Winlock объеденил разделы
 

Здравствуйте. Такая проблема: подхватил Winlock ( ваш комп заблокирован, отправьте СМС и т.д.). Темы по борьбе с ним почитал, но он, видимо, объеденил все три раздела в один С и при загрузке с LiveCD диск С не виден, предлагает его отформатировать. Как быть? Система не загружается, Winlock появляется на чёрном фоне.

Если окошко с блокером появляется до логотипа windows, то скажите об этом, если после логотипа, то выполните следующее:

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.

Окошко с блокером появляется до логотипа

На чистой машине

1. Скачайте образ Alkid Live CD, запишите образ на болванку
2. Скачайте TDSSkiller, и запишите на флешку

На проблемной машине

1. Включите в BIOS загрузку с CD
2. Подключите флешку
3. Загрузитесь с созданного диска
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr
5. Запакуйте папку c:\log с паролем virus и прикрепите к сообщению.

Корабль, типа такого?

?
Во-первых, не напрягайся: ничего подобные поделки ни с чем не объединяют. Во-вторых, ты уж определись -
или
Скорее всего, твой Live не имеет драйверов для контроллера твоего ж.диска (который, скорее всего, работает в режиме AHCI). Указанный
или его адекватный аналог, думаю, развеют твои страхи.

Вместо Alkid Live CD можете воспользоваться SafeZone Live CD скачать можно здесь, в состав последнего уже входит TDSSKiller а также входит утилита GetMBR by thyrex с помощью, которой тоже можно получить необходимый карантин.

regist, утилита GetMBR сохраняет файл на диск С, а у человека таблица разделов пошифрована похоже

Потому уточненная рекомендация из сообщения №4 имеет вид

да, такой точнопри попытке открыть предлагает форматировать, т.к. диск С не отформатированкак раз с него и загружался.
Тут дело не только в LiveCD. Я пытался сначала просто переустановить систему, и загрузочный сис. диск тоже показывает один С размером на весь винт, а было С, D и Е

не пойму как это сделать. Можно объяснить для чайника?

либо через командную строку - Пуск - Выполнить - пишите буква флешки:\tdsskiller.exe -qpath буква флешки:\mbrlog -qmbr буква флешки надо заменить на буку под которой будет определяться ваша флешка, либо создайте ярлык для tdsskiller-a и припишите нужные атрибуты в свойствах ярлыка.

пишет: Windows не удалось найти D:\tdsskiller.exe-path. Проверьте, что имя было введено правильно и т.д. Попробовал просто запустить Tdsskiller, он при запуске выдает две ошибки: Ошибка инициализации логирования и Ошибка загрузки драйвера. Потом всё равно сканирует какие-то 3 объекта и пишет, что угроз не обнаружено. скачал, не нашёл где там "Выполнить" и "Мой компьютер" тоже не нашёл, но пробовал запускать программы, которые генерируют код для блокеров, они хотят, чтобы я показал заражённый файл, пытаюсь открыть С, пишет надо форматировать.
Блин, может переставить систему? Можно потом восстановить хоть какие-то данные? Хотя бы фотки вытянуть.

не стоит:

• если содержимое разделов действительно зашифровано, то данным - лапти
• если разделы просто объединены, как ты говоришь, то элементарное восстановление таблицы разделов вернет тебе все данные обратно

а как восстановить таблицу разделов?
короче, наверное переставлю систему

А пробелы кто-будет писать между параметрами? Неужели в моей инструкции не видно, где нужно отступить...

Опять выскакивали 2 ошибки, о которых я писал: . Мне почему-то кажется, что он что-то не то сканирует.Вот лог:

Корабль, попробуйте вместо кода написать:

PASSWORD

Я на архив вообще пароль не ставил- не знаю как.

это не к архиву код, а код для вашего вымогателя. Там где они пишет Enter code: введите PASSWORD

Ааа, понял. ща попробую. Под Enter Code Написало Loading OC и всё, ОС ни фига не Loading.

А если вставить жёсткий в здоровую машину, я смогу вытянуть данные на здоровый жёсткий?

Вы выполнили дословно , до каждого знака и пробела в указанных командах ?


Можете . Но также можете заразить и здоровую систему.

да, всё как написаноуже вставил, скачал http://www.runtime.org/. Вроде пытается восстанавливать, пишет, что ещё 30 мин. Как закончит-отпишусь.

Код, который Вам предлагали, верный. Возможно нужная для старта системы информация была перезаписана вирусом (хотя оригинальный MBR находится во втором секторе)

Корабль, вы код вводить пытались ? какой был результат ?

всё, всем большое спасибо, фотки вытянул на здоровую машину, форматирую больной винт

можно и так - восстановить часть данных куда-то, затем потратить время на переустановку системы, драйверов, программ, затем вернуть скинутые данные обратно. А можно все сделать за 5-10 мин., сегодня столкнулся с подобным зверем.
Эта зараза портит таблицу разделов - в моем случае оригинальные данные о разбивке заменила на пару левых разделов, одному из которых прописала в качестве объема 666Гб (объем всего ж.диска - 500Гб).
Последовательно:

• тратим 1-2 минуты на снос левых разделов любым менеджером разделов (использовал Paragon'овский)
• берем PartitionRecovery от Active, проводим быстрое сканирование для поиска удаленных разделов - ваших, с данными. Находим, восстанавливаем (они сразу появятся в проводнике, если Live-среда не самая глупая). Не выходя из программы, убиваем вредоноса - MBR-овца - используем пункт FIX_mbr. Мне еще потребовалось сделать активным свежевосстановленный системный раздел, но, возм., я просто убрал лишнюю галку в диалоге восстановления раздела.

Итог: все загрузилось, все на месте, windows так и не узнал, сколько всего произошло с момента последней перезагрузки :)

На днях еще раз столкнулся с модифицированным MBR'щиком. Знаете, что? У него есть имя, версия, копуриты и т.д. - зайдите в св-ва ЕХЕ-шника. Итак, наш герой:

x2z8.exe
версия файла: 1.0.3.69
описание: neorotryfa SoftWare ©.
Авторские права: neorotryfa © 2010-2012
Исходное имя файла: yzwbzssyxo.exe
Версия продукта: 2.93.32081

Как еще лицензию не предлагает проверить, с пунктом "попытка деактивации является нарушением прав и чревата ..."

ЗЫ: подробнее: ссылка на его брата у вирустотала
ЗЗЫ: совсем оборзели...