Создавайте отдельную тему. Делайте те логи, которые удастся сделать.В безопасном режиме сканер Куреит запускается, но как написанов в "Правилах" запустить его не удается. Файл cureit-scan.bat категорически не запускается даже под ддругим именем.
Ekav
#21
Отправлено 03 Январь 2010 - 14:46
#22
Отправлено 03 Январь 2010 - 14:59
#23
Отправлено 03 Январь 2010 - 15:17
#24
Отправлено 03 Январь 2010 - 16:46
#25
Отправлено 04 Январь 2010 - 10:34
В следующий раз попробывать перевести дату вперед или назад на пару месяцевКогда время в щетчеке в вирусе прошло он пропал с экрана,но все остальное заблокированно...сейчас удалось запустить dr web правда проверка будет очень долгой..если ничего не найдет будем пытаться в ручную
#26
Отправлено 04 Январь 2010 - 12:35
#27
Отправлено 04 Январь 2010 - 16:10
#28
Отправлено 04 Январь 2010 - 16:13
#29
Отправлено 04 Январь 2010 - 16:30
#30
Отправлено 04 Январь 2010 - 16:38
http://www.freedrweb.com/livecd/how_it_works/ - как это работаетвобще как должен работать liveCD просто версия винды для запуска с диска?Или он должен чтото сделать а потом запуститься?
#31
Отправлено 04 Январь 2010 - 17:56
Вопрос: с какими правами в системе заходят в Инет пострадавшие?Смотрю на многих форумах у людей проблемы с этим вирусом, отличается лишь текст сообщения которое нужно отправить, у меня кстати .... Переустановлю винду, а там посмотрим...
#32
Отправлено 04 Январь 2010 - 19:19
По моей практике - не имеет значения: суслик прописыватся туда, куда сможет.Вопрос: с какими правами в системе заходят в Инет пострадавшие?Смотрю на многих форумах у людей проблемы с этим вирусом, отличается лишь текст сообщения которое нужно отправить, у меня кстати .... Переустановлю винду, а там посмотрим...
Борис А. Чертенко aka Borka.
#33
Отправлено 04 Январь 2010 - 20:34
#34
Отправлено 05 Январь 2010 - 13:34
Как запустить removal tool с live cd? Оно же инсталиться хочет, при установке выбивает ошибку и все( Может есть портативная версия?Помогло: загрузился с LiveCD, просканил разделы свежим Kaspersky Virus Removal Tool, исправил реестр при помощи Norton-WinDoctor-2009.
P.S. У меня ноут на гарантии, так бы винт снял и просканил..((
P.P.S. Cureit ничего не находит абсолютно(И лог не хочет создавать по мануалу...
Сообщение было изменено DeeMatter: 05 Январь 2010 - 15:16
#35
Отправлено 05 Январь 2010 - 22:37
Проще всего сначала сгенерировать код в каком-нибудь Сервисе деактивации вымогателей (я скачал генератор, написанную каким-то альтруистом), после чего надоедливое окошко исчезает, после перезагрузки компьютера исчезают некоторые симптомы: появляется regedit, gpedit и taskmgr, однако безопасный режим не грузится. Просканировал утилитой AVZ (обновив базы), тот руганулся на подмену диспетчера задач (сразу исправил), и подозрительный шрифт GLECB.TTF:[здесь идет строка произвольных символов], позволяющий запускать приложения. Сначала не придал значения, потом понял, что зря =)
После этого загрузился с Live CD, предварительно скачав свежий cure it и записав на флешку, просканил диски, и в итоге обнаружились след. зверьки: вышеупомянутый шрифт в папке c:\windows\fonts, fhrufn.dll и wm.dll в папке c:\WINDOWS\system32\. Вирус определился как Trojan.Winlock.691, т.е. в базах др.веба он уже есть =) Заодно выловил BackDoor.Tdss.1866 (atapi.sys в c:\WINDOWS\system32\drivers\). После этих действий появился безопасный режим, функциональность системы восстановилась.
#36
Отправлено 06 Январь 2010 - 07:03
Я для этого сделал батничек, который создает на C папку для временных файлов, устанавливает стандартные переменные окружения %tmp и %temp на эту папку и запускает CureIt. Сам батник поместил на LiveCD.Как запустить removal tool с live cd? Оно же инсталиться хочет, при установке выбивает ошибку и все
Как альтернатива - вводить указанные команды в командном режиме.
PS Лог работы будет писаться в эту папку.
Сообщение было изменено avv48: 06 Январь 2010 - 07:04
#37
Отправлено 06 Январь 2010 - 10:06
друг ты бы поделился наработкой и подробной инструкциейЯ для этого сделал батничек
всем будет полезно
#38
Отправлено 06 Январь 2010 - 11:00
2 - с загруженной WinPE правим рег на больной ОС (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows удалить значение параметра AppInit_DLLs.
3 - Качаем CureIt папку test в корене С:\ (вирь уже в базе есть!)
4 - Качаем HijackThis
5 - Грузим больную ОС с откл. сетью (просто шнурок вытащите).
6 - Пускаем CureIt - находит C:\WINDOWS\system32\sdra64.exe, в кеше браузера load*.exe и еще кучу гадости в C:\WINDOWS\system32\
7 - Перезагрузка.
8 - Пускаем HijackThis сканим смотрим на наличие строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, если есть то фиксим строку (но после CureIt ее не должно остаться).
9 - Качаем plstfix.exe
10 - Пускаем plstfix.exe
11 - Перезагрузка.
12 - Запуск редактора реестра и диспечера задач должны разблокироваться.
13 - Правим (т.е. удаляем) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
ключи типа {dda3f824-d8cb-441b-834d-be2efd2c1a33} в которых значение параметра ItemData есть путь на ваш антивирус и не только ваш.
14 - После перезагрузки у вас должен заработать антивирь.
Так я делал, может есть путь проще, я не притендую на панацею.
#39
Отправлено 06 Январь 2010 - 11:05
#40
Отправлено 06 Январь 2010 - 11:13
На 3х железяках бсод не наблюдал.Запускаем CureIT и падаем в бсод
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых