у подруги при загрузке win xp2 - ""Ваш компьютер заблокирован за просмотр, копирование и..." - и пипец, дальше предлагается переслать денег на вэб-мани и ввести полученный код. В безопаснй режим войти нельзя
Загрузился с ERD-Commander, проверил реестр в обычных для таких случаев местах, вроде все ок:
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon:
параметр Shell – explorer.exe,  параметр Userinit - C:\WINDOWS\system32\userinit.exe,
в HKLM\ SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run- ничего подозрительного
Глазками+ручками проверил систеный диск на наличие подозрительных файлов - не нашел
Снял диск, принес домой, подключил вторым. Прогнал свежим Cureit - вирусов не обнаружил, сравнил файлы explorer.exe и userinit.exe на своем компе и на зараженном диске - одинаковы

Кто-нить что-то может пояснить? Нуждаюсь в помощи

типа подробности
при загрузке никаких картинок типа "бегущей полоски" нет, практически сразу черный экран с красными буквами и предложением ввести полученный в результате олплаты код

fixboot
fixmbr

недавно столкнулись с таким. Он прописался в загрузочную запись...

(2) весело :(
получается зря я диск домой притащил, это только на родном сделать можно, я прав?

(0) подруга старая и страшная чтоле? )
(2) да, очистить boot любым из вариантов.

(3) все правильно сделал.)

(4)не подруга старая и не страшная ...вернее старая, но в смысле возраста :)
(5) в смысле? можно полечить и у себя на компе?

бут в этом случае - на диске.. я в шоке от понимания. это не bios.

+6  подруга НЕ старая и НЕ страшная ...вернее старая, но в НЕ в смысле возраста :)

boot /mgr
спасет по идее

(7): угу, я тоже.
(8): далаааднооо... первоесловодорожевторово!

(2) +1

(10) да блин, сформулировал неверно

* mbr

(0)
На днях разблокировал так свежий блокировщик:
зашел под дгугим пользователем (ctrl+alt+del+del)-и там администратор без пароля был.

И под другим пользователем в загрузчике оно не было прописано.

как быстро люди отвыкли от бутовой вирусни. а ведь прошло-то всего 10 лет

Мои тоже поймали такой.  fixboot и fixmbr легко решили проблему.

Были такие проблемы у двух клиентов.
Решение такое: во временных файлах (папка Temp) лежит файл, в названии есть цифры с расширением .exe и там же есть батник, который обращается к этому файлу.
Нужно загрузиться с live-cd, найти эту папку и всю её почистить, с автозагрузки убрать батник, потом попробовать загрузиться.

(14)+
в сейф моде зайти было нельзя - синий экран.

(14) сам ставил ей винду с год назад, спецом одного пользователя - адиниа оставлял
(16) упс,  fixboot И fixmbr
(17) темпы все почистил сходу, зверь не там

(17)Там загрузчик. А само тело в бутсекторе. Халфа что-ли никто не помнит?

почему только оригинальность файлов explorer.exe и userinit.exe проверил? бывает и taskman и taskmgr подменяют.

админы лихие. не, я понимаю ссылки на сайты со сходной тематикой тереть. но на ру-трекер с авторским лив-бутом, заодно с текстом про то, как облегчить задачу избавления от подобной фигни на будущее.

(23) классика потому-что
(21) так все-таки, можно диск "E" (не "загрузочный" сейчас) при помощи fixboot и fixmbr пофиксить? и какова последовательность действий?

(24) не осилят потому что )

лано, всем спасибо, буду пробовать fixboot и fixmbr

(24) авторский, говоришь? а насколько этот авторский лайв легален?

(25)Партишеном попробуй. Или акронисом.

А самое смешное, касперский и нод его пропускают. Еще две машины.

(30) тут ситуация переменчивая. веб тоже тупит зачастую, иногда даже им пошлёшь уже тело вируса, две недели - ни привета, ни ответа, в базу до сих пор не внесли.

так что самое безотказное оружие - голова и руки админа

Самое безотказное - слепок системы. У меня вообще ни из одна программ не требует устновки. Все запусается с шары в сети. Идеальная взаимозаменяемоть машин.

тьфу тьфу тьфу. никогда у меня такого не было. + на компе 3 года антивиря нет. вин 7 стоит.

Ну тыж не тупой юзер.

(32)Все запускается с шары в сети.Это как?

Пробуйте сменить системную дату в биосе на год вперед-назад.

Все лежит на подключаемрм сетевом диске.

(37)Что всё?

Один раз нечто подобное было - вылезала подобная надпись еще до загрузки системы, вирусяку не убивало даже форматирование, пришлось ручками убивать, с помощью какой-то нортоновской утилитки нолики ставил, кажется загрузочную запись обнулял

(39) Поясните точнее "загрузочную запись обнулял"

Поищи помощь тут:

http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index/?lng=ru
http://www.esetnod32.ru/support/winlock.php
http://mbty2010.narod.ru/

ребята молодцы
с лохов деньги стричь надо =)

Где вы все эту хрень находите? Ни разу таких блокировщиков живьем не видела

(43) порнушные дела у них видимо
не мешай
на этом заработать можно

(0) Я один "блокировщик" лечил так. Загружался  с касперского диска, настраивал доступ в сеть, потом качал базы (обновление). Дале каспер все вылечил, но и снес userinit.exe зараженный. Пришлось тащить этот файл с другой машины. Вирус  сидел в AppData во всех пользователях где только можно и еще куча копий.

(43)Я например проверял skydns.Набрал в гугл порно и ходил по ссылкам.Одна открылась.Ну думаю ладно заодно MSE проверю.MES только успел вякнуть внимание обнаружен инжект какой-то и всё.Синий экран с заманчивыми предложениями.

(0) Windows-блокировщики в своем большинстве это не вирусы.

еще один пейсатель (45)

докладаю:  ;)
при анализе зараженного диска, когда он стоял вторым у меня на компе,в корне его системного диска обнаружил папку с примерно таким названием "DoctorWeb carantine..."
Папка отказывалась удаляться до тех пор, пока не натравил на нее анлокер. После этого, при попытке загрузиться уже с этого диска,  получил обычный синий экран, который "полечился" мягким воссановлением системы
ps: не претендую на истину в последней инстанции, но что-то там в той папке таки было нехорошее :)

всем спасибо

эх, а ведь я предупреждал, что темы будут...

(49) бу-га-га )))
DoctorWeb carantine - ессесно там нехорошее, там веб вирусню сложил. только навряд ли она оттуда в память грузилась

(51) неправда,  DoctorWeb создает карантин в "документах и сетингах", а это в корне

+52 и я говорю о том, что реально было, не фантазирую...

(52) думаешь, DrWeb LiveCD/USB в курсе, под каким усером и с какого раздела ты работаешь? ему как бы на это с прибором, он вообще на линухе

(54) не было там DrWeb LiveCD и в помине, только cureit.exe

(55) отвечаешь? может, это было давно
дата создания папки какая?

(56) про дату создания уже не скажет никто :) ...да и подделать ее ничего не стоит
а насчет  отвечаешь - я-же сказал "не претендую на истину в последней инстанции"
конечно, я почистил все темпы и кэши, может конечно и там что-то было...

кстати, если была папка именно "carantine " - тогда да, скорее всего вирусня создала.
у веба Quarantine

(58) неуверен, пишу по-памяти, могк ошибаться
еще, до того как пролечил, сравнивал файлы на зараженном и на чистом дисках -explorer.exe, userinit.exe, ntldr, ntdetect.com  - отличий не было

cuarantine или quarantine

(59) это не показатель. вариантов полно

(60) - (59) :)
собственно, я продлил эту ветку не для того что-бы поспорить, просто мне показалось, что будет уместно известить "как все прошло", ну и предупредить, что возможны такие маскировки :)

ко мне 2 недели назад знакомый обратился. с первого раза Kaspersky Deblocker не помог - пришлось еще вручную зачищать все папки, в которых он нашел и удалил вирусню (Temp и Temporary Internet Files). но он хоть реестр очистил.
правда, я так и не понял, как после первой зачистки (очистка веток реестра и удаление вирусов самим Kaspersky Deblocker этот "блокировщик" проявился опять - по идее, загрузчик уже отсутствовал на диске, так что вызвал тело из загрузочного сектора было некому. И только когда я полностью удалил папки или все файлы из этих папок - только тогда наступило счастье.

Задолбали. Уже сделал загрузочную флешку с батником для запуска fixboot и fixmbr. Счет машин уже пошел на третий десяток. Нод и Ксперыч пропускают гада. Только ХР, не одной семерки.

(64) эпидемия намечается?  ...может поделишься ISO-образом загрузочной флешки?
...доброе дело сделаешь, де-нить - да зачтется ;)

Для удаления rootkit с инфицированной машины просто используйте "Консоль восстановления", команда: fixmbr. То же - для профилактики.

ISO обычный образ винды, батник просто две строчки fixboot и fixmbr.

Нашел решение проблемы, как мне кажется, ставлю в биосе защиту MBR.

(67) понятно :) ...я думал что-нить типа сильно-облегченной ОС, желательно на флешке
(68) спасибо, примем на вооружение

(68) Гы-гы-гы. Когда-то это нормой было. Воистину (15)

(70) 10 лет в этой области - это много, немудрено что забылось ...кста и не 10, как-бы не 20 уже :)

(71) чо? какие 20 лет? УанХалф и Натас забыл уже?

(72)Natas (Satan spelled backwards) is a virus written by James Gentile, a then-18-year-old hacker from San Diego.
The virus first appeared in Mexico City in May 1992
у тебя как с математикой? :)

оффтопик, сорьки :)
Антивирус: Ты кто?
Вирус: Область данных!
Антивирус: А не вирус?
Вирус: Ни, боже мой!
Антивирус: А зачем прерывания перехватываешь?
Вирус: Я?!
Антивирус: Вот же подпрограмма!
Вирус: Это не подпрограмма. Это цитата из Лао-Цзы на языке оригинала в альтернативной кодировке…
Антивирус: А зачем exe-файлы ищешь?
Вирус: А вдруг хозяин спросит: «А где мои exe-файлы?». А я ему – вот они!
Антивирус: Сдается мне, что ты все-таки вирус...
Вирус: Ну ладно, признаюсь тебе, только ты никому не говори! На самом деле я… антивирусная вакцина!
Антивирус: А зачем нужна антивирусная вакцина, если есть я?
Вирус: Откуда я знаю? У хозяина спроси.
Антивирус: А если я тебя, на всякий случай, все-таки грохну?
Вирус: А если я тебя?..
Антивирус: Не получится! У меня управление!
Вирус: А ты свою контрольную сумму давно пересчитывал?
Антивирус: А при чем тут моя контрольная… ой!!!

(73) время создания и время жизни различаем?

(74) боян :) как раз из тех лет

(73) кстати, откуда креатив? вот здесь указывается дата создания как май 1994 года :

http://virus.wikia.com/wiki/Natas

(75) шутить изволите?  
кста, я так и не идетнифицировал вирус,  bizon2008, ты название его имеешь?  
(77) вики, они разные бывают :)  http://en.wikipedia.org/wiki/Natas_(computer_virus)

andrewks, ты-ж модератор, может знаешь как в сообщении выделить слово? или это не всем доступно?

(78) в этой области virus.wikia.com доверия поболее, имхо

(79) ? какое слово?

ну к примеру - <b>andrewks</b>

(82) О_о ты меня опять удивляешь...
читай тут: https://1cers.ru/about.php#topic

(83) я подозревал что это где-то описано, но,сам понимаешь, инструкцию читаем только в крайнем случае  :))

Очередной счастливчик выиграл вирус :)
Опять по порно сайтам лазила, но все скажет, что кроме ВКонтакте нигде не была :)

(78)Я ними не знакомлюсь. У меня разговор короткий. Нафуй с винта. И все.

(85)Нет. У него какая-то другая технология распространения. Под раздачу попали даже те машины которые в нет не ходят.

(85) ну там еще есть муж и дочка, так что кто виноват теперь не узнаешь
(86) зря, врага надо изучать
(83) забань меня что-ли, а то я не могу себя заставить почесть все и вдумчиво :)

(87) ну те что не ходили - они-же в сети наверное ...по-любому из инета. где-то проскакивала инфа, что с он-лайн видео такое на раз получить можно

(87) мой клиент (см. (63)) сам сознался, что порнушку искал/качал/смотрел.
я его убедил поставить KIS - обидно будет, если он пропустит эту вирусню, а загрузочная флешка клиента не спасет - у него в BIOS (2002 года) еще нет загрузки с флешек :-(

(87) если найдешь на 31-й тачке, прежде чем убивать - скорми Касперскому, туча людей тебе "спасибо" скажут :-)

Народ дайте пожалуйста ссылку на скачивания ЕRD

(91)И как? Касперыч его не видит. Специально подключал вин к машине с лицензионным и обновлен по самое не могу каперским. Не нашел.
Халфу, если память не изменяет то ли лозинский, то ли доктор веб находили.
Курей тоже не находит.

(93) ну хотя бы boot-сектор сохрани на дискетку :-)
ЗЫ: я своим лицензионным и обновленным по самое не могу касперычем проверил этот диск только после того, как его обработал KRD (Kaspersky Rescue чего-то-там), поэтому не удивился, что он в файлах его не нашел, но когда при загрузке с этого винта блокировщик сработал опять - мне стало интересно, где же он сидел на самом деле.
fixboot и fixmbr я не делал - просто удалил ВСЕ файлы и папки, на которые ссылался при зачистке сам KRD.

фиксмбр не имеет отношения к файлам

(95) спасибо, кэп! :-)
а кто говорил, что имеет?

продолжение следует :)

Сегодня обратился еще один клиент с аналогичной проблемой. Правда у него на компе виста.
Как гласит интернет, при наличии установочного диска - такая проблема решается вроде-как  довольно просто... а вот как быть если устновочного диска нет?

(97) скачать установочный диск.

(98) единственное решениЕ? какой-нить ERD-commander или INFR@ не помогут?

Как варинат почисти все темпы куки, отруби автозапуск ..

помогут
тебе только консоль восстановления и нужна.

(100)Как вариант в биосе поставит защиту от записи в бут сектор. Всем кому поставил, второй раз не залетели. А где поленился, опять поймали.

(100) "темпы куки"  конеяно почищу, но на ГлавнуюЗагрузочнуюЗапись это ну никак не подействует

(103) Не повлияет если ты загрузочное файло не потрёшь ..

(102) "защиту от записи в бут сектор" поставлю конечно, тоже стараюсь сейчас всем ставить, но увы, не во всех биосах нахожу такую фичу

(105)Вот вот поэтому отключай весь автозапуск ..

(105) а есть во всех

ща натннулся

"В Windows Vista больше не нужно заботиться о защите своего компьютера: средства, которые автоматически обеспечивают безопасность всех аспектов работы, позволят заниматься тем, что действительно интересно."

Нуда например колдунство с винтом когда пилишь партицию

Гы-гы. Кстати в семерке по ходу переделали. Семерка такой вирус не ловит.

(107) уверен? или ты только этого года выпуска имеешь ввиду? ;)

(101)  "помогут" это ответ на "ERD-commander или INFR@"?
в сабжевом случае только используя их я восстановить систему не смог :( ...побоялся наверное

(113)Да.

(114) это конечно вносит некоторую уверенность, но "че-т я очкую" :) ...не уверен что на этих дисках присутствует утилита восстановления загрузочного сектора Bootsect.exe

(115)Тебе надо. fixboot и fixmbr.

(112) ну на мамке, где биос от 1998г. гляну, но там точно есть.

(117)  мне вроде врать как-бы незачем
(116) этот рецепт и для висты годится? точно-точно? ;)

+118 я че "очкую-то", эт мой второй "левый" клиент по 8-ке, как-то не хотелось-бы сходу "сесть в лужу" :)

Ты делай как в (100) и будет тебе счастье, а испытывать силу тёмной стороны не надо !!

(120) вот ты настрыный :) ..я-ж тебе в (103) мягко намекнул, что мне ИМЕННО ГлавнуюЗагрузочнуюЗапись исправить надо

(122)там нет не кто..

(122) эхэхэ, счастливый человек ...неведующий :)

(123) Тогда вышли скриншот что там есть левого ...

(124) ну какой скриншот?!!  бут-вирус - он на то и boot? что загружается ВМЕСТО операционной системы

пощупать то его можно?

че там щупать? вот, если хочешь - почитай http://www.masters.donntu.edu.ua/2008/fvti/chernoriz/library/mbr_art.htm

(126) можно!
:)

кое-что о нем:

Trojan.MBRlock
...на этот раз речь идет отнюдь не о пресловутом Trojan.Winlock, а о более опасной вредоносной программе — Trojan.MBRlock, изменяющей главную загрузочную запись (Master Boot Record, MBR).

В отличие от «винлоков» эта вредоносная программа блокирует не вход в операционную систему, а сам ее запуск. Если на компьютере установлено несколько операционных систем, то Trojan.MBRlock препятствует запуску каждой из них. Попытки восстановить стандартную MBR специализированными средствами могут привести к потере пользовательских данных — таблица разделов диска может не восстановиться.

В MBR вредоносная программа записывает код, который загружает с соседних секторов основное тело Trojan.MBRlock. После чего пользователь видит требования злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и загрузки операционной системы.

(118)На висте не проверял. ХР больше 60 машин так поднял.

(131) спасибо, пожалуй погожу тогда ...и клиенту полезней будет, может в следующий раз задумается, а так уж ему нужно срочно обновить какой-нить флеш-плеер :)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe

удалить этот раздел

(7)(9) а чо не переустановку винды с форматированием?

(128) так примерно? http://safezone.cc/forum/showthread.php?p=78371

(133) и что, как это повлияет на mbr (mbs)? ...наверное, было-бы нелишним прочесть всю ветку прежде чем постить ;)

(130) а вы посмеивалися, когда себе в коллекцию уложил ))

(130) Спасибо за статейку ..буду знать где юзать ..

(97) если вирус сидит в MBR - ему пофих на то, какая у тебя версия винды, да и не только винды - хоть линух, хоть МакОС - параллельно.

(106) "Вот вот поэтому отключай весь автозапуск .."
а при чем тут автозапуск? автозапуск - всего лишь ОДИН ИЗ многих способов распространения вирусов, но он заражения MBR он не защитит.
блин, а я вот тоже не помню, есть ли у меня дома в BIOS защита записи MBR...