111 ответов в этой теме

[bvas]

domini

Кстати, bvas правильно написал, где собака зарыта, но при активности этого вируса ни какими программами в реестр невозможно зайти и исправить тоже невозможно.

А вы пробовали с ERDКомандера 2005 загрузиться...??? Он реестр правит без вопросов,тока ручками...)))

[Rezikler]

ctrl alt del заблокирован
восстановление системы заблокировано
попытка открыть службы так же блокируется...

но!

работает diablo 2 в оконном режиме)

[Ltapa]

Ltapa

Спасибо большое за телефон. Скажите, а этот код для всех разблокировок подходит? У меня было написано: текст К705613200 на номер 4460



И еще, плиз, объясните - "поставить в биосе заводские установки" - это как? Я-чайник в этом...

Думаю, что не для всех. Когда я позвонил, меня спросили что за код у меня просит вирус отправить в смс. А биос - это наверное реакция именно моего компьютера. У Вас ее может и не возникнуть.

[bvas]

Rezikler

работает diablo 2 в оконном режиме)

А через него например открыть Диск С например можно??? или др папки с файлами..???

[ALTi33]

Вчера столкнулся с точно таким же вирусом, но ДрВеба он (вирус) не вырубил, обновил базы до актуальных, прогнал сканером диск Ц, вылечил (удалением) найденные вири, после перезагрузки окно не появлялось.

[bvas]

ALTi33

Вчера столкнулся с точно таким же вирусом, но ДрВеба он (вирус) не вырубил, обновил базы до актуальных, прогнал сканером диск Ц, вылечил (удалением) найденные вири, после перезагрузки окно не появлялось.

Так надо наверно ребятам свежую Курилку скачивать на чистую флэху и из-под ERDКомандера запускаться и всё будет Ок!!!
А лог Сканера можете выложить сюда,посмотрим пути может наведет на мысль и им чем поиожем,если конечно вирь точь в точь....

[bvas]

donner
А если снять винт и подсунуть под комп,где свежие базы DrWeba и прогнать сканером если верить сообщению ALTi33 ....

[Borka]

bvas, этих Винлоков - как собак нерезаных...

[donner]

2 domini

Второй запускающийся файл sdra64.exe – и есть, то что грузиться под winlogon. - нет такого файла в систем32, смотрел из-под livecd.

объем 95 Кб, Описание:zPLnzEL, производитель: xaxTFkM, версия файла: 217.74.159.57, дата: 15.04.2008 - и такого там нет.

2bvas
А если снять винт и подсунуть под комп,где свежие базы DrWeba и прогнать сканером если верить сообщению ALTi33 .... - так базы и есть самые свежие; на момент заражения комп находился под защитой лицензионного Dr.web с включенным паучком. Он может за 5 минут до заражения обновился, свежее некуда. Да и потом, я же проверил диск С тока что скачанным dr. web live cd, там же, по идее, базы тоже свежайшие.

erd commander пока не пробовал. во-первых, у меня его нет; надо качать и делать загрузочный диск. а во-вторых, прежде чем не самыми умелыми руками колупать реестр, хочу подождать. вдруг завтра придет сюда мегагуру антивирусной защиты и расскажет простую последовательность действий, после которой все исправится. или даже сам антивирус (тот же live cd, только на один день старше) все найдет и все починит. он ведь для этого и предназначен, да?




кстати, обнаружил, что моя учетка - по факту не администратор (хотя указано обратное). создал еще две новых (админ и гость). вот в них совсем беда, сразу при входе предлагается выслать СМС и больше никаких действий совершить нельзя.

[domini]

domini

Кстати, bvas правильно написал, где собака зарыта, но при активности этого вируса ни какими программами в реестр невозможно зайти и исправить тоже невозможно.

А вы пробовали с ERDКомандера 2005 загрузиться...??? Он реестр правит без вопросов,тока ручками...)))

Загрузиться с ERDКомандера 2005 не пробовал, потому что у меня проблема снялась, но тема близка - каждый день кто-нибудь приходит с этими СМС-вымогателями. DrWeb много чего лечит, а эту пакость еще, видимо, нет. Будет такая же проблема - попробую. Жаль, хотел этот файл отправить на проверку - да убил его без сохранения в корзине.

[domini]

[quote name='donner' date='26/12/2009 03:48' post='361521']
2 domini

Второй запускающийся файл sdra64.exe – и есть, то что грузиться под winlogon. - нет такого файла в систем32, смотрел из-под livecd.

объем 95 Кб, Описание:zPLnzEL, производитель: xaxTFkM, версия файла: 217.74.159.57, дата: 15.04.2008 - и такого там нет.

Я в-принципе и говорил, что может быть не этот файл sdra64.exe , а что-то подобное. Потому что заставка блокирующего окна - полная копия как для Net Accelerator ( у Вас Downloader).

[OgnePtaX]

доброго всем.

Этот вирус создает в папке C:\Windows\temp и C:\windows\sistem32\temp много своих dll после каждой перезагрузки.

Переименовав HJ в HJ.com запустив в безопаске (предварительно пофиксив реестр restore_safe_boot) далее мне HJ предложыл создать лог файл если надать да, то система рибутнёца, а если оставить сообщение висеть, то можно приступить к проверке... с AVZ датой фишкой не прокатил. Если окно вымогателя выведено на передний платн и активно мегает курсор в поле активации, надо выбрать выпадаюзее меню =) и нажать ctrl+alt+Esc предварительно запустив что-то... HJ запускала с диска через менеджер лицензий др веб =))) нажимаем поиск далее ищем привод, там файл правой мышкой ОТКРЫТЬ... запускается утилита

в систем32 нашлась sdra64.exe и еще одна подозрительная dllка, логи приложыть немогу =) никак...
пофиксив всевозможное и невозможное вычитав все что можно на virusinfo.info но после рибута опять 25

Др веб свежый, базы скачалачасиков в 23 ночи вчера... но поиск ничего недал... ДрвебЛайф тоже ничего непоказал тоже вчерашний... предчувствую много работы в пн...

[EugeneAO]

Всем привет!!!
Я Айтишник, компами занимаюсь уже 10 лет. За последние 2 года от вирусов вылечил уже более 100 компов. А вот эта зараза "Download Master"....... Третий день сижу бьюсь и ничего не получается.
Снимаю винт, подключаю в другому компу - результат отрицательный Ни Курилка ни КИС ничего не находят.
Если загружаться с винта - убить его никак не получается ни в безопаснике, ни в обычном режиме. Переименование файлов результата не дает. cureit_scan.bat - в реестре ничего поменять не может, а т.к. в реестре запуск блокируется, то и курилка не запускается

Качаю ЕРД, с загрузочного диска постараюсь в редактор реестра залезть и автозагрузки исправить

Подскажите, может есть такая програмка, которая может на рабочем компе реестр Винды на другом винте редактировать

Сообщение было изменено EugeneAO: 26 Декабрь 2009 - 11:28

[bvas]

donner

erd commander пока не пробовал. во-первых, у меня его нет; надо качать и делать загрузочный диск. а во-вторых, прежде чем не самыми умелыми руками колупать реестр, хочу подождать. вдруг завтра придет сюда мегагуру антивирусной защиты и расскажет простую последовательность действий, после которой все исправится. или даже сам антивирус (тот же live cd, только на один день старше) все найдет и все починит. он ведь для этого и предназначен, да?

Конечно этот вирус может в лабораторию выслать и кто другой,но ждать может придеться и больше чем Вы описали...
На другого надейся,а сам не плошай!!!
ЕРД для того и есть,чтоб экспортировать реестр в файл или на флэшку сохранить и выложить здесь,чтоб знающие люди посмотрели и пошагово объяснили
что и где делать!!! Когда тож надо начинать...)))Я пару лет назад сам в реестр не лазил...Да и счас в него иду с опаской...
Но принцип вымогателей схож....Хотя вирмекеры каждый раз совершенствуют его!!!!

[Gennadij]

Подскажите, может есть такая програмка, которая может на рабочем компе реестр Винды на другом винте редактировать

AlkidLiveCD в помощь все необходимое на нем есть, только что, "Download Master-лошадь" пала от моих рук. Сейчас у клиента, вечером опишу, что делал...

[donner]

2Gennadij
Поставил AlkidLiveCD на загрузку. Жду вечера)

[donner]

AlkidLiveCD у меня не работает. Что full, что standart версия - дело заканчивается BSOD на этапе загрузки.
http://i218.photobucket.com/albums/cc51/pu...er/IMG0009A.jpg

Пойду, наверное, по телефонам звонить. Ну, типа, приедем, излечим, за умеренную плату.


=(

[SergM]

Ну уж тогда платите вирсописателю, эффект один и тот же будет.
Никто Вам ничего не вылечит раз зараза свежая и не попала в вирлаб.

[EugeneAO]

я его победил причем вручную

[SergM]

Победить не равно предупредить. Семпл наверняка утрачен. Значит оно вернется. Не к Вам так к другим.