20 ответов в этой теме

[nike_spb]

Привет. Поймал винлок с требованием отправить 2000на номер +79139370263. В базе нет. Сделал лайв юсб. В адвансд и в графическом режиме не обнаруживается жесткий диск. Команда фдиск -л показывает только флэшку. Сэйф моуд с ком строкой или без - не идут, ребутит. В граф режиме не запускается ни контрол центр, ни сканер, сеть не поднимается. Сканирование идет только в адвансд моуд но ессно только флэшки. Как бороться? Спасибо.

[nike_spb]

Да,еще. Не знаю влияет ли..но на ноуте установлен sophos safeguard 5.6

[pig]

Попробуйте на ноутбуке временно (на время загрузки с Live) перевести контроллер диска в режим IDE.

[nike_spb]

Ноут рабочий - биос залочен. Я так понимаю что sata шный жесткий диск, работает в режиме АТА.

[mrbelyash]

винлок появлялся до окна приветствия?
красные буквы черный фон?

[nike_spb]

После логона в винде. Думаю в автозагрузке. Синий и темно синий фон. Позволяет запускать таск менеджер но фокус перехватывает. Думаю не мбр, но что то потер раз обычные безопасные режимы не грузятся. Интересно, что удалось вроде загрузиться в безопасный режим только через directory services restory mode (windows domain controllers only). Но и там после логина эта штука появилась. /:

[mrbelyash]

в коммандлайне должно получиться

[nike_spb]

Вы меня не поняли. Безопасный режим не работает ноут уходит в перезагрузку

[mrbelyash]

угу..такое бывает.

Пробуйте виндовый лайфсд на базе винды(алкид,зверь) или каспера.

[nike_spb]

Хмм.. ясно спасибо. Такое впечатление что и так не пойдет.. видимо упомянутый sophos safeguard как то блокирует доступ к диску. Может ключ появится..?
А вот еще забавный скриншот: http://pixs.ru/showimage/IMG2012072_3544600_5388919.jpg безопасный режим

[mrbelyash]

а с лайфсд браузер сеть видит?

Если да, то Пуск-Report bug и отчет мне...я вам исправлю реестр положите назад

[nike_spb]

Сети нет, только в каспере поднимается. Но я мог бы попробовать файл слить - но ведь в этом нет смысла если команда fdisk -l видит только флэшку загрузочную. Sdb просто нету. http://forum.kaspersky.com/index.php?showtopic=240584

[mrbelyash]

у каспера там есть редактор реестра.
подсказать ветки где искать?

[nike_spb]

Так и у каспера не монтируется диск/: по ссылке кусок лога с линукса. Я в нем совсем не силен. В общем глупая ситуация. Вытащить бы данные с диска, да боюсь формат тока поможет. Корпоративная защита блин.

[mrbelyash]

а подключить винт к другой машине?

Собственно хадите в суппорт, та мпрофи сидят-оне подскажут

[nike_spb]

Ноут на гарантии, не уверен можно ли развинчивать. Видимо придется..а не хочется немцев напрягать. В любом случае большое Вам спасибо (;

[nike_spb]

На данный момент решено. Может быть кому то поможет. Поскольку сервис висит после логона - то и сеть можно поднять. Я подключился с другого компьютера домена (кабель 1 в 1, IP знал) и поставил запрет на исполнение файла, который нашел по адресу с:\documents and settings\your_user.2825233723754734.exe .
Кроме того он прописался в реестре в ветках
HKEY_USERS\YOUR_USER_ID\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN с:\documents and settings\your_user.2825233723754734.exe с:\documents and settings\your_user.2825233723754734.exe
HKEY_CURRENT_USER\​Software\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon Shell с:\documents and settings\your_user.2825233723754734.exe

Вроде все, всем спасибо за советы. Вирус заслал в ВИРЛАБ, может коды появятся. Также продублировано на касперском.

[nike_spb]

Сорри, правильный адрес в предыдущем посте с:\documents and settings\your_user\0.2825233723754734.exe

Добавлю, что сегодня в 0:20 было выпущено обновление баз, где этому вирусу присвоено название BackDoor.Hermes.442

[mrbelyash]

ктнте и мне в личку файлик

не, не надо..уже есть

Сообщение было изменено mrbelyash: 30 Июль 2012 - 19:41

[nike_spb]

Точно? Ежели чего - он у меня не далеко