56 ответов в этой теме

[SergM]

В безопасном режиме сканер Куреит запускается, но как написанов в "Правилах" запустить его не удается. Файл cureit-scan.bat категорически не запускается даже под ддругим именем.

Создавайте отдельную тему. Делайте те логи, которые удастся сделать.

[Symbiat]

Смотрю на многих форумах у людей проблемы с этим вирусом, отличается лишь текст сообщения которое нужно отправить, у меня кстати К205114200, начиная с конца декабря, а решения так и не найдено...Лишь только в паре случаев найдены решения и то путем большого гемора отдельными индивидами, сколько бы я не парился проверка свежими утилитами ничего не дает. Переустановлю винду, а там посмотрим...

[SergM]

А там снова словите.... Проблема решается, и не только добавлением сигнатур, а и привлечением аффтара к некоторой степени ответственности.

[Golberg]

Когда время в щетчеке в вирусе прошло он пропал с экрана,но все остальное заблокированно...сейчас удалось запустить dr web правда проверка будет очень долгой..если ничего не найдет будем пытаться в ручную

[mrbelyash]

Когда время в щетчеке в вирусе прошло он пропал с экрана,но все остальное заблокированно...сейчас удалось запустить dr web правда проверка будет очень долгой..если ничего не найдет будем пытаться в ручную

В следующий раз попробывать перевести дату вперед или назад на пару месяцев

[Golberg]

Проверка ничего не выявила...будем мучиться дальше

[Golberg]

Скачал и запустил LiveCD но больно долго она делает установку устройств (HwPhP)...(уже около двух часов) Так и должно быть или я что-то не то запустил?

[SergM]

А нам сиё не ведомо

[Golberg]

вобще как должен работать liveCD просто версия винды для запуска с диска?Или он должен чтото сделать а потом запуститься?

[SergM]

вобще как должен работать liveCD просто версия винды для запуска с диска?Или он должен чтото сделать а потом запуститься?

http://www.freedrweb.com/livecd/how_it_works/ - как это работает

[Serguey Shabashkevich]

Смотрю на многих форумах у людей проблемы с этим вирусом, отличается лишь текст сообщения которое нужно отправить, у меня кстати .... Переустановлю винду, а там посмотрим...

Вопрос: с какими правами в системе заходят в Инет пострадавшие?

[Borka]

Смотрю на многих форумах у людей проблемы с этим вирусом, отличается лишь текст сообщения которое нужно отправить, у меня кстати .... Переустановлю винду, а там посмотрим...

Вопрос: с какими правами в системе заходят в Инет пострадавшие?

По моей практике - не имеет значения: суслик прописыватся туда, куда сможет.

[Ko6a]

Помогло: загрузился с LiveCD, просканил разделы свежим Kaspersky Virus Removal Tool, исправил реестр при помощи Norton-WinDoctor-2009.

[DeeMatter]

Помогло: загрузился с LiveCD, просканил разделы свежим Kaspersky Virus Removal Tool, исправил реестр при помощи Norton-WinDoctor-2009.

Как запустить removal tool с live cd? Оно же инсталиться хочет, при установке выбивает ошибку и все( Может есть портативная версия?

P.S. У меня ноут на гарантии, так бы винт снял и просканил..((

P.P.S. Cureit ничего не находит абсолютно(И лог не хочет создавать по мануалу...

Сообщение было изменено DeeMatter: 05 Январь 2010 - 15:16

[Морф]

Может кому поможет  Столкнулся с данным вымогателем на ноуте. После загрузки системы, при попытке открытия какого-либо приложения, запускается незакрываемое окно со сканированием мнимых вирусов. Если ничего не запускать, окно не появляется. Замечено, что при открытии папок с именем, содержащим слова "антивирус", перегружается explorer и, соответсвенно, папка не открывается =) Но папку переименовать можно, что ничем не помогает - ничего не запускается.  regedit, gpedit и taskmgr заблокированы. Работает msconfig. Безопасный режим не работает, уходит в перегруз.

Проще всего сначала сгенерировать код в каком-нибудь Сервисе деактивации вымогателей (я скачал генератор, написанную каким-то альтруистом), после чего надоедливое окошко исчезает, после перезагрузки компьютера исчезают некоторые симптомы: появляется regedit, gpedit и taskmgr, однако безопасный режим не грузится. Просканировал утилитой AVZ (обновив базы), тот руганулся на подмену диспетчера задач (сразу исправил), и подозрительный шрифт GLECB.TTF:[здесь идет строка произвольных символов], позволяющий запускать приложения. Сначала не придал значения, потом понял, что зря =) 

После этого загрузился с Live CD, предварительно скачав свежий cure it и записав на флешку, просканил диски, и в итоге обнаружились след. зверьки: вышеупомянутый шрифт в папке c:\windows\fonts, fhrufn.dll и wm.dll в папке c:\WINDOWS\system32\. Вирус определился как Trojan.Winlock.691, т.е. в базах др.веба он уже есть =) Заодно выловил BackDoor.Tdss.1866 (atapi.sys в c:\WINDOWS\system32\drivers\). После этих действий появился безопасный режим, функциональность системы восстановилась.

[avv48]

Как запустить removal tool с live cd? Оно же инсталиться хочет, при установке выбивает ошибку и все

Я для этого сделал батничек, который создает на C папку для временных файлов, устанавливает стандартные переменные окружения %tmp и %temp на эту папку и запускает CureIt. Сам батник поместил на LiveCD.
Как альтернатива - вводить указанные команды в командном режиме.

PS Лог работы будет писаться в эту папку.

Сообщение было изменено avv48: 06 Январь 2010 - 07:04

[skitalez]

Я для этого сделал батничек

друг ты бы поделился наработкой и подробной инструкцией
всем будет полезно

[valeo379]

1- Запуск LiveCD с альтернативным редактором реестра (ERD Commander)
2 - с загруженной WinPE правим рег на больной ОС (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows удалить значение параметра AppInit_DLLs.
3 - Качаем CureIt папку test в корене С:\ (вирь уже в базе есть!)
4 - Качаем HijackThis
5 - Грузим больную ОС с откл. сетью (просто шнурок вытащите).
6 - Пускаем CureIt - находит C:\WINDOWS\system32\sdra64.exe, в кеше браузера load*.exe и еще кучу гадости в C:\WINDOWS\system32\
7 - Перезагрузка.
8 - Пускаем HijackThis сканим смотрим на наличие строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, если есть то фиксим строку (но после CureIt ее не должно остаться).
9 - Качаем plstfix.exe
10 - Пускаем plstfix.exe
11 - Перезагрузка.
12 - Запуск редактора реестра и диспечера задач должны разблокироваться.
13 - Правим (т.е. удаляем) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
ключи типа {dda3f824-d8cb-441b-834d-be2efd2c1a33} в которых значение параметра ItemData есть путь на ваш антивирус и не только ваш.
14 - После перезагрузки у вас должен заработать антивирь.

Так я делал, может есть путь проще, я не притендую на панацею.

[mrbelyash]

Запускаем CureIT и падаем в бсод

[valeo379]

Запускаем CureIT и падаем в бсод

На 3х железяках бсод не наблюдал.