54 ответов в этой теме

[user356]

Поскольку к сожалению, утилита восстановления практически мало чем может помочь, ищутся "коллеги по цеху", с той же бедой и номером вирусятины. Если у кого уже есть ключ, буду крайне благодарен.

мыло commax собака mail ру

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[user356]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
 

 

 

ищите,но не здесь

Сообщение было изменено mrbelyash: 24 Декабрь 2013 - 14:18

[user356]

 

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
 

 

 

ищите,но не здесь

 

Не понял? Может я сам решу, что мне делать и где мне искать?

ТП помочь не может, причем мотивация их ответов "сами дураки, надо было обновляться на 9-ю версию самостоятельно". С пространными рассуждениями, в общем и целом сводящимися к тому, что если не пользоваться компьютером, то будет вообще полное счастье. Трояну этому три месяца. Воз поныне там, судя по количеству постов, принудительного обновления система до 9-ки не выполняет, количество "попавших" растет. Шестая версия чувствует себя распрекрасно, рапортует, что все хорошо, и не реагирует на работу модификаций. Суммарно уплачено компании около 100тыс с трех контор за последние три года.

Если это все нормально, то ура бизнесу по-русски.

[mrbelyash]

>Может я сам решу, что мне делать и где мне искать?

 

Могу за вас решить.

------

 

Здесь(на форуме) с расшифровкой не помогают. Майданы устраивайте в другом месте (в ТП например или в ЛС).

[VVS]

 

 

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
 

 

 

ищите,но не здесь

 

Не понял? Может я сам решу, что мне делать и где мне искать?

ТП помочь не может, причем мотивация их ответов "сами дураки, надо было обновляться на 9-ю версию самостоятельно".

А что, не так?

Установленный DrWeb Вам сообщения о том, что вышла новая версия и предлагается перейти на неё выдавал?

[mrbelyash]

А что 6 версия еще поддерживается?

[SergM]

И 5-я тоже. Только вирусные базы.

[user356]

 

 

 

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
 

 

 

ищите,но не здесь

 

Не понял? Может я сам решу, что мне делать и где мне искать?

ТП помочь не может, причем мотивация их ответов "сами дураки, надо было обновляться на 9-ю версию самостоятельно".

А что, не так?

Установленный DrWeb Вам сообщения о том, что вышла новая версия и предлагается перейти на неё выдавал?

 

Вы видите и хорошо понимаете разницу, между выходом новой версии и рекомендации на нее перейти, и работе старой версии, каковая сейчас оказывается дырявой, без какого-либо ТРЕБОВАНИЯ ее ОБЯЗАТЕЛЬНОЙ замены? Покупается не версия, покупается защита. Сегодня же 6-я версия чувствует себя отлично и называет компьютер защищенным. Кстати окончание ключа она понимает великолепно, похоже это куда важнее, чем защитить пользователя.

До кучи, как я уже написал в техподдержку, процесс замены 6-й версии на 9-ю занял на 15-ти машинах 3 часа. Это безумные временные затраты. За это время на трех получены ошибки в конце установки 9-й версии - "память не может быть прочитана", на одной просто жесткий ребут в конце установки(даже не BSOD), на одной повисание в процессе установки, которое после ребута потребовало поиск ремовера.

30% кривизны при замене, не касаясь среднего времени на саму операцию в 15-20 минут на не самых плохих C2D и Corei5, как бы не самый лучший стимул к моментальной смене работающего и регулярно обновляемого антивируса. Вдобавок, вы будете смеяться, но после известного прикола с DrWeb и клиентом сбербанка, далеко не все бухгалтера с готовностью рвутся быть бета-тестерами новых версий, пока стоящая считает себя вполне исправно работающей.

 

В любом случае, суть поста - поиск людей с той же версией. Вопрос с ТП закрыт, не могут, значит надо искать альтернативу, о чем и пишется.

Сообщение было изменено user356: 24 Декабрь 2013 - 15:31

[SergM]

Вопрос с ТП закрыт, не могут

Вообще не могут?

[user356]

 

Вопрос с ТП закрыт, не могут

Вообще не могут?

 

Ну а что они могут сделать с RSA? Они же не волшебники.  Утилита практически ничем помочь не может. Человеческий фактор - хранили экселевские файлы, в месте не охваченном бэкапом, ес-но об этом никому не сообщив. Проще сказать, что вообще ничего не восстановлено, чем назвать эти огрызки документами. Проще создать заново.

[SergM]

Вирусный аналитик Владимир Мартьянов может внести в этот вопрос окончательную ясность. К сожалению, сейчас его нет на форуме.

[mrbelyash]

Вирусный аналитик Владимир Мартьянов может внести в этот вопрос окончательную ясность. К сожалению, сейчас его нет на форуме.

 

Сбежал?

[SergM]

Я так думаю, просто выходной или в отпуске. Люди они не роботы.

_______________________

Он или подобрал ключ от наручников, или, если там RSA, сбежал вместе с батареей... 

Сообщение было изменено SergM: 24 Декабрь 2013 - 15:58
Добавлено

[user356]

Вирусный аналитик Владимир Мартьянов может внести в этот вопрос окончательную ясность. К сожалению, сейчас его нет на форуме.

Ну исходники у меня все есть, ответ от ТП более чем однозначный. Тикет я закрыл - смысл толочь воду в ступе. Если Владимир Мартьянов заинтересуется, то перешлю ему все необходимое. Как я уже сказал, претензий по восстановлению у меня нет, как и по факту заражения(деструктивные действия пользователя), но вот то, что версия спокойно наблюдала за процессом, и нашла зверька только потом, при полном сканировании(из шедулера, кстати, не вырезав и никак об этом не сказав), меня совсем не радует. Imho есть дыра - надо либо организовывать замену модуля, либо обеспечить обязательную замену его пользователем, путем хронических жестких уведомлений. А сейчас получается, что срок истечения лицензии намного приоритетнее и куда информативнее.

[SergM]

организовывать замену модуля

Т.е. версия корпоративная, ES?

[pig]

организовывать замену модуля

Т.е. версия корпоративная, ES?

Судя по

процесс замены 6-й версии на 9-ю занял на 15-ти машинах 3 часа.

- нет.

[VVS]

 

Вирусный аналитик Владимир Мартьянов может внести в этот вопрос окончательную ясность. К сожалению, сейчас его нет на форуме.

Ну исходники у меня все есть, ответ от ТП более чем однозначный. Тикет я закрыл - смысл толочь воду в ступе. Если Владимир Мартьянов заинтересуется, то перешлю ему все необходимое. Как я уже сказал, претензий по восстановлению у меня нет, как и по факту заражения(деструктивные действия пользователя), но вот то, что версия спокойно наблюдала за процессом, и нашла зверька только потом, при полном сканировании(из шедулера, кстати, не вырезав и никак об этом не сказав), меня совсем не радует.

 

Вполне возможно, что на момент заражения его ещё не было в базах...
 

Imho есть дыра - надо либо организовывать замену модуля, либо обеспечить обязательную замену его пользователем, путем хронических жестких уведомлений.

Уведомления с рекомендацией перейти на 9-ку (а перед этим на 7-ку и 8-ку) были - пользователь их проигнорировал... упорный попался...

[SergM]

Тогда никаких замен модулей быть не может. 8-ка и 9-ка уже принципиально без модулей. Там надо менять всё. Изменился подход к защите и ее реализация. В том числе и в связи с этими энкодерами.

[user356]

 

организовывать замену модуля

Т.е. версия корпоративная, ES?

 

Нет, обычный антивирус, на несколько рабочих станций. Модуль - имеется в виду саму программу. У других программ и антивирусов, причем и бесплатных, это действие особого затруднения не вызывает, ес-но с неким минимальным вмешательством пользователя в процесс.