распотрошить winlock

[pproger]

знакомая друга поймала winlock (предлагал положить денег на моб телефон), куда прописался выловили, вот мне стало интересно, существует ли вообще правильный код. в сообщении писалось, что код якобы будет напечатан на чеке, что собственно бред (откуда ему там взяться).

в отладчике видно, что код либо пожат, либо проскремблирован. peid ничего про сжатие не говорит, сразу видит, что написан на vb. quick unpack вроде как распаковывает, но для распаковки ему нужно запустить софтину, что неприемлимо.

есть желающие поковырять? мои знания в данной области минимальны и былоб неплохо, если бы рассказали, как расшифровали код дальше я с отладчиком уже сам)

по просьбам трудящихся выкладываю архив. пароль - 12345

прописывается в windowsnt/current version/winlogon, подменяя собой userinit.exe, если сидите под админом, скопируется в c:\windows. если под ограниченными правами - в c:\sys\. соответственно в первом случае прописывается в ветку local_machine, во втором - в current_user

[JTG]

Прилепи к сообщению архив с паролем лучше, посмотрим

Оно ещё коннектиццо к hххp://allinstalls.cz.cc/test1/loads.php, дома гляну

[Simply-Art]

Цитата:

Сообщение от JTG

Прилепи к сообщению архив с паролем лучше, посмотрим

Оно ещё коннектиццо к hххp://allinstalls.cz.cc/test1/loads.php, дома гляну

Обычно с интернета такие вирусы скачивают себе еще пару дружков, чтобы они следили за копиями вируса его скрыванием и автозагрузкой. С ними просто намного сложней убить вирус. А лучше тесты проводить на ВМ какойнить, так безопасней, и делать можно что угодно

Цитата:

Сообщение от pproger

вроде бы это и так ясно

я кэп

[pproger]

2JTG
ага, обращается, забыл написать

2Simply-Art
дружков не скачивает, проверено. убить я не пытался, он в цикле окна невидимыми делает. просто правишь реестр, меняешь userinit.exe на настоящий

Цитата:

А лучше тесты проводить на ВМ какойнить, так безопасней, и делать можно что угодно

вроде бы это и так ясно

[p51x]

1. код есть правильный
2. на сайте др веба есть база кодов

[pproger]

2p51x
смысл вводить какой то правильный код, если зараженным юзерам его ЗАВЕДОМО неоткуда получить (согласно легенде авторов, если пополнить мабилу авторов через автомат, то код будет напечатан на чеке)

да и не о том тема

пс.

Цитата:

на сайте др веба есть база кодов

ну мне прям полегчало

[MyLastHit]

Предлагаю сделать в терминалах оплаты пункт "Мошенникам", наряду с Моб. связь, интернет, электронная коммерция и тд...
Я ловил локер один раз только, но легко отделался. В диспечере нашел где он размещается (C:/Windows/) и стер его. Кстати имя процесса было taskhost.exe, я его чисто по везению определил тогда.

[*PB*]

Запустил на виртуалке - чуть не блеванул от картинки!
Но блокировка сделана тупо!
Многие горячие клавиши винды доступны.

Даже мой вариант прикола куда лучше блокирует доступ к винде.
Можете пробовать.
Он не вредоносен, в автозагрузку не пропиписывается, с инфой ничего не делает.
В окне даже есть кнопка выхода в левом верхнем углу.

[Пепел Феникса]

Цитата:

Даже мой вариант прикола куда лучше блокирует доступ к винде.

помоему это совсем не по теме? не находите?

[pproger]

ну что, никак чтоль?