Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Winlock объеденил разделы (http://forum.oszone.net/showthread.php?t=232684)

Корабль 12-04-2012 18:33 1898436

Winlock объеденил разделы
 
Здравствуйте. Такая проблема: подхватил Winlock ( ваш комп заблокирован, отправьте СМС и т.д.). Темы по борьбе с ним почитал, но он, видимо, объеденил все три раздела в один С и при загрузке с LiveCD диск С не виден, предлагает его отформатировать. Как быть? Система не загружается, Winlock появляется на чёрном фоне.

regist 12-04-2012 19:06 1898454

Если окошко с блокером появляется до логотипа windows, то скажите об этом, если после логотипа, то выполните следующее:

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

Корабль 12-04-2012 22:37 1898567

Окошко с блокером появляется до логотипа

regist 12-04-2012 22:39 1898568

На чистой машине

1. Скачайте образ Alkid Live CD, запишите образ на болванку
2. Скачайте TDSSkiller, и запишите на флешку

На проблемной машине

1. Включите в BIOS загрузку с CD
2. Подключите флешку
3. Загрузитесь с созданного диска
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr
5. Запакуйте папку c:\log с паролем virus и прикрепите к сообщению.

ShaddyR 12-04-2012 23:53 1898598

Корабль, типа такого?

?
Во-первых, не напрягайся: ничего подобные поделки ни с чем не объединяют. Во-вторых, ты уж определись -
Цитата:

Цитата Корабль
диск С не виден »

или
Цитата:

Цитата Корабль
предлагает его отформатировать »

Скорее всего, твой Live не имеет драйверов для контроллера твоего ж.диска (который, скорее всего, работает в режиме AHCI). Указанный
Цитата:

Цитата regist
Alkid Live CD »

или его адекватный аналог, думаю, развеют твои страхи.

regist 13-04-2012 10:24 1898715

Цитата:

Цитата ShaddyR
Alkid Live CD »
или его адекватный аналог, думаю, развеют твои страхи. »

Вместо Alkid Live CD можете воспользоваться SafeZone Live CD скачать можно здесь, в состав последнего уже входит TDSSKiller а также входит утилита GetMBR by thyrex с помощью, которой тоже можно получить необходимый карантин.

thyrex 13-04-2012 15:49 1898910

regist, утилита GetMBR сохраняет файл на диск С, а у человека таблица разделов пошифрована похоже

Потому уточненная рекомендация из сообщения №4 имеет вид

Цитата:

На чистой машине

1. Скачайте образ Alkid Live CD, запишите образ на болванку
2. Скачайте TDSSkiller, распакуйте его и запишите на флешку

На проблемной машине

1. Включите в BIOS загрузку с CD
2. Подключите флешку
3. Загрузитесь с созданного диска
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath буква флешки:\mbrlog -qmbr
5. Запакуйте папку mbrlog с паролем virus, выложите на обменник и пришлите ссылку мне в личные сообщения

Корабль 14-04-2012 00:01 1899193

Цитата:

Цитата ShaddyR
Корабль, типа такого?
? »

да, такой точно
Цитата:

Цитата ShaddyR
Во-вторых, ты уж определись -
Цитата Корабль:
диск С не виден »
или
Цитата Корабль:
предлагает его отформатировать » »

при попытке открыть предлагает форматировать, т.к. диск С не отформатирован
Цитата:

Цитата ShaddyR
Указанный
Цитата regist:
Alkid Live CD »
или его адекватный аналог, думаю, развеют твои страхи. »

как раз с него и загружался.
Цитата:

Цитата ShaddyR
Во-первых, не напрягайся: ничего подобные поделки ни с чем не объединяют. »

Тут дело не только в LiveCD. Я пытался сначала просто переустановить систему, и загрузочный сис. диск тоже показывает один С размером на весь винт, а было С, D и Е

Цитата:

Цитата thyrex
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath буква флешки:\mbrlog -qmbr »

не пойму как это сделать. Можно объяснить для чайника?

regist 14-04-2012 00:18 1899201

Цитата:

Цитата Корабль
не пойму как это сделать. Можно объяснить для чайника? »

либо через командную строку - Пуск - Выполнить - пишите буква флешки:\tdsskiller.exe -qpath буква флешки:\mbrlog -qmbr буква флешки надо заменить на буку под которой будет определяться ваша флешка, либо создайте ярлык для tdsskiller-a и припишите нужные атрибуты в свойствах ярлыка.

Корабль 14-04-2012 01:33 1899236

Цитата:

Цитата regist
через командную строку - Пуск - Выполнить - пишите буква флешки:\tdsskiller.exe -qpath буква флешки:\mbrlog -qmbr »

пишет: Windows не удалось найти D:\tdsskiller.exe-path. Проверьте, что имя было введено правильно и т.д. Попробовал просто запустить Tdsskiller, он при запуске выдает две ошибки: Ошибка инициализации логирования и Ошибка загрузки драйвера. Потом всё равно сканирует какие-то 3 объекта и пишет, что угроз не обнаружено.
Цитата:

Цитата regist
SafeZone Live CD »

скачал, не нашёл где там "Выполнить" и "Мой компьютер" тоже не нашёл, но пробовал запускать программы, которые генерируют код для блокеров, они хотят, чтобы я показал заражённый файл, пытаюсь открыть С, пишет надо форматировать.
Блин, может переставить систему? Можно потом восстановить хоть какие-то данные? Хотя бы фотки вытянуть.

ShaddyR 14-04-2012 02:01 1899248

Цитата:

Цитата Корабль
может переставить систему? »

не стоит:
  • если содержимое разделов действительно зашифровано, то данным - лапти
  • если разделы просто объединены, как ты говоришь, то элементарное восстановление таблицы разделов вернет тебе все данные обратно

Корабль 14-04-2012 02:29 1899256

а как восстановить таблицу разделов?
короче, наверное переставлю систему

thyrex 14-04-2012 12:24 1899414

Цитата:

Цитата Корабль
пишет: Windows не удалось найти D:\tdsskiller.exe-path. »

А пробелы кто-будет писать между параметрами? Неужели в моей инструкции не видно, где нужно отступить...

Корабль 14-04-2012 13:08 1899437

Вложений: 1
Опять выскакивали 2 ошибки, о которых я писал:
Цитата:

Цитата Корабль
Ошибка инициализации логирования и Ошибка загрузки драйвера »

. Мне почему-то кажется, что он что-то не то сканирует.Вот лог:

regist 14-04-2012 13:30 1899456

Корабль, попробуйте вместо кода написать:

PASSWORD

Корабль 14-04-2012 13:46 1899466

Я на архив вообще пароль не ставил- не знаю как.

regist 14-04-2012 13:49 1899469

Цитата:

Цитата Корабль
Я на архив вообще пароль не ставил- не знаю как. »

это не к архиву код, а код для вашего вымогателя. Там где они пишет Enter code: введите PASSWORD

Корабль 14-04-2012 13:54 1899473

Ааа, понял. ща попробую. Под Enter Code Написало Loading OC и всё, ОС ни фига не Loading.

Корабль 14-04-2012 14:11 1899483

А если вставить жёсткий в здоровую машину, я смогу вытянуть данные на здоровый жёсткий?

iskander-k 14-04-2012 15:57 1899543

Цитата:

Цитата Корабль
Опять выскакивали 2 ошибки, о которых я писал: »

Вы выполнили дословно , до каждого знака и пробела в указанных командах ?


Цитата:

Цитата Корабль
А если вставить жёсткий в здоровую машину, я смогу вытянуть данные на здоровый жёсткий? »

Можете . Но также можете заразить и здоровую систему.

Корабль 14-04-2012 16:21 1899563

Цитата:

Цитата iskander-k
Вы выполнили дословно , до каждого знака и пробела в указанных командах ? »

да, всё как написано
Цитата:

Цитата iskander-k
Можете . Но также можете заразить и здоровую систему. »

уже вставил, скачал http://www.runtime.org/. Вроде пытается восстанавливать, пишет, что ещё 30 мин. Как закончит-отпишусь.

thyrex 14-04-2012 17:52 1899620

Код, который Вам предлагали, верный. Возможно нужная для старта системы информация была перезаписана вирусом (хотя оригинальный MBR находится во втором секторе)

regist 14-04-2012 18:08 1899635

Корабль, вы код вводить пытались ? какой был результат ?

Корабль 14-04-2012 19:05 1899671

Цитата:

Цитата Корабль
Под Enter Code Написало Loading OC и всё, ОС ни фига не Loading. »

всё, всем большое спасибо, фотки вытянул на здоровую машину, форматирую больной винт

ShaddyR 15-04-2012 23:40 1900372

Цитата:

Цитата Корабль
форматирую больной винт »

можно и так - восстановить часть данных куда-то, затем потратить время на переустановку системы, драйверов, программ, затем вернуть скинутые данные обратно. А можно все сделать за 5-10 мин., сегодня столкнулся с подобным зверем.
Эта зараза портит таблицу разделов - в моем случае оригинальные данные о разбивке заменила на пару левых разделов, одному из которых прописала в качестве объема 666Гб (объем всего ж.диска - 500Гб).
Последовательно:
  • тратим 1-2 минуты на снос левых разделов любым менеджером разделов (использовал Paragon'овский)
  • берем PartitionRecovery от Active, проводим быстрое сканирование для поиска удаленных разделов - ваших, с данными. Находим, восстанавливаем (они сразу появятся в проводнике, если Live-среда не самая глупая). Не выходя из программы, убиваем вредоноса - MBR-овца - используем пункт FIX_mbr. Мне еще потребовалось сделать активным свежевосстановленный системный раздел, но, возм., я просто убрал лишнюю галку в диалоге восстановления раздела.
Итог: все загрузилось, все на месте, windows так и не узнал, сколько всего произошло с момента последней перезагрузки :)

ShaddyR 10-05-2012 16:38 1913510

На днях еще раз столкнулся с модифицированным MBR'щиком. Знаете, что? У него есть имя, версия, копуриты и т.д. - зайдите в св-ва ЕХЕ-шника. Итак, наш герой:

x2z8.exe
версия файла: 1.0.3.69
описание: neorotryfa SoftWare ©.
Авторские права: neorotryfa © 2010-2012
Исходное имя файла: yzwbzssyxo.exe
Версия продукта: 2.93.32081

Как еще лицензию не предлагает проверить, с пунктом "попытка деактивации является нарушением прав и чревата ..."

ЗЫ: подробнее: ссылка на его брата у вирустотала
ЗЗЫ: совсем оборзели...


Время: 22:15.

Время: 22:15.
© OSzone.net 2001-