75 ответов в этой теме

[userr]

DrWeb 5.0.2.03300 2011.07.25 Trojan.Winlock.3866 - дата видна

это дата выпуска баз, а не дата добавления туда вируса. проверьте сейчас eicar.com и будет тоже 2011.07.25 .

где доказательства, что вирус был добавлен в базы сегодня, а не день, неделю, месяц, назад?

[rus_lord]

доказательство что не в день создание темы не в позавчера когда я с ним опять столкнулся он не был обнаружен не одним из 3 ативиров
вебер каспер и авз
единствено что каспер исправил ссылку в реестре и тока потом я от него избавился

[rus_lord]

кстати авг и сегодня его в архиве не определила

[userr]

доказательство что не в день создание темы не в позавчера когда я с ним опять столкнулся он не был обнаружен не одним из 3 ативиров
вебер каспер и авз

3-й раз: доказательством являются только логи.

[Muse_s]

так ... чудеса нас продолжают удивлять
вирус я по ходу все таки грохнул

скорее всего помог каспер (буть он не ладен)
щас загрузился запустил проверку авг .. посмотрим

вы могли бы мне помочь (и наверное не только мне) и написать поэтапно что вы делали что в итоге помогло? и можно ли, если не могу войти в биос получить закрузку с лафйсд?
пс похоже на украину конкретно обружился винлог!!!

[#user]

можно ли, если не могу войти в биос получить закрузку с лафйсд?

Почему Вы не можете войти в биос ?

[Muse_s]

можно ли, если не могу войти в биос получить закрузку с лафйсд?

Почему Вы не можете войти в биос ?

не знаю.
было так: появился банер. попробовала безопасный вход - опять он. ввела код - не работает. выключила нажатием setup долгим,так как никакие клавиш комбинации не работали. теперь после включения сетапа начинает работать процессор, но не грузится ничего. черный экран. какой уж вход в биос?

[pig]

Muse_s, вам отвечено в вашей теме.

[Muse_s]

Muse_s, вам отвечено в вашей теме.

да вижу - спасибо! понесу-ка я его к мастеру. началось с банера - закончилось...

[himer]

У меня прокатил вариант с Win+D (свернуть все окна). Потом удалил процесс (readme.exe)
Внешне выглядел вот так:

Загрузка вируса проходила через реестр, ветка [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run].
Как вариант прокатывало снятие процесса до блокирования windows. То есть при загрузке windows сразу alt+ctrl+del и там также убиваем readme.exe. Но это наверное успевалось потому что комп тормозной.

[userr]

himer
файл вируса сохранился? что про него говорит http://www.virustotal.com/index.html (ссылка) ?

[Dmitry Kuzmenko]

Вот скрин

сестра сегодня зацепила, с аналогичным экраном. просят 200 гривен на кошелек u125847009608. Кошелек в инете не находится, значит это что-то новое.

[mrbelyash]

Вот скрин

сестра сегодня зацепила, с аналогичным экраном. просят 200 гривен на кошелек u125847009608. Кошелек в инете не находится, значит это что-то новое.

Разблокируем без кода.
Перезагружаем машину и выбираем особый пункт загрузки.
Для этого во время загрузки системы нажимаем клавишу F8 (нажимаем и долго держим).

Выбираем пункт " Восстановление службы каталогов (только на контроллере домена Windows)"
Нажимаем Энтер

[Dmitry Kuzmenko]

не помогло. в т.ч. эта штука и в безопазном режиме.

[mrbelyash]

не помогло. в т.ч. эта штука и в безопазном режиме.

нужно именно на контролере домена
-------
есть возможность загрузиться с лайфсд или второй системы?

Сообщение было изменено mrbelyash: 16 Октябрь 2011 - 21:34

[Dmitry Kuzmenko]

ну какой контроллер домена на XP дома у "интернетчицы"?

есть возможность загрузиться с лайфсд или второй системы?

нет. даже если бы я туда со своим ноутом приехал, ковыряться без антивируса, точно ловящего эту штуку, не хочу (у нее стоял Norton), т.к. уже имею безрезультатный опыт с одним из винлокеров (который не давал абсолютно ничего сделать ни в обычном, ни в безопасном режиме).
Так что, лучше подожду. Пока моя печаль в том, что указанный кошелек (u125847009608) не ищется ни в гугле, ни в яндексе.

[mrbelyash]

ну какой контроллер домена на XP дома у "интернетчицы"?

есть возможность загрузиться с лайфсд или второй системы?

нет. даже если бы я туда со своим ноутом приехал, ковыряться без антивируса, точно ловящего эту штуку, не хочу (у нее стоял Norton), т.к. уже имею безрезультатный опыт с одним из винлокеров (который не давал абсолютно ничего сделать ни в обычном, ни в безопасном режиме).
Так что, лучше подожду. Пока моя печаль в том, что указанный кошелек (u125847009608) не ищется ни в гугле, ни в яндексе.

Если вы с машины достанете два файлика я вам скажу где точно лежит (кусты реестра)....
Если вы мне потом пришлете сам винлок я вам скажу код разблокировки.

как правило лежит или на рабочем столе или в темпе..имя файла 0.набор_цифр.exe

[bodyguard]

ну какой контроллер домена на XP дома у "интернетчицы"?

есть возможность загрузиться с лайфсд или второй системы?

нет. даже если бы я туда со своим ноутом приехал, ковыряться без антивируса, точно ловящего эту штуку, не хочу (у нее стоял Norton), т.к. уже имею безрезультатный опыт с одним из винлокеров (который не давал абсолютно ничего сделать ни в обычном, ни в безопасном режиме).
Так что, лучше подожду. Пока моя печаль в том, что указанный кошелек (u125847009608) не ищется ни в гугле, ни в яндексе.

Если есть возможность загрузиться с liveCD, то достаточно просмотреть http://forum.drweb.com/index.php?showtopic=293348
и в 99% процентов отлавливаются и уничтожаются.
А после отлова и проверки на virustotal можно и отправить новый вирус в лабораторию, если он еще не определяется.

[userr]

Так что, лучше подожду.

Чего? что само пройдёт как-нибудь?

[Dmitry Kuzmenko]

я жду, когда в гугле или яндексе появится упоминание об этом кошельке. Кстати, кошелек стало показывать другой
u232478087712
тоже не находится.
тут просто ситуация такая, что я не могу добраться до этого компа чтобы запустить livecd или еще что-то. А на том компе сидит совсем никакая тётя. Поэтому сидим, ждем, вдруг где появится код разблокировки.

Сообщение было изменено Dmitry Kuzmenko: 18 Октябрь 2011 - 12:07