http://www.virustotal.com/file-scan/report.html?id=ccda4c35cdcc09fe8ad6ed60c2301c4c3602a72d65f8035c374816b3fb3648ee-1318053507
U810707725895
нет кода разблокировки
U810707725895
нет кода разблокировки
пятница, 14 октября 2011 г.
четверг, 13 октября 2011 г.
"Antivirus-Defence Project 2011" на номер +7 (911) 950 87 23
http://www.virustotal.com/file-scan/report.html?id=5d964d0c08abf9332958bb6ff085662f9fd387b72890819c3490afb666b1c825-1318523619
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081
+7 (981) 124 76 59
+7 (911) 950 87 23
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
В данном случае имя файла C:\WINDOWS\Temp\iefl.exe
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081
+7 (981) 124 76 59
+7 (911) 950 87 23
Особенности заражения этим видом Винлока.
-У этого баннера нет кода разблокировки.-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
В данном случае имя файла C:\WINDOWS\Temp\iefl.exe
понедельник, 10 октября 2011 г.
Trojan.Winlock.3333 номер 89156493181
http://www.virustotal.com/file-scan/report.html?id=a1a3756a4d2ac780fb26474eb3ffc75fa371ce248bcb4c55d5f0bdefcf13f5c0-1318251380
89156493181
8-(915)-649-31-81
код: 512414683900558
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
89156493181
8-(915)-649-31-81
код: 512414683900558
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
воскресенье, 9 октября 2011 г.
Trojan.Winlock.3333 номер U226505371253
http://www.virustotal.com/file-scan/report.html?id=596add8ad4ccb23923eb326ebdd124f5b5d294f1529b010099782602c2090635-1318085728
U226505371253
код: 916107488094443
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
U226505371253
код: 916107488094443
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
Trojan-Dropper.Win32.VB.bdbg
http://www.virustotal.com/file-scan/report.html?id=4e7d64799126f0e830d6b653119015454bda44741bc5aedc9dbf26a1937a198a-1318177304
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
В данном случае имя файла C:\WINDOWS\Temp\iefl.exe
+7 (911) 950 89 25
+7 (911) 729 40 75
+7 (911) 164 16 69
+7 (911) 950 89 25
+7 (911) 729 40 75
+7 (911) 164 18 41
+7 (911) 164 16 73
+7 (911) 941 30 37
+7 (911) 164 18 41
+7 (911) 164 16 73
нет кода разблокировки
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081
Особенности заражения этим видом Винлока.
-У этого баннера нет кода разблокировки.-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"
В данном случае имя файла C:\WINDOWS\Temp\iefl.exe
+7 (911) 950 89 25
+7 (911) 729 40 75
+7 (911) 164 16 69
+7 (911) 950 89 25
+7 (911) 729 40 75
+7 (911) 164 18 41
+7 (911) 164 16 73
+7 (911) 941 30 37
+7 (911) 164 18 41
+7 (911) 164 16 73
нет кода разблокировки
Trojan.Win32.Heur.087
http://www.virustotal.com/file-scan/report.html?id=6d1c599a52eb1fb4ae21c55970e229f8cb6c6c516ca6470af4a906e1b1051a6f-1316708850
U182973738465
U307475667103
U279316811364
U329181263209
код: sdfsdf
U182973738465
U307475667103
U279316811364
U329181263209
код: sdfsdf
Trojan.Winlock.3333 номер 89190422992
http://www.virustotal.com/file-scan/report.html?id=0487ff10a32a1e05b640ff26beae2ec2ab5ebcbf677bc0b9de42d49f59ee2a1e-1317429536
89190422992
код: 727275750563515
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
89190422992
код: 727275750563515
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
Trojan.Winlock.3333 номер 89156506726
не помню..вроде был этот
http://www.virustotal.com/file-scan/report.html?id=10ae3ba7a67296c7c531f5fbe0dda1b54a17a8c0b4c8ee953d54b8919344e4e7-1316398902
89156506726
8-(915)-650-67-26
код: 7305
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
http://www.virustotal.com/file-scan/report.html?id=10ae3ba7a67296c7c531f5fbe0dda1b54a17a8c0b4c8ee953d54b8919344e4e7-1316398902
89156506726
8-(915)-650-67-26
код: 7305
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
Достаем код от мбрлоков, созданных MbrLock Builder v02
Этап № 1
- запускаем HDHacker (by Dimio)
- щелкаем по Phisical Drive (на рис. под цифрой 1)
- нажимаем кнопку Read sector from Disk (на рис. под цифрой 2)
- нажимаем кнопку Save sector to File (на рис. под цифрой 3)
- сохраняем дамп MBR
Этап № 2
- запускаем утилиту UnXor от thyrex
- нажимаем Загрузить MBR
- выбираем сохраненный дамп mbr
А вот и код разблокировки
Полезные ссылки: MbrLock Builder v01
среда, 5 октября 2011 г.
понедельник, 3 октября 2011 г.
пятница, 30 сентября 2011 г.
Trojan.Winlock.4128 или Trojan.Siggen3.1694
http://www.virustotal.com/file-scan/report.html?id=843b5ef9e3e110b4b8df6af532028bdf2a2075c70f46214046bd12f4201cdc6d-1316822136
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем debug
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"debug"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"debug"="C:\WINDOWS\Temp\имя_файла.exe"
Инструкция как его удалить http://rghost.ru/19087081
+7 (981) 129 11 92
+7 (981) 129 11 74
+7 (981) 129 11 92
+7 (981) 129 38 93
+7 (981) 129 11 97
+7 (911) 139 88 78
+7 (981) 127 70 13
+7 (981) 122 20 51
+7 (911) 139 88 78
+7 (981) 895 49 87
+7 (981) 129 11 34
+7 (981) 129 11 64
+7 (981) 129 11 37
+7 (981) 124 70 85
+7 (981) 129 11 96
+7 (981) 129 11 36
+7 (981) 121 99 86
+7 (981) 737 66 35
+7 (981) 737 75 89
+7 (981) 737 65 17
+7 (981) 737 64 97
+7 (981) 737 63 01
+7 (911) 164 16 99
+7 (911) 164 18 23
+7 (981) 125 05 49
+7 (911) 729 44 21
+7 (911) 729 74 55
+7 (981) 737 75 91
+7 (981) 737 56 47
+7 (981) 737 76 03
+7 (981) 887 10 82
+7 (981) 878 43 51
+7 (981) 887 10 83
Особенности
заражения этим видом Винлока.
-У этого
баннера нет кода разблокировки. -Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем debug
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"debug"="C:\WINDOWS\Temp\имя_файла.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"debug"="C:\WINDOWS\Temp\имя_файла.exe"
Инструкция как его удалить http://rghost.ru/19087081
+7 (981) 129 11 92
+7 (981) 129 11 74
+7 (981) 129 11 92
+7 (981) 129 38 93
+7 (981) 129 11 97
+7 (911) 139 88 78
+7 (981) 127 70 13
+7 (981) 122 20 51
+7 (911) 139 88 78
+7 (981) 895 49 87
+7 (981) 129 11 34
+7 (981) 129 11 64
+7 (981) 129 11 37
+7 (981) 124 70 85
+7 (981) 129 11 96
+7 (981) 129 11 36
+7 (981) 121 99 86
+7 (981) 737 66 35
+7 (981) 737 75 89
+7 (981) 737 65 17
+7 (981) 737 64 97
+7 (981) 737 63 01
+7 (911) 164 16 99
+7 (911) 164 18 23
+7 (981) 125 05 49
+7 (911) 729 44 21
+7 (911) 729 74 55
+7 (981) 737 75 91
+7 (981) 737 56 47
+7 (981) 737 76 03
+7 (981) 887 10 82
+7 (981) 878 43 51
+7 (981) 887 10 83
Trojan.Winlock.1897
Старенький винлок.
http://www.virustotal.com/file-scan/report.html?id=493646927d215100d3543a4e8265950ae19ea9c4f37730eba2d9ed018961e574-1316679383
номер: 3381
текст: 1870491622566
код:75633922
http://www.virustotal.com/file-scan/report.html?id=493646927d215100d3543a4e8265950ae19ea9c4f37730eba2d9ed018961e574-1316679383
номер: 3381
текст: 1870491622566
код:75633922
четверг, 29 сентября 2011 г.
Trojan.Winlock.3256
http://virusscan.jotti.org/ru/scanresult/96d23ee9d53518d0ff9f83b3d8aee941f428d20d
79879140590
код: 99885522
код: 443034430
79879140590
код: 99885522
код: 443034430
Trojan.Winlock.3333 номер 89190431456
http://virusscan.jotti.org/ru/scanresult/0860823d1eac47064448f308834d04232b74576a/2de73ed24b2a22559ecf1099cbc2339acd5bcf3d
89190431456
код:365427998307359
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
89190431456
код:365427998307359
Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).
Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер
Подписаться на:
Комментарии (Atom)