. Все кряки-загрузчики для Windows 7 это модифицированный GRUB.
Имеется в виду GRUB4DOS (файл grldr).
Имеется в виду GRUB4DOS (файл grldr).
+1
BCD можно прекрасно научить грузить Grub4dos, Из которого можно уже грузить .iso
такой вариант точно не будет вызывать проблем с которыми сталкиваются пользователи ломанеых через G4D операционок.
Так же посмотрите про WinRE, связанно с WAIK и WinPE
такой вариант точно не будет вызывать проблем с которыми сталкиваются пользователи ломанеых через G4D операционок.
Так же посмотрите про WinRE, связанно с WAIK и WinPE
0
Будет BSOD, проверено лично мною. Только тогда ReaD Only было для всех, включая SYSTEM. Интересно, если поставить ReaD Only для всех пользователей, исключая SYSTEM, будет BSOD или нет и как это повлияет на работу пользователей вообще?
0
Вы первый комментарий читали?
0
На инфицированной машине был установлен Windows
На инфицированной машине был установлен Windows
На инфицированной машине был установлен Windows.
На инфицированной машине был установлен Windows
На инфицированной машине был установлен Windows.
-21
Есть еще один способ:
1. Go to Ubuntu.com.
2. Click «Download Ubuntu»
3. Iso -> USB or CD.
4. Install Ubuntu
5. ???????
6. PROFIT
1. Go to Ubuntu.com.
2. Click «Download Ubuntu»
3. Iso -> USB or CD.
4. Install Ubuntu
5. ???????
6. PROFIT
-21
В папке system32 не зная что за программа попробуйте найти вирус под Ubuntu
-3
1. Try play games
2. ????????????
3. Tux Racing
4. Reinstall Windows
2. ????????????
3. Tux Racing
4. Reinstall Windows
+7
такой заразы пока нет под линукс только потому, что линуксов в виде десктопа установлено очень мало (по сравнению с виндой)
поверьте, когда количество линуксов станет процентов 10-15, то появятся линлокеры
пока это никому из хацкеров не интересно
поверьте, когда количество линуксов станет процентов 10-15, то появятся линлокеры
пока это никому из хацкеров не интересно
0
Если это тот, который обсуждали в том посте, то он стартует не только из \Winlogon\Shell. Да и «Диспетчером задач» его было не убить. А засигнатурен Dr.Web'ом он был как Trojan.Inject.20672.
0
Тот топик не видел, спасибо.
По описанию очень похоже. К сожалению, сейчас нет возможности проверить реестр той машины на остальные ключи.
По описанию очень похоже. К сожалению, сейчас нет возможности проверить реестр той машины на остальные ключи.
0
Как избавляться от винлокеров: звоните в техподдержку своего оператора и узнаете, кому принадлежит короткий номер и их телефон. Звоните туда и узнаете код разблокировки.
Я всегда так поступаю, когда знакомые звонят мне с такими проблемами.
Я всегда так поступаю, когда знакомые звонят мне с такими проблемами.
+4
Главное, что от агрегатора владелец лохотрона получает бан.
+1
Главное, чтобы код разблокировки сработал. Находил блокировщики, в которых авторы ленились добавить функцию удаления, либо она была написана очень криво.
0
т.е. как я понимаю лохотронщики не скрываются, поэтому им можно дозвониться и они предоставят ключики?
Иначе, я так понимаю, они бы получили уже срок?
Иначе, я так понимаю, они бы получили уже срок?
-1
С локерами можно бороться через LiveCD с редактором реестра — открыв реестр пользователя, найти в стандартных местах (run, winlogon, dllcache) и почистить.
0
линуксовые LiveCD случайно не научились работать с реестром Win? :)
-1
Это умели еще линуксовые загрузочные дискеты
+1
НЛО прилетело и опубликовало эту надпись здесь
сборки WinPE с нужным софтом — под рукой должно быть всегда)
0
Ну, это уже стёб пошел, а на самом деле сотовые компании такому виду мошеничества способствуют.
+1
Вчера удалял его с одного компа (на весь экран, просил пополнить счет). После нажатия Win+D показал рабочий стол, просто закрыл окно и далее стандартная чистка. Был очень удивлен такой простотой.
0
Не холивара ради, но таки добавлю свои пять копеек. После новогодних бдений моего молодого братца я обнаружил на своем компе подобную заразу. Найдя на сайте Др.Веба описание, как можно от вируса избавиться, я впервые порадовался наличию второй системы. Да-да, это была Ubuntu. Дальше было дело пяти минут, после которых я радовался чистой Windows. Так что наличие второй системы под рукой всегда положительно.
+1
когда я ещё пользовался виндой и линуксом, системный раздел винды у меня всегда был забэкаплен (командой dd), и все подобные штуки лечились бы простой загрузкой в линукс и распаковкой бэкапа (10 минут). ну и потом может минут 15 на обновление софта (антивируса и браузера)
все пользовательские данные хранились на другом физическом разделе, и просто монтировались к диску Ц или подключались через симлинки или реестр (по аналогии с папкой home в линуксе)
все пользовательские данные хранились на другом физическом разделе, и просто монтировались к диску Ц или подключались через симлинки или реестр (по аналогии с папкой home в линуксе)
+2
Позавчера наткнулся на этот же винлок, ноут был медленный и я успел грохнуть процесс во время его запуска. Дальше мне очень помогла утилита HiJackThis free.antivirus.com/hijackthis/
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Изменить настройки темы
Избавление от нового Winlock`ера