54 ответов в этой теме

[sbuser]

Здравствуйте, знатоки этой темы!
Поймал вирус по своему виду и содержанию очень напоминает описанный на Dr.Web Троян.Винлок.415, но картинка несколько другая. По описанию запрашиваемого текста СМС подобного в списке не нашел - просит отправить 552002, пытался в BIOS менять дату, вирус не отпускает, только меняется текст СМС на 552006 и 552001). Простые комбинации типа 7 любых или 9 любых цифр не помогают.
При загрузке WinXP показывает доступные пользовательские аккаунты, но при входе в любой из них после раздумья выскакивает полный синий экран с вымогательством. Никакие клавиши и комбинации, описанные на форумах, не помогают, только рестарт по питанию. При многократном нажатии на Shift раздается звуковой сигнал - это единственная адекватная реакция. Сделать скриншоты или логи не могу - система не работает. Записал Dr.Web LiveCD от 25 декабря, но он ничего не обнаружил.
Во время выключения компа успел заметить при пропадании синего экрана с требованием оплатить заказанное ПОРНО под ним на белом фоне мультяшная картинка со стоящими на плечах друг у друга мальчика и девочки с каким-то поучительным прописным текстом. Очевидно, это то, что ждет меня после ввода правильного кода.
Помогите пожалуйста не очень продвинутому пользователю в теме лечения компов, убить или выявить заразу

Сообщение было изменено sbuser: 26 Декабрь 2009 - 16:05

[sbuser]

Всем смотрящим - код 123456789 помог разблокировать комп. Позже буду пробовать лечить. На компе стоит обновляемый AVAST, видимо заразу пропустил. А берут ли эту заразу последние версии Dr.Web? Скачал с Dr.Web бесплатную утилиту Dr.Web CureIt!®, буду пробовать ей, или есть лучшие советы?

[v.martyanov]

Всем смотрящим - код 123456789 помог разблокировать комп. Позже буду пробовать лечить. На компе стоит обновляемый AVAST, видимо заразу пропустил. А берут ли эту заразу последние версии Dr.Web? Скачал с Dr.Web бесплатную утилиту Dr.Web CureIt!®, буду пробовать ей, или есть лучшие советы?

Лучше логи по правилам, мало ли не один был?
А про детект без файла сказать ничего нельзя, увы :-(

[sbuser]

Странно что лайф диск ничего не обнаружил, или это вполне возможная ситуация?

[SergM]

Это вполне естественная ситуация: образца нет в вирлабе => нет вирусной записи => нет и детекта

[donner]

Странно что лайф диск ничего не обнаружил, или это вполне возможная ситуация?

К сожалению, более чем возможная. У меня подобная ситуация сейчас, вот здесь можно почитать, если интересно

http://forum.drweb.com/index.php?showtopic=286795

[sbuser]

Так как именно тут нашел лекарство, то постараюсь внести и свой вклад в расширение базы. Вопрос - не опасно ли что-либо творить с компом, как правильно собрать образец заразы, чтобы доставить в лабораторию. Если можно, очень краткую рекомендацию или ссылку на правильную последовательность действий для начинающего, и желательно с минимальным сленгом - все-таки чуть-чуть отстал от сегодняшних сокращенных названий прог.

[Driver]

Правила раздела "Помощь по лечению"

[SergM]

Всё в правилах раздела. Делаете логи, хелперы их смотрят, дают рекомендации по вылавливанию заразы и Вы отправляете ее в вирлаб (ссылка Прислать вирус вверху этой страницы)

[sbuser]

Вроде бы выполнил все перечисленные рекомендации. Больше вирус не находится. Сделал логи тремя рекомендованными программами. Куда их выложить? Прямо тут на форуме?

[bvas]

sbuser

Вроде бы выполнил все перечисленные рекомендации. Больше вирус не находится. Сделал логи тремя рекомендованными программами. Куда их выложить? Прямо тут на форуме?

Да!!!

[sbuser]

Не надо так кричать, я хорошо слышу! Просто опыта мало, извините. И что дальше?

Прикрепленные файлы:

•  hijackthis.log   19,25К   70 Скачано раз
•  cureit_fast.log   2,15Мб   141 Скачано раз
•  Report.txt   45,9К   69 Скачано раз

[Borka]

И что дальше?

Ждать.

ЗЫЖ Лог можно было бы заархивировать.

[sbuser]

Sorry! Когда закачал, то понял, что неправ . В следующий раз (надеюсь, что это будет не скоро) постараюсь не ошибаться!

[Borka]

Проверьте на ВирусТотал:
C:\WINDOWS\FOTKIB~1.DLL
c:\windows\system32\nwprovau.dll
C:\WINDOWS\system32\pr2ana2b.exe
C:\WINDOWS\system32\drivers\pe3ana2b.sys
c:\windows\system32\wlhooks.dll
c:\windows\system32\drivers\ps7ana2b.sys
c:\windows\system32\drivers\pf2ana2b.sys
c:\program files\cyberlink\powerdvd\msvcr71.dll

[sbuser]

Скачал демо ДрВеб. Получил временный ключ. Проверку произвести этим средством? Проверка на ВирусТотал - это общая проверка или название вируса в указанных файлах (простите за отсталость)?

[Borka]

Проверка на ВирусТотал - это общая проверка или название вируса в указанных файлах (простите за отсталость)?

Проверка файла сорока одним антивирусом.

[sbuser]

Шутку оценил! Постараюсь купить хотя бы три. На машине стоит обновляемый Avast. Теперь попробую Доктора, судя по всему - поддержка солидная и можно доверять.

Файл C:\WINDOWS\FOTKIB~1.DLL я в проводнике не обнаружил. Пока Др.Веб ни на что не выругался. Запустил на полную проверку всего компа.Судя по всему - результат ожидается только к утру.

Покопался по форуму и теперь понял что такое Вирус Тотал-так бы и сказали для "чайника", что надо скачать программу с таким названием. Проверю поутру указанные файлы. Пока доверился полной проверке Доктором.

Пока писал появились в таблице C:/Documents and Settings/All users/Desktop_.ini (статус - Win32.HLLW.Gavir.ini), вот еще -Trojan.Mycentria.32 и Trojan.Mycentria.27, Adware.OneStep.77, Adware.OneStep.441, Adware.OneStep.109 и Adware.OneStep.166. Не они ли меня мучили два дня вымогательством на СМС?

Пока спасибо за поддержку и помощь.

[Borka]

Шутку оценил!

?

Файл C:\WINDOWS\FOTKIB~1.DLL я в проводнике не обнаружил.

А если ФАРом посмотреть?

Пока писал появились в таблице C:/Documents and Settings/All users/Desktop_.ini (статус - Win32.HLLW.Gavir.ini), вот еще -Trojan.Mycentria.32 и Trojan.Mycentria.27, Adware.OneStep.77, Adware.OneStep.441, Adware.OneStep.109 и Adware.OneStep.166. Не они ли меня мучили два дня вымогательством на СМС?

Не уверен. По идее Winlock должен быть...

[sbuser]

Покопался по форуму и теперь понял что такое Вирус Тотал-так бы и сказали для "чайника", что надо скачать программу с таким названием. Проверю поутру указанные файлы. Пока доверился полной проверке Доктором. когда отработает, буду двигаться дальше.