А вы пробовали с ERDКомандера 2005 загрузиться...??? Он реестр правит без вопросов,тока ручками...)))Кстати, bvas правильно написал, где собака зарыта, но при активности этого вируса ни какими программами в реестр невозможно зайти и исправить тоже невозможно.
Cmc на номер... и не лечится никак
#41
Отправлено 26 Декабрь 2009 - 01:48
#42
Отправлено 26 Декабрь 2009 - 01:49
восстановление системы заблокировано
попытка открыть службы так же блокируется...
но!
работает diablo 2 в оконном режиме)
#43
Отправлено 26 Декабрь 2009 - 02:05
Ltapa
Спасибо большое за телефон. Скажите, а этот код для всех разблокировок подходит? У меня было написано: текст К705613200 на номер 4460
И еще, плиз, объясните - "поставить в биосе заводские установки" - это как? Я-чайник в этом...
Думаю, что не для всех. Когда я позвонил, меня спросили что за код у меня просит вирус отправить в смс. А биос - это наверное реакция именно моего компьютера. У Вас ее может и не возникнуть.
#44
Отправлено 26 Декабрь 2009 - 02:27
А через него например открыть Диск С например можно??? или др папки с файлами..???работает diablo 2 в оконном режиме)
#45
Отправлено 26 Декабрь 2009 - 02:46
#46
Отправлено 26 Декабрь 2009 - 03:14
Так надо наверно ребятам свежую Курилку скачивать на чистую флэху и из-под ERDКомандера запускаться и всё будет Ок!!!Вчера столкнулся с точно таким же вирусом, но ДрВеба он (вирус) не вырубил, обновил базы до актуальных, прогнал сканером диск Ц, вылечил (удалением) найденные вири, после перезагрузки окно не появлялось.
А лог Сканера можете выложить сюда,посмотрим пути может наведет на мысль и им чем поиожем,если конечно вирь точь в точь....
#47
Отправлено 26 Декабрь 2009 - 03:17
А если снять винт и подсунуть под комп,где свежие базы DrWeba и прогнать сканером если верить сообщению ALTi33 ....
#48
Отправлено 26 Декабрь 2009 - 03:19
Борис А. Чертенко aka Borka.
#49
Отправлено 26 Декабрь 2009 - 03:48
Второй запускающийся файл sdra64.exe – и есть, то что грузиться под winlogon. - нет такого файла в систем32, смотрел из-под livecd.
объем 95 Кб, Описание:zPLnzEL, производитель: xaxTFkM, версия файла: 217.74.159.57, дата: 15.04.2008 - и такого там нет.
2bvas
А если снять винт и подсунуть под комп,где свежие базы DrWeba и прогнать сканером если верить сообщению ALTi33 .... - так базы и есть самые свежие; на момент заражения комп находился под защитой лицензионного Dr.web с включенным паучком. Он может за 5 минут до заражения обновился, свежее некуда. Да и потом, я же проверил диск С тока что скачанным dr. web live cd, там же, по идее, базы тоже свежайшие.
erd commander пока не пробовал. во-первых, у меня его нет; надо качать и делать загрузочный диск. а во-вторых, прежде чем не самыми умелыми руками колупать реестр, хочу подождать. вдруг завтра придет сюда мегагуру антивирусной защиты и расскажет простую последовательность действий, после которой все исправится. или даже сам антивирус (тот же live cd, только на один день старше) все найдет и все починит. он ведь для этого и предназначен, да?
кстати, обнаружил, что моя учетка - по факту не администратор (хотя указано обратное). создал еще две новых (админ и гость). вот в них совсем беда, сразу при входе предлагается выслать СМС и больше никаких действий совершить нельзя.
#50
Отправлено 26 Декабрь 2009 - 08:37
Загрузиться с ERDКомандера 2005 не пробовал, потому что у меня проблема снялась, но тема близка - каждый день кто-нибудь приходит с этими СМС-вымогателями. DrWeb много чего лечит, а эту пакость еще, видимо, нет. Будет такая же проблема - попробую. Жаль, хотел этот файл отправить на проверку - да убил его без сохранения в корзине.domini
А вы пробовали с ERDКомандера 2005 загрузиться...??? Он реестр правит без вопросов,тока ручками...)))Кстати, bvas правильно написал, где собака зарыта, но при активности этого вируса ни какими программами в реестр невозможно зайти и исправить тоже невозможно.
#51
Отправлено 26 Декабрь 2009 - 08:41
2 domini
Второй запускающийся файл sdra64.exe – и есть, то что грузиться под winlogon. - нет такого файла в систем32, смотрел из-под livecd.
объем 95 Кб, Описание:zPLnzEL, производитель: xaxTFkM, версия файла: 217.74.159.57, дата: 15.04.2008 - и такого там нет.
Я в-принципе и говорил, что может быть не этот файл sdra64.exe , а что-то подобное. Потому что заставка блокирующего окна - полная копия как для Net Accelerator ( у Вас Downloader).
#52
Отправлено 26 Декабрь 2009 - 11:01
Этот вирус создает в папке C:\Windows\temp и C:\windows\sistem32\temp много своих dll после каждой перезагрузки.
Переименовав HJ в HJ.com запустив в безопаске (предварительно пофиксив реестр restore_safe_boot) далее мне HJ предложыл создать лог файл если надать да, то система рибутнёца, а если оставить сообщение висеть, то можно приступить к проверке... с AVZ датой фишкой не прокатил. Если окно вымогателя выведено на передний платн и активно мегает курсор в поле активации, надо выбрать выпадаюзее меню =) и нажать ctrl+alt+Esc предварительно запустив что-то... HJ запускала с диска через менеджер лицензий др веб =))) нажимаем поиск далее ищем привод, там файл правой мышкой ОТКРЫТЬ... запускается утилита
в систем32 нашлась sdra64.exe и еще одна подозрительная dllка, логи приложыть немогу =) никак...
пофиксив всевозможное и невозможное вычитав все что можно на virusinfo.info но после рибута опять 25
Др веб свежый, базы скачалачасиков в 23 ночи вчера... но поиск ничего недал... ДрвебЛайф тоже ничего непоказал тоже вчерашний... предчувствую много работы в пн...
#53
Отправлено 26 Декабрь 2009 - 11:24
Я Айтишник, компами занимаюсь уже 10 лет. За последние 2 года от вирусов вылечил уже более 100 компов. А вот эта зараза "Download Master"....... Третий день сижу бьюсь и ничего не получается.
Снимаю винт, подключаю в другому компу - результат отрицательный Ни Курилка ни КИС ничего не находят.
Если загружаться с винта - убить его никак не получается ни в безопаснике, ни в обычном режиме. Переименование файлов результата не дает. cureit_scan.bat - в реестре ничего поменять не может, а т.к. в реестре запуск блокируется, то и курилка не запускается
Качаю ЕРД, с загрузочного диска постараюсь в редактор реестра залезть и автозагрузки исправить
Подскажите, может есть такая програмка, которая может на рабочем компе реестр Винды на другом винте редактировать
Сообщение было изменено EugeneAO: 26 Декабрь 2009 - 11:28
#54
Отправлено 26 Декабрь 2009 - 12:20
Конечно этот вирус может в лабораторию выслать и кто другой,но ждать может придеться и больше чем Вы описали...erd commander пока не пробовал. во-первых, у меня его нет; надо качать и делать загрузочный диск. а во-вторых, прежде чем не самыми умелыми руками колупать реестр, хочу подождать. вдруг завтра придет сюда мегагуру антивирусной защиты и расскажет простую последовательность действий, после которой все исправится. или даже сам антивирус (тот же live cd, только на один день старше) все найдет и все починит. он ведь для этого и предназначен, да?
На другого надейся,а сам не плошай!!!
ЕРД для того и есть,чтоб экспортировать реестр в файл или на флэшку сохранить и выложить здесь,чтоб знающие люди посмотрели и пошагово объяснили
что и где делать!!! Когда тож надо начинать...)))Я пару лет назад сам в реестр не лазил...Да и счас в него иду с опаской...
Но принцип вымогателей схож....Хотя вирмекеры каждый раз совершенствуют его!!!!
#55
Отправлено 26 Декабрь 2009 - 13:58
Подскажите, может есть такая програмка, которая может на рабочем компе реестр Винды на другом винте редактировать
AlkidLiveCD в помощь все необходимое на нем есть, только что, "Download Master-лошадь" пала от моих рук. Сейчас у клиента, вечером опишу, что делал...
#56
Отправлено 26 Декабрь 2009 - 15:04
Поставил AlkidLiveCD на загрузку. Жду вечера)
#57
Отправлено 26 Декабрь 2009 - 16:35
http://i218.photobucket.com/albums/cc51/pu...er/IMG0009A.jpg
Пойду, наверное, по телефонам звонить. Ну, типа, приедем, излечим, за умеренную плату.
=(
#58
Отправлено 26 Декабрь 2009 - 16:42
Никто Вам ничего не вылечит раз зараза свежая и не попала в вирлаб.
#59
Отправлено 26 Декабрь 2009 - 16:42
#60
Отправлено 26 Декабрь 2009 - 16:45
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых