|
Железо & Операционные системы Обсуждение проблем возникающих при работе ОС, программные и аппаратные ошибки. Настройка мат. плат, BIOS, выбор комплектующих |
|
Опции темы | Оценить тему |
09.07.2011, 01:03 | #1 |
Участник
Регистрация: 15.01.2010
Сообщений: 180
ICQ: 133448 Репутация: 231
|
WINLOCK
.не могу снять винлок
сталкиваюсь уже второй раз с таким, в интеренетах инфы не нашел, даже не знаю как называется, скачивал Kaspersky Rescue Disk 10, вроде вычистил винт, а проблема осталась, кто сталкивался, как это лечится? скриншоты: http://tltracker.org/gallery/show/30266 http://tltracker.org/gallery/show/30265 знаю что лечится сносом винды, и фул форматированием, как то нежелательно это делать)
__________________
пришёл.увидел.нафлудил |
09.07.2011, 01:09 | #2 |
Дантист
Регистрация: 17.06.2007
Сообщений: 178
Репутация: 1268
|
где вы только это говно умудряетесь находить...
__________________
Информация -это данные, которые меняют нас. |
09.07.2011, 01:12 | #3 |
Участник
Регистрация: 15.01.2010
Сообщений: 180
ICQ: 133448 Репутация: 231
|
))) у меня на компе не разу такого не было, у знакомых вылезло
Антивир стоял НОД32, вывод ....
__________________
пришёл.увидел.нафлудил |
Плюсанул respect63 : |
09.07.2011, 01:13 | #4 |
Участник
Регистрация: 10.11.2007
Сообщений: 457
ICQ: 4888444 Репутация: 1024
|
|
09.07.2011, 01:21 | #6 |
Участник
Регистрация: 15.01.2010
Сообщений: 180
ICQ: 133448 Репутация: 231
|
я в мечтах о таком большом экране..
сижу с флатроном 17..... скачивал этот Kaspersky Rescue Disk 10 этого что то не нашел.. ща будем пытаться, какие еще методы есть?
__________________
пришёл.увидел.нафлудил |
09.07.2011, 01:25 | #7 |
Участник
|
качаешь любой вин-live cd, запускаешься с него, на флешку заливаешь AutoRuns (анализ приложений, запускаемых при включении компьютера, в т.ч. и в автономной системе), запускаешь с live cd эту прожку и file-analyze offline system и указываешь папку вин с твоей зараженной системой, и твой профиль в documents and settings, удаляешь подозрительное с авторана, но перед этим file-save и сохраняешь на флешку или на жд, это бекап твоего авторана, чтобы можно было восстановиться на первоначальное положение. А также полазь по папкам пользователей, по application settings на предмет левых свежих екзешников, это мне помогало чуть ли не в половине случаев. Кстати, эта программа (autoruns) есть на alkid live cd ;)
В моей практике - помогало в 100% случаев, ибо не в встречал вирусов, которые прописываются в mbr (слухи о таких ходили), хотя они должны лечиться простым fixmbr... У себя же - ни разу не ловил ничего такого, при том, что почти всегда без антивируса (тупо лень поставить), а если уж и поставлю, то only касперский. Самое ужасное это авира, аваст... Плюс еще в качестве firewall'a порекомендую outpost/comodo, доверие к ним абсолютно одинаковое. Последний раз редактировалось Toushiro; 09.07.2011 в 01:28. |
10.07.2011, 16:05 | #8 | |
Регистрация: 22.02.2011
Сообщений: 187
ICQ: 90000 |
Цитата:
Антивирус - не панацея. Посмотри в реестре - откуда шелл (explorer.exe) грузится.
__________________
Многоточие - Дыши. Не сдаемся братцы, худшее позади - лучшее впереди. Люби свою вторую половинку, уважай маму, двигайся ровно. Пейджер: ЛС |
|
11.07.2011, 20:37 | #10 |
Дантист
Регистрация: 17.06.2007
Сообщений: 178
Репутация: 1268
|
видимо вы на один тот же сайт заходили...
__________________
Информация -это данные, которые меняют нас. |
Плюсанул Vitek3p : |
11.07.2011, 22:22 | #12 |
Участник
|
черт побери, почему ты не читаешь советы в теме, где ты их просишь?
|
11.07.2011, 22:29 | #14 |
Участник
|
respect63, .★. При чем здесь антивирь вообще и нод в частности, 5 лет стоит нод и никогда не было винлоков, что дома, что на работе. Главное мозги. На работе парк более 100 машин.
__________________
Что }|{изнЪ.?.?. - эффект побочный от занятий се|{сом... ©[alex.kaz] «Специалист по социальной инженерии, ведь для человеческой глупости нет патча» |
11.07.2011, 22:36 | #16 | |
Участник
Регистрация: 10.11.2007
Сообщений: 457
ICQ: 4888444 Репутация: 1024
|
alex.kaz, у кого-то есть девушка, у кого-то нет девушки ((
Цитата:
Полезная тема #1 Полезная тема #2 |
|
11.07.2011, 23:12 | #17 |
Участник
Регистрация: 14.04.2007
Сообщений: 173
Репутация: 50
|
respect63, судя по тексту могу предположить, что это тот, который заменяет файлы C:\WINDOWS\system32\userinit.e xe и C:\WINDOWS\system32\taskmgr.ex e на свои, в реестре меняет HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon параметр Shell на свой, который лежит в C:\Documents and Settings\пользователь (значение в реестре нужно заменить на Explorer.exe). Загружаешься с лайв сиди, берешь эти 2 файла из другой такой же винды(русская\английская) - заменяешь их, меняешь значение в реестре и удаляешь файлы из Documents and Settings.
__________________
Нужный человек не в том месте может перевернуть мир. © Half Life 2 |
Плюсанул freddi : |
11.07.2011, 23:28 | #18 | |
Участник
Регистрация: 15.01.2010
Сообщений: 180
ICQ: 133448 Репутация: 231
|
лайв сиди не смог запустить, (чозабред >_<)
скачал данную сборку ни в какую не хочет запускаться, пишет вот это http://tltracker.org/gallery/show/30544 Volkodav88, Блокер не предполагает кодов разблокировки. sm0ke да, все работает кроме лайва Цитата:
__________________
пришёл.увидел.нафлудил Последний раз редактировалось respect63; 11.07.2011 в 23:50. |
|
11.07.2011, 23:58 | #20 |
Участник
|
возьми образ специально для usb и залей его с помощью ghost'a
|
Плюсанул Toushiro : |
12.07.2011, 22:22 | #21 | |
Участник
Регистрация: 20.02.2010
Сообщений: 242
ICQ: 3727273 Репутация: 281
|
Цитата:
купи балванку, запиши образ, помогло - чем с флэхой мучиться
__________________
|
|
12.07.2011, 22:38 | #22 |
Участник
|
Dumqa, у меня вот нет привода, а друзья все поуезжали, остались двое: один с нетбуком, другая с планшетом.
|
12.07.2011, 22:43 | #23 |
Участник
Регистрация: 20.02.2010
Сообщений: 242
ICQ: 3727273 Репутация: 281
|
Toushiro, ну тогда удачи тебе :)
Добавлено через 5 минут есть еще у кого нибудь варианты как победить этот злобный WINLOCK?
__________________
Последний раз редактировалось Dumqa; 12.07.2011 в 22:48. Причина: Добавлено сообщение |
13.07.2011, 07:12 | #24 | |
Археолог
Регистрация: 03.08.2010
Сообщений: 962
ICQ: 574454445 Репутация: 2197
|
Возможно модификации: Trojan.WinLock.3252, Trojan.WinLock.3266, Trojan.WinLock.3278
1) Dr.Web® LiveCD + InfraRecorder - Запуск программы, выбор пункта меню: Действия – записать образ, указываем путь к образу, выбираем устройство записи компакт дисков, т.е. CD или DVD-ROM, OK. 2) Утилита от Лаборатории Касперского, которая записывает iso-образ Kaspersky Rescue Disk 10 на USB-устройство: Rescue2USB + RescueDisk10 (Version kav_rescue_10.iso: 10.0.29.2) - Готовим USB Flash (минимально на 256 MB), выставляем в BIOS приоритет загрузки с USB Flash, запускаем Rescue2USB, инсталлируем, выбираем образ диска, стартуем, на выходе видим: 3) ERD Commander 5.0/6.0/6.5 Цитата:
Для записи на флэшку ERDUSB (~122.60 MB) - (!) Осторожно народ (!) - инструкция внутри. Грузимся из-под ERD Commander, нужно удалить файлы: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe - приведен в качестве примера C:\WINDOWS\System32\userinit.e xe C:\WINDOWS\System32\taskmgr.ex e С:\WINDOWS\System32\dllcache\u serinit.exe С:\WINDOWS\System32\dllcache\t askmgr.exe Этот файл C:\WINDOWS\System32\03014D3F.e xe переименовать в userinit.exe Потом правим реестр: Жмём Start –> Administrative Tools –> Registry Editor. В окне ERD Commander Registry Editor находим ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon Справа находим ключ Shell и исправляем у него значение на Explorer.exe или Грузимся из-под ERD Commander, ищем и проверяем ветку реестра: HKLM\SOFTWARE\Microsoft\Window s NT\CurrentVersion\Winlogon\She ll -> должно быть значение Explorer.exe Выбираем параметр Shell и изменить значение на правильное - т.е. стираем что есть и пишем Explorer.exe Проверяем значения: HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon\Use rinit -> должно быть значение userinit.exe, HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\SafeBoot \AlternateShell -> должно быть значение cmd.exe HKEY_LOCAL_MACHINE\SYSTEM\Cont rolSet001\Control\SafeBoot -> должно быть значение cmd.exe В ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Image File Execution Options -> не должно быть параметров explorer.exe и/или taskmgr.exe - удаляем. В ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \policies\system -> не должно быть параметра DisableTaskMgr - удаляем. После исправлений - перезагрузка. + смотрим подозрительные файлы в папке автозагрузки и в ключах реестра: HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion \Run HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\ Run 4) Win7PE_uVS (WinPE_uVS _recSys.iso ~113.62 MB) или Win7PE_uVS (~201.31 MB) - (!) Осторожно народ (!) + InfraRecorder или Free ISO Burner - Запуск, в открывшемся окне жмём "Open" и указываем файл образа загрузочного диска, убеждаемся, что в поле "Drive" указано название привода и жмём "Burn". Загружаемся с него, появится окно FreeCommander, запускаем утилиту uVS(выбираем зеленую иконку), выбор каталога Windows, запустить под текущим пользователем, жмём F1 чтобы "Скрыть проверенные" и "Скрыть известные" файлы, переход на вкладку "Подозрительные и вирусы" и пометятся все подозрительные файлы: Двойной клик по каждому файлу для просмотра описания, хоть нужные файлы(проверенные, известные) и скрыты, при просмотре обратите внимание в описании имеется строчка с таким текстом - Microsoft Corporation их не удалять. При нахождении вируса, необходимо добавить его в базу вирусов. 22CC6C32.exe - это и есть Trojan.WinLock.3252 Правый клик, в меню выбираем: в буфер обмена, копировать имя файла, добавить сигнатуру файла в вирусную базу, в появившемся окне вставляем название вируса из буфера обмена, и жмем ОК. "Проверить список" или F7, после нажатия появятся все вирусы которые хранятся на ПК они будут помечены красным, выбираем "Убить все вирусы", перезагрузка. Если загрузка не произошла, то необходимо загрузиться с Win7PE_uVS, в окне FreeCommander выбрать иконку с символом Windows. Программа сама восстановит все системные файлы, и загрузка операционной системы должна произойти. --\\-- При загрузки с загрузочного диска, проверяем нет ли на рабочем столе файла test.exe, если есть - удаляем, далее по пути С:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe(название может быть другим), заходим в раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon там: - значение параметра Shell исправить на значение explorer.exe - значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.e xe, (не забываем про запятую в конце строки) далее в реестре через поиск найти упоминание файла с названием 22CC6C32.exe(название может быть другим) - удалить эти строки. - копируем файл userinit.exe из папки С:\WINDOWS\system32 в любое другое место(делаем резервную копию) - удаляем файл userinit.exe из папки С:\WINDOWS\system32 - находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe - перезагружаем компьютер --\\-- Бывает, что вместе с ним на машину попадает alyazlaya.exe PHP код:
--\\-- Возьми его грубо: PHP код:
--\\-- И не забываем, что если появился WinLock, первое, что нужно сделать - это проверить, может ли компьютер загружаться в безопасном режиме. Если да, следует просто воспользоваться функцией восстановления системы. Это не только удалит временные папки, но и восстановит изменённые ветки системного реестра. Воспользоваться встроенной средой восстановления Windows RE Пробуем запустить командную строку сочетанием клавиш Windows+R. Далее, в командной строке указываем путь к исполняемому файлу антивируса или удаляем папку в документах пользователя Local settings\Temporary Internet Files Вызываем центр специальных возможностей сочетание Windows+U и выбираем экранную лупу, на экране её запуска есть ссылка на сайт Microsoft, при нажатии на которую, вызывается браузер. В поле ввода адреса можно прописать путь к антивирусу на компьютере или найти и удалить сам WinLock. Заходим в BIOS и переводим часы компьютера на пару-тройку суток вперёд (:
__________________
n3kt0 и Я, разные люди! Они даже между собой не разговаривают друг о друге. |
|
13.07.2011, 10:05 | #25 |
Участник
Регистрация: 26.05.2011
Сообщений: 11
Репутация: -20
|
http://www.drweb.com/unlocker/index/?lng=ru - шлифуй (%
|