Новенький Windows Blocker

Question

[gooddy]

Вчера сотрудница удачно отловила себе новую радость.
После перезагрузки сразу же требует денег и просит ввести код. При этом разделов диска в принципе нет, чтобы допустим взять да переставить систему.
Судя по тому, что номера webmoney кошельков начали упоминаться пару дней назад, это свежак.
Вообщем вопрос, есть у кого-то какие-то соображения как это чудок выкурить с сохранением данных? Ясное дело что надо использовать telepat mode, но всё же… может как-то через WinHex можно поковыряться в MBR да откопать что-то?
а пока пойду попробую Acronis'om просканить, может получится разделы найти…

з.ы. до этого другая сотрудница «ничегонеделалаоносамо», была похожая фигня, но там разделы видно было, только папку с виндой прятала… (-___-)"

Comments

[Zexes]

т.е. установщик windows не может создать раздел на жестком диске?

[YourChief]

вирусня добралась и до машины автора и ему больше не с чего писать

Answer 1

[gooddy]

так, вообщем решается всё просто и быстро

1. перекинуть винт на другой комп, восстановить разделы через Acronis Recovery Expert
2. потом fixboot, fixmbr
3. PROFIT

з.ы. умникам которые только философствовали как надо жить, при этом ничего не могли сказать по делу — иногда лучше жевать, чем говорить.

для поиска, если кто искать будет, номера кошельков мудаков
R747652229523
U383954414310

Comments

[AVGUR]

Добавлю:
Зараза крепит себя в Userinit строчкой вида
C:\Windows\system32\userinit.exe,C:\Windows\system32\e39e7626.exe,C:\Windows\system32\e1bd2724.exe,C:\Windows\system32\c0a944cc.exe,C:\Windows\apppatch\pwtgsu.dat,
Необходимо подгрузить куст с инфицированной системы и исправить пусть на
C:\Windows\system32\userinit.exe
В противном случае после логина в систему все вернётся на место.

[AVGUR]

так же в разделе Winlogon был найден параметр df4e2840 со значением C:\Windows\apppatch\pwtgsu.dat как видно он тоже участвует при загрузки Userinit'a

[AVGUR]

для Windows 7 FixBoot и FixMBR делаются через BOOTREC.EXE

которая вводится с параметрами:
/FixBoot
/FixMbr

[Altf1]

Выкатывайте топик, чем больше народу увидит тем лучше!

Answer 2

[Eddy_Em]

Уволить к чертовой матери такого «админа», который нормально венду поставить не может и права пользователя ограничить!

Comments

[YourChief]

нет, бывают вымогательские программы, которые шифруют файлы юзера и требуют деньги — таким не нужны админские права, неговоря уже об уязвимостях, связанных с повышением прав/поражением системных служб. другой вопрос в том, что это всё равно не повод давать юзеру полные права с тем чтобы потом лечиться уже с загрузочных дисков и ковырять разделы

[Eddy_Em]

> А что, ограниченные права это 100% защита от проникновения вируса куда угодно?

Да. Как пользователь запустит вирус, если не имеет права ничего запускать, кроме как из системных директорий?

> бывают вымогательские программы, которые шифруют файлы юзера и требуют деньги

Грамотный админ не допустит такого. Пользователь просто не сможет скачать вирус и уж тем более запустить его.

[YourChief]

скачает как расширение к браузеру и делов-то

[Анатолий]

@Eddy_Em не везде есть админы =)

Answer 3

[gooddy]

Просьба оставить моральную часть вопроса впокое, кого куда уволить и что кому отрезать. Если нечего сказать по существу, просьба вернуться в свой идеальный мир, где всё работает и не ломается и не портить себе и другим настроение, СПАСИБО! :)

Comments

[YourChief]

моральную часть вопроса
профессионализм не связан с моралью, просто отмечу это

[gooddy]

просто нет выделенного админа, который этим бы занимался на постоянной основе

[Eddy_Em]

> моральную часть вопроса

Т.е. вы считаете, что админ должен быть моральным?
Например, попросит сотрудник открыть доступ к сайту с варезом — админ откроет; попросит сотрудник дать ему права суперпользователя, админ даст… Это по-вашему нормально?

[AVGUR]

Зачем вы разводите демагогию, насколько я понимаю gooddy имел ввиду совсем другое.

Answer 4

[YourChief]

а причём тут бедная сотрудница? в нормальной системе у пользователя не должно быть прав, чтобы что-то сделать с системой. небось все у вас под администратором работают?

по вашему вопросу: чем вы разделы диска смотрели, что сделали такой вывод? и как по вашему система грузится, если разделов нет?

Comments

[gooddy]

ну нюансы кто как работает опустим, так сложилось исторически
1. любой загрузочный диск не видел раздедов
2. подрубив винт к другой машине опять же диск показыватся как неразмеченый, WinHex показывает что там где данные разделов, просто ничего нет

Acronis Recovery Expert потихоньку сканит и находит разделы, пока ход мысле такой
1. восстановить разделы акронисом
2. fixboot && fixmbr
3. скрестить пальци
…

Answer 5

[LonliLokli]

Если я правильно помню, система делает копию мбр и таблицы разделов с некоторым смещением (6 секторов, вроде). Их можно просто переписать на нужное место.