zaruta 13.09.2011 20:10:
о чем спор то господа? как дети!
никакого спора..могу слепить 2-N мбрлока и хоть 100 лет переводите дату
я выкладывал уже MBR блокер где нет счетчика времени, он не в новость!
А Васька слушает - да ест!!!
Привет народ!!!
Баннерописаки нас читают :) ...
Ну и славно - они пишут - мы повышаем свой уровень знаний ....
Однако от них больше вреда, а от наших перепалок - не совсем польза, ребята, давайте жить дружно и общаться для пользы дела :) ...
Баннеролавина скоро вернется - закон природы :) ...
Сплотимся и обменияемся знаниями...zaruta и mrbelyash - персональный ПРИВЕТ!!!
После запуска блокера операционная система уйдет в перезагрузку, а при последующей загрузке компьютера отобразится следующий текст.
Ниже представлены скриншоты начальных секторов жесткого диска до и после их заражения блокером.
Начальные секторы жесткого диска до заражения
Фрагмент той же самой области жесткого диска после заражения
Отчетливо видно, что начало жесткого диска значительно преобразилось – добавился дополнительный код.
Первым делом вредоносный код считывает девятый сектор и сохраняет его по адресу 0186A:0000. Затем, на него выполняется переход с помощью CALLF 0186A:0000.
Далее, происходит проверка текущей даты и времени с эталонным значением.
Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало.
Время и дата получаются напрямую из BIOS’а при помощи следующей последовательности команд:
mov al, x
out 70h, al
in al, 71h
aam 10h
aad
Где ‘x’ принимает разные значения в зависимости от того, что требуется получить.
Стоит отметить, что BIOS возвращает числа в формате BCD.
Инструкции AAM и AAD преобразовывают эти числа в hex.
Если проверка на время и дату прошла успешно, то зловред зачитывает секторы с третьего по пятый включительно.
В третьем и четвертом содержатся так называемые «user font table», а в пятом – текст, отображаемый при загрузке.
Для применения собственного «стиля» написания текста вызывается INT 10h.
Далее, зачитываются секторы 5-8 включительно, и выводится текст, содержащийся в пятом и нулевом секторах (“Enter Code:»).
Фрагмент кода, выводящий на экран текст
После этого начинает работать цикл проверки введенного текста.
Цикл реализован следующим образом:
Вначале вызывается инструкция INT 16h.
Это прерывание возвращает в AX значение нажатой кнопки (AH = скан-код, AL – символ) клавиатуры:
mov ah, 0
push di
int 16h
pop di
jmp short loc_7CC7
Потом идет проверка на введенный символ.
Если он находится между 20h и 7Fh, то его значение записывается по ES:DI при помощи инструкции STOSB.
Если же была нажата клавиша Enter (0Dh), то выполняется проверка введенной и эталонной строки при помощи REPE CMPSB.
Сравнение введенной строка и кода разблокировки
Из скриншота видно, что по адресу ES:7DA5 находится строка, необходимая для разблокировки загрузки компьютера.
Вот что находится по этому адресу: '002158RD',0.
А так как в CL заносится число «6», то это означает, что достаточно ввести лишь «002158».
Если введен корректный код, то зловред берет из второго сектора оригинальный MBR и записывает его в начало жесткого диска.
Сектора, используемые блокером:
1 – основной код;
2 – оригинальный первый сектор;
3 – 4 – user font tables;
5 – 6 – текст, выводимый пользователю;
7 – 8 – сектора заполнены нулями;
9 – код, выполняющий сверку текущей даты и времени;
После запуска блокера операционная система уйдет в перезагрузку, а при последующей загрузке компьютера отобразится следующий текст.
Ниже представлены скриншоты начальных секторов жесткого диска до и после их заражения блокером.
Начальные секторы жесткого диска до заражения
Фрагмент той же самой области жесткого диска после заражения
Отчетливо видно, что начало жесткого диска значительно преобразилось – добавился дополнительный код.
Первым делом вредоносный код считывает девятый сектор и сохраняет его по адресу 0186A:0000. Затем, на него выполняется переход с помощью CALLF 0186A:0000.
Далее, происходит проверка текущей даты и времени с эталонным значением.
Сообщение с требованием об оплате будет появляться только в том случае, если текущий отпечаток времени меньше, чем эталонный. А если он больше, то блокер восстанавливает оригинальный МБР и загружает компьютер, как ни в чем не бывало.
Время и дата получаются напрямую из BIOS’а при помощи следующей последовательности команд:
- mov al, x
- out 70h, al
- in al, 71h
- aam 10h
- aad
Где ‘x’ принимает разные значения в зависимости от того, что требуется получить.
Стоит отметить, что BIOS возвращает числа в формате BCD.
Инструкции AAM и AAD преобразовывают эти числа в hex.
Если проверка на время и дату прошла успешно, то зловред зачитывает секторы с третьего по пятый включительно.
В третьем и четвертом содержатся так называемые «user font table», а в пятом – текст, отображаемый при загрузке.
Для применения собственного «стиля» написания текста вызывается INT 10h.
Далее, зачитываются секторы 5-8 включительно, и выводится текст, содержащийся в пятом и нулевом секторах (“Enter Code:»).
Фрагмент кода, выводящий на экран текст
После этого начинает работать цикл проверки введенного текста.
Цикл реализован следующим образом:
Вначале вызывается инструкция INT 16h.
Это прерывание возвращает в AX значение нажатой кнопки (AH = скан-код, AL – символ) клавиатуры:
- mov ah, 0
- push di
- int 16h
- pop di
- jmp short loc_7CC7
Потом идет проверка на введенный символ.
Если он находится между 20h и 7Fh, то его значение записывается по ES:DI при помощи инструкции STOSB.
Если же была нажата клавиша Enter (0Dh), то выполняется проверка введенной и эталонной строки при помощи REPE CMPSB.
Сравнение введенной строка и кода разблокировки
Из скриншота видно, что по адресу ES:7DA5 находится строка, необходимая для разблокировки загрузки компьютера.
Вот что находится по этому адресу: '002158RD',0.
А так как в CL заносится число «6», то это означает, что достаточно ввести лишь «002158».
Если введен корректный код, то зловред берет из второго сектора оригинальный MBR и записывает его в начало жесткого диска.
Сектора, используемые блокером:
1 – основной код;
2 – оригинальный первый сектор;
3 – 4 – user font tables;
5 – 6 – текст, выводимый пользователю;
7 – 8 – сектора заполнены нулями;
9 – код, выполняющий сверку текущей даты и времени;
Это старый....Вот интрукция как достать код для старья
Вот сам файл пароль на скачку прежний, mrbelyash возможно код из него достанет
А здесь баннер MBR перевод даты не катит.....экспериментировать только спецам пароль тот же...
Здесь еще один красавец пароль тот же что и раньше...
Тут блокировщик не требующий денег....он скорее всего и к винлокам не имеет отношения, но думаю спецам будет интересно...
Здесь одна из разновидностей Trojan.Winlock.3278 и еще что то....
И флеш плеер....
Касперский 2011 и 2012 все эти блокировщики легко определяет (контроль программ), даже если их нет в антивирусной базе. Касперский винлок пропустить не может, если он пропустил, это значит что пользователь не умеет касперским пользоваться. Когда KIS пишет, что программа заменяет winlogon, explorer, блокирует диспетчер задач - то конечно надо нажать "запретить сейчас" или" завершить и сделать недоверенной".
Мне вот одно не нравиться - KIS пишет "программа пытается получить доступ к диску на низком уровне", а подробности не уточняются, что именно будет, если разрешить.
Комодо тоже хорошо винлоки ловит (проактивная защита).
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
alank30 15.09.2011 00:17:
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
так вирус еще присутствует у вас на компе или нет?
alank30 15.09.2011 00:17:
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
так вирус еще присутствует у вас на компе или нет?
alank30 15.09.2011 00:17:
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
так вирус еще присутствует у вас на компе или нет?
alank30 15.09.2011 00:17:
Доброго времени суток, форумчане!
Поймал банер с номером мтс: +79811291171 с требованием пополнить счет на сумму 300 р. в любом терминале и типа введенный код с чека сделает меня счастливым. Войти в систему не могу, сразу после загрузки, ввожу пароль для входа система нчинает грузиться и тут банер вылазит. Позвонил в мтс, затем и написал им о недопустимости сотрудничества с мошенниками, о нарушении ряда фед.законов и бла-бла-бла,...... В ответ они прислали только письмо с ссылками на сайты касперского, доктора вэба и еще кого-то. Но ни коды ни похожих банеров я там не нашел. Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. Скачивал на cd утилиты касперского и доктора вэба заходить, менял настройки в биосе и т.д. - все НИОЧЕМ. Уже 4 дня веду не равный бой с этим вирусом Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду
так вирус еще присутствует у вас на компе или нет?
Все помогло, спасибо тебе!
Всех благ и удачи!
В Питер все одно ехать, заодно и посещу обладателя этого номера телефона. Он хотел получить с меня?! Не прокатило. Теперь я с него получать буду
Azaryj 15.09.2011 20:42:
Все сделал, спасибо. Баннер исчез, но...
Комп грузится до Приветствия, после выбора пользователя снова предлагает выбрать пользователя или выключить.
Надо зайти на сайт drweb.ru. Далее в столбике ПОМОЩЬ найти Разблокировка Windows (Trojan.Winlock) Если известно что за троян забть слева Trojan. Winlock №, Если неизвестно справа внизу попробовать выбрать картинку в нажимаете и выдает варианты разблокировки. УДАЧИ
беглец 16.09.2011 22:41:
Ваш компьютер заблокирован нужно положить на номер +7 981 129 11 36 денежку в размере 300р......................помогите убрать это...
Здраствуйте!У меня появился банер от Microsoft Security и просит пополнить счет на 170 грн.И после етого на квитанции будет написан код(пополнил и нечего,перебробывал все 3 возможных варианта).Помогите пожалуйста((((
Окно появилось так:я сидел играл в игру и открыл по ссилке и мне открылось порно,я хотел его закрыть,но не успел.появился банер
причина бнера:нелицензеонное просматривание ГЕЙ и ДЕТСКОГО порно....
полная тупость
Помогите пожалуйста...
Bez88 10.01.2011 21:03:
ya nastena 10.01.2011 19:41:
Короче: цитирую...У меня был банер с просящим пополнить счет...я бошку ломала!!!Но сделала простым способом...Я нифига не понимала как скачивать чтото на диск!перед тем как появился знак винд я нажала ф8.там пошла загрузка.потом сто то возникло и написано юсер и пароль....если у вас нет пароле нажимаем энтр(ввод)...потом восстановление системы там всё время ввод.....и вот раб. стол......если вы закачали порно или что-то тыпа этага то удаляем...перводим дату и время на 2 чса и 2 года вперд перезагружаем и банера нет!!!
))))))если проблемы пишите...
Привет, у тебя XP??
и можно еще уточнить, как появился знак винды?
Просят пополнить на електронный кошелек в веб-маней на номер 430388562053
Gold351 17.09.2011 12:35:
Здраствуйте!У меня появился банер от Microsoft Security и просит пополнить счет на 170 грн.И после етого на квитанции будет написан код(пополнил и нечего,перебробывал все 3 возможных варианта).Помогите пожалуйста((((
Окно появилось так:я сидел играл в игру и открыл по ссилке и мне открылось порно,я хотел его закрыть,но не успел.появился банер
причина бнера:нелицензеонное просматривание ГЕЙ и ДЕТСКОГО порно....
полная тупость
Помогите пожалуйста...
Bez88 10.01.2011 21:03:
ya nastena 10.01.2011 19:41:
Короче: цитирую...У меня был банер с просящим пополнить счет...я бошку ломала!!!Но сделала простым способом...Я нифига не понимала как скачивать чтото на диск!перед тем как появился знак винд я нажала ф8.там пошла загрузка.потом сто то возникло и написано юсер и пароль....если у вас нет пароле нажимаем энтр(ввод)...потом восстановление системы там всё время ввод.....и вот раб. стол......если вы закачали порно или что-то тыпа этага то удаляем...перводим дату и время на 2 чса и 2 года вперд перезагружаем и банера нет!!!
))))))если проблемы пишите...
Привет, у тебя XP??
и можно еще уточнить, как появился знак винды?
Bez88 10.01.2011 21:03:
ya nastena 10.01.2011 19:41:
Короче: цитирую...У меня был банер с просящим пополнить счет...я бошку ломала!!!Но сделала простым способом...Я нифига не понимала как скачивать чтото на диск!перед тем как появился знак винд я нажала ф8.там пошла загрузка.потом сто то возникло и написано юсер и пароль....если у вас нет пароле нажимаем энтр(ввод)...потом восстановление системы там всё время ввод.....и вот раб. стол......если вы закачали порно или что-то тыпа этага то удаляем...перводим дату и время на 2 чса и 2 года вперд перезагружаем и банера нет!!!
))))))если проблемы пишите...
Привет, у тебя XP??
и можно еще уточнить, как появился знак винды?
prohor169 17.09.2011 10:14:
Просят пополнить счет на 400 рублей на номер 89181031307, причем пытался грузануться в безопасном, номер поменялся,
кокой?
Номер был другой, поменялся на этот, а окно как у тебя в майле про педофилию!
я такого не понимаю..там у каждого винлока есть название
Компьютер заблокирован. Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер МТС 8-918-103-13-07 и так далее.
Ребят, хотел посмотреть фильм, зашел на сайт, комп завис, и появился банер, просящий пополнить 300 рублей на МТС +79811277020, обвиняет в том, что я гей порно смотрю, хелп ми
ЗЫ образы записывать не умею. Скайп robert199717
Robert32 17.09.2011 20:12:
Ребят, хотел посмотреть фильм, зашел на сайт, комп завис, и появился банер, просящий пополнить 300 рублей на МТС +79811277020, обвиняет в том, что я гей порно смотрю, хелп ми
ЗЫ образы записывать не умею. Скайп robert199717
У меня был заблокирован рабочий стол банером,
требующим положить на такой то номе телефона деньги,
я перезагрузил комп,
банера то нет , но на рабочем столе кроме заставки тоже ничего нет,
только открылась папка Мой компьютер,
подскажите пожалуйста, как все вернуть к норм виду?
Приветик всем помогите пожалуйста у меня ребёнок залез на порно сайт и вылез байнер просит на номер Билайн 8-906-725-97-44 пополнить 500руб если не оплатим в течение 12 часов то мы будем нести уголовную ответственность что делать??
Андреевна 18.09.2011 12:12:
Приветик всем помогите пожалуйста у меня ребёнок залез на порно сайт и вылез байнер просит на номер Билайн 8-906-725-97-44 пополнить 500руб если не оплатим в течение 12 часов то мы будем нести уголовную ответственность что делать??
не обязательно на порносайте поймал...мог на любом..даже на сайте с музыкой.
Урра! С четвёртой попытки наконец-то удалось убрать баннер Trojan.Siggen3.1694. Вот фото
Никакие Dr. Web и Касперские не помогли, и ERD Commander тоже (почему то при загрузке с диска после надписи Starting ERD Commander появлялся синий экран смерти).
Помогла инструкция:
пункт 3)
но Live CD как там написано я не стал делать, ведь ERD не помог.
У меня на ноуте 2 операционки ХР (которая словила вирус) и Win 7. Вот с Win 7 я вышел в TEMP нашёл тело вируса as.exe, а дальше работал с регистрами как сказано в инструкции. Спасибо всем. Многому научился пока спасал свою ХРюшку.
Пробовал пользоваться разными форумами, делал все пошагово как там и рекомендовалось, через мигающий диспетчер задач снимал задачу, затем проходился по двум веткам и на hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell и на ветке hkey_local_user=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon удалял shell..... в обоих случаях снова выскакивает банер. 
Уже 4 дня веду не равный бой с этим вирусом 
Нашел фото этого вируса, это Trojan.Siggen3.1694
Пробил номер мтс - регион Питер. В начале октября еду в культурную столицу к своим близким и имею непреодолимое желание отбить на.. башню тому ..... дальше идет феня...... человеку чей этот номер. Накатило что-то. Подскажите, плиз, что можно еще попробовать сделать чтобы система заработала снова? Желательно без радикальных действий, как то - сносить винду 
Всех благ и удачи!
В Питер все одно ехать, заодно и посещу обладателя этого номера телефона. Он хотел получить с меня?! Не прокатило. Теперь я с него получать буду
