15 ответов в этой теме

[Strangel]

Помогите, пожалуйста. Смс вирус активен в безопасном режиме.Кодов на бесплатном сервисе разблокировки Dr.Web нет. удаление вирусов через cureit непомогло.fixboot и fixmbr тоже. Экранная лупа (Win+u ) не запускается. В реестре в автозагрузке ничего особенного.ps: svdesk153  на номер 1161

[SergM]

Если кодов пока нигде нет, то придётся пробовать разблокировать Windows самостоятельно.
Для этого необходимо иметь не зараженный компьютер с возможностью записи CD диска или USB накопителя.
Эти ссылки помогут Вам.
http://www.freedrweb.com/liveusb
http://www.freedrweb.com/livecd
http://forum.drweb.com/index.php?showtopic=293348
Erd Comander + свежий CureIt!
http://wiki.drweb.com/index.php/Userinit
http://wiki.drweb.com/index.php/Userinit2
http://wiki.drweb.com/index.php/Userinit3

[Strangel]

http://forum.drweb.com/index.php?showtopic=293348 помогло. спасибо.

в userinit был прописан путь к вирусу, который я уже пыталась удалить, но онвосстанавливался

[SergM]

Теперь просканируйте свежим CureIt!, поскольку сам вирус остался в системе.

[mrbelyash]

А файлик,который был прописан в userinit остался?Можете его прислать?

[Strangel]

На этом конечно проблемы не закончились… сканирование cureit ничего не дало(не нашёл ничего), точно так же как и avz. Т.к. файл оболочки вируса, на этот раз был не удалён, а изменено расширение этого файла, проблема изменилась: windows начал предлагать выбрать учётную запись(единственную), при выборе начиналась загрузка личных параметров и сохранение(again and again and again). в userinit вирусом был снова прописан путь к файлу-оболочке. Загрузившись в windows, после смены этого пути, решила сменить расширение файла в исходное, и, о чудо, Dr. Web мнгновенно распознал Trojan.Winlock.2649 в этом файле и «исцелил» его, хотя до этого и cureit и dr.web тыкала, как котёнка, мордочкой в этот файл, ноль эмоций. Файл dr.web удалил, в карантине не нашла. Есть установочный файл вируса могу выложить.
30-11-2010 12:38:39 [RN] (PID = 0440) C:\Documents and Settings\All Users\Application Data\drvsnd.exe - упакован UPX
30-11-2010 12:38:39 [RN] (PID = 0440) C:\Documents and Settings\All Users\Application Data\drvsnd.exe - инфицирован Trojan.Winlock.2649
30-11-2010 12:38:39 [RN] (PID = 0440) C:\Documents and Settings\All Users\Application Data\drvsnd.exe - исцелен

[mrbelyash]

давайте его сюда в архиве с паролем.

Сообщение было изменено mrbelyash: 30 Ноябрь 2010 - 11:40

[mrbelyash]

забрал

[proh]

Подскажите, fixboot и fixmbr что это такое и где скачать. Скину себе на флешку-аптечку

Поискал в яндексе. Теперь другой вопрос-нет ли аналогов, чтоб не таскать с собой винду?

Сообщение было изменено proh: 01 Декабрь 2010 - 14:23

[userr]

Strangel
сделайте логи по Правилам.

[mrbelyash]

Подскажите, fixboot и fixmbr что это такое и где скачать. Скину себе на флешку-аптечку

Поискал в яндексе. Теперь другой вопрос-нет ли аналогов, чтоб не таскать с собой винду?

fixboot и fixmbr в данном случае вам не помогут,а могут только все испортить.


Вам нужен ERDCommander

http://wiki.drweb.com/index.php/Userinit

http://wiki.drweb.com/index.php/Userinit2

http://forum.drweb.com/index.php?showtopic=293348

[userr]

sankok
никаких вирусных ссылок на форуме.
заводите отдельную тему

[mrbelyash]

А ссылочка помоему для воровства паролей mail.ru

************-p1ai/@



99%

Сообщение было изменено mrbelyash: 13 Февраль 2011 - 15:20

[userr]

sankok
Вам сутки на оправдания, иначе бан.
Модератор.

[sankok]

извиняюсь что необдуманно ссылки воткнул. просто мы с другом одновременно получили сообщения по майлагенту от общего друга примерно такого содержания: "Пpивет. Твоя ф'aм'или'я тоже ecть в этой www.*******p1ai/* б'азe! Поcмoтpи, чтo напиcали в нeй nро тебя!" и ещё "Привeт. Жecтkо попpиkалoвaлись c фoтками твоими здесь www.**********-p1ai/@ Поcмoтри скoрее".
Вот по ним приятель и "подцепил" заразу которая теперь просит пополнить счёт абонента 89603260549 на сумму 400р. При этом, по его словам, мышь за пределы банера не выходит, в безопасный режим не входит. Вот и пытаюсь найти ему лекарство. Завтра будем пытаться его лечить.

[mrbelyash]

извиняюсь что необдуманно ссылки воткнул. просто мы с другом одновременно получили сообщения по майлагенту от общего друга примерно такого содержания: "Пpивет. Твоя ф'aм'или'я тоже ecть в этой www.*******p1ai/* б'азe! Поcмoтpи, чтo напиcали в нeй nро тебя!" и ещё "Привeт. Жecтkо попpиkалoвaлись c фoтками твоими здесь www.**********-p1ai/@ Поcмoтри скoрее".
Вот по ним приятель и "подцепил" заразу которая теперь просит пополнить счёт абонента 89603260549 на сумму 400р. При этом, по его словам, мышь за пределы банера не выходит, в безопасный режим не входит. Вот и пытаюсь найти ему лекарство. Завтра будем пытаться его лечить.

http://forum.drweb.com/index.php?showtopic=293348