21 ответов в этой теме

[Emil B.]

Добрый день. На ноутбук попал вирус, блокирующий ОС даже в безопасном режиме. Пробую разблокировать по инструкции при помощи Dr.Web Live USB, но загрузка зависает на >>> Load module : raid6_pq.
Что делать, подскажите.

Заранее спасибо.

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[Emil B.]

Изображение аналогично Trojan.Winlock.6426, но номер телефона 79878691120 и требуемая сумма 1000р. Блокировка происходит сразу, после окна приветствия.

[mrbelyash]

безопасный режим с поддержкой командной строки.

[Emil B.]

безопасный режим с поддержкой командной строки.

А в командной что выполнить?

[mrbelyash]

ввести explorer.exe нажать энтер

потом с флешки запустить http://download.geo.drweb.com/pub/drweb/tools/dwsysinfo.exe

лог на rghost.ru сюда ссылку

[Emil B.]

http://rghost.ru/42777066

[mrbelyash]

C:\Users\Home\7154016.exe можете прислать?

[Emil B.]

Сейчас пришлю

[Emil B.]

http://rghost.ru/42777323

[mrbelyash]

удалить

в консоли ввести shutdown -r

shutdown ПРОБЕЛ ТИРЕ БУКВА R

[mrbelyash]

если не пойдет счас достану код

[Emil B.]

Всё получилось. Спасибо огромное.

[Смусмумбрик]

прошу прощения, что пользуюсь темой, словил таже винлокер

прошу помощи

после начала загрузки винды вываливается надпись блокирующая раб стол

 

все что выше описали сейчас сделаю и выложу на файлообменник 

 

Прикрепленные файлы:

•  26012013660.jpg   320,88К   0 Скачано раз

[Смусмумбрик]

просканил Dr.Web CureIt!® - ничего не найдено !!!

 

вот отчет

 

http://rghost.ru/43333661

[mrbelyash]

C:\Users\Владимир\709196.exe

мне

[Смусмумбрик]

чистил утилитой SUPERAntiSpyware

нашел и удалил кучу всего

теперь все запускается вроде

 

данной экзэшечки теперь не вижу .... 

Сообщение было изменено Смусмумбрик: 27 Январь 2013 - 09:54

[mrbelyash]

жаль...

 

----------

 

Жаль что в куреите нет редактора скриптов 

Сообщение было изменено mrbelyash: 27 Январь 2013 - 09:57

[Смусмумбрик]

и странно, комп находится под купленной лицензией др.веба

походу неизвестный вирь еще

потому как в Ваших архивах еще нет такого

даже по скриншотам ноль .... и номера такого нет (((

но всеравно спасибо огромное что откликнулись !

[mrbelyash]

и странно, комп находится под купленной лицензией др.веба

походу неизвестный вирь еще

потому как в Ваших архивах еще нет такого

даже по скриншотам ноль .... и номера такого нет (((

но всеравно спасибо огромное что откликнулись !

 

Такой есть(и в скриншотах тоже есть), но просто перепакованый не споймался.

УУ него есть коды разблокировки (но после оплаты вам его все равно не пришлют).

 

В новых версиях бюлдера md5 код разблокировки шифруется/изменяется.

 

P.S.

В 8 версии дрвеб настраивайте проактивку на агрессивный уровень.

Хотя он тоже не фонтан, но всеже..все же

Сообщение было изменено mrbelyash: 27 Январь 2013 - 10:15