GoBlin
Наверное, уже слышали про эту напасть - после перезагрузки нет ни рабочего стола, ни панели задач, на ровном фоне невнятный лепет о вирусе и необходимости отправки СМС на номер ааа с текстом ууу. Ни таск менеджера, ни чертА.
! Отмечены случаи, когда не удаётся перезагрузиться в безопасном режиме.
! Отмечены случаи, когда перевод часов БИОС на пару недель назад не помогает.
На этот случай позволю себе совет:
* Шаг № 0 - успокойтесь, держите себя в руках. Воздержитесь от отправки СМС Smiley
* Шаг № 1 - запишите номер ааа и текст ууу предполагаемой СМС.
* Шаг № 2
вариант а) позвоните знакомому(-ой) с выходом в интернет, попросите выйти на сайт "Доктора Веба";
"там справа красными буквами будет про разблокировку виндус";
знакомый(-ая) найдёт нужный пункт меню, последует по ссылке и по продиктованным вами номеру и тексту продиктует код разблокировки.
вариант б) найдите чистый компьютер (смарт, мобильник), выйдите на сайт drweb.com, найдите пункт "Разблокировка Windows (Trojan.Winlock)" (прямая ссылка - http://www.drweb.com/unlocker/ )
используя номер и текст, получите код разблокировки.
* Шаг № 3 - введите код разблокировки. Загрузится заражённая винда, но, по крайней мере, теперь возможно прочитать срочно необходимые вам файлы, загрузить gmer / CureIt! / обновить ваш антивирус, почитать в инете о лечении, и т.д.
И напоминаю:
Лучшее лечение - профилактика.
BN23-exGSA
От себя посоветую всегда держать под рукой загрузочный диск с WinPE или чем-то подобным. Очень помогает в таких случаях. Ну и антивирусом не гнушайтесь.
axert
У знакомого был такой случай. Пришел к нему, комп в безопасный не грузится, жесткий подцепляю к другому компьютеру антивирусник ничего не находит. Вылез в интернет, тип какойто пишет, типа он ввел "пидар" и вирус исчез. Я знакомому своему это сказал по телефону, но ввел говорит не подошло. Потом через пару минут перезванивает говорит подошло "педераст".
CWD-Goblin
Если нет веской необходимости рекомендую не работать под администратором, и держать его под паролем.
тогда приличная часть вирусов даже при использовании уязвимости(выполнении кода) не смогут нанести значительного вреда системе.
и в обязательном порядке антивирус, а линуксоидам - два ГЫ
upd: пасхальные яйца для разблокировки - забавно
BN23-exGSA
На работе крендель один, смотрел порнуху, но меня уверял, что читал яндекс, схватил подобную заразу и не нашёл ничего умнее как отправить смс... и только потом, когда эта херня вылезла снова, пришёл ко мне. Сказал ему, что в следующий раз пусть мне бабки отдаст, если лишних так много.
SPIDER-T1
А нехрен ставить все что просят, тогда и не будет проблем. Вижно попросили поставить плеер чтоб посмотреть видео Cheesy
Эта програма сидит в оперативе и загружается при загрузке винды, даже в безопасном режиме. Эта разновидность лечится выключением компа и вытягиванием оперативы на секунду.
Другая разновидность ставит себя на комп, и блокирует диспетчер и панель управления. Для этого качаем програму ProcessExplorer, которая является альтернативным диспетчером и убиваем вражеский процесс. А чтоб восстановить диспетчер нужно:
Если по Ctrl+Alt+Del появляется сообщение «диспетчер задач отключен администратором», то удалить в реестре параметры: [HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] "DisableTaskMgr" [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] "DisableTaskMgr"
ИЛИ:
Если ваша ось - ХР Professional, то в реестр можно не лазить. Зайдите в Пуск - Выполнить - введите gpedit.msc. Откроется редактор групповых политик. Далее Конфигурация пользователя - Административные шаблоны - Система - Возможности Ctrl-Alt-Del - Удалить диспетчер задач. Если стоит «включен», поставьте «не задан» или «отключен»". Если маркер «включен» не стоял, а диспетчер задач все равно не грузится, то придется лезть в реестр. Иногда, когда реестр поправлен и все работает, после перезагрузки все по-новому. Это - 99% вирус. Включайте диспетчер вручную через реестр и ищите процесс вроде c:\\windows\\sistem32 kernelwind32.exe с именем пользователя USER. Странное имя пользователя для файла с таким именем, не так ли ;-). Прибейте гадину в диспетчере, потом идите в папку с вирусом и переименуйте его, изменив какую-нибудь одну букву. Перезапустите комп. Все работает? Сносите вирус нахрен, если он вам не нужен (для исследования например). Для желающих можно потом почистить автозагрузку в реестре.
CWD-Goblin
оффтоп конечно но все-таки, что нам даст изьятие оперативки?
GoBlin
У меня также сложилось впечатление, что данное утверждение:
весьма спорно.Эта програма сидит в оперативе и загружается при загрузке винды, даже в безопасном режиме. Эта разновидность лечится выключением компа и вытягиванием оперативы на секунду.
Рекомендую воздержаться от следования этому совету до консультации с опытным администратором.
CWD-Goblin
о чем и я интересуюсь, намного проще прописаться в автозапуске, подменив собой системный файл что грузится с безопастном и модифицировать его и все
SPIDER-T1
Вижу одни теоретики собрались, сначала попробуйте. Какой администратор. Вы что не сами себе компы собиралиГЫ
Некоторые вирусняки пробуют влезть в оперативу, и пока питание есть они там и живут. Если мозги изьять и вставить то оперативка обнуляется. Но тот что выскочил на весь экран, у создателя поста, просто сам себе и поставил когда очень захотел посмотреть видео из сомнительного сайта, парнуху нужно качать из торентов там безопасно.
Мне приносили комп на настройку, когда такая хрень выскочила. Я вынул вставил оперативку (есеестно когда комп выключил), зашел из под доса удалил файл подкачки и все. Но винду я все таки переставил на всякий случай, больше денег чем просто вирус грохнуть гы-гы.
В другой раз выдергивание не помогло, пришлось запускать альтернативный диспетчер и убивать его сначала в процесах, потом включать диспетчер как описано выше. Но система таки хреново работала, пришлось винду правильно переустанавливать.
! Отмечены случаи, когда не удаётся перезагрузиться в безопасном режиме.
! Отмечены случаи, когда перевод часов БИОС на пару недель назад не помогает.
В безопасном режиме выскакивает такая же табличка на весь экран, вообщем приносите админам они вам погут если сами не можете Cheesy
Я за свои несколько лет сборки компови настройки ОС, могу сказать что доктор веб не удовлетворяе всем моим запросам от антивируса, так же как и остальные так званые авасты и касперские.
Лучшим показал себя в работе, авира. Так как мне постоянно приносят компы на настройку. То вирусы побили то все глючит. Лично мы при продаже компа ставим это антивирус, я его еще в 2003г нашел. И проблем нет, а приносят компы с авастами, касперскими, докторами вебами, нортонами. Легче винду переустановить чем сканировать их и удалять вирусняки которые эти антивирусы пропускают. Кроме того эти вирусы бьют системные файлы, авира от таких моменто спасает на ура. Главное правильно настроить.
Кроме того, єто не вирус. А недобросовестная програма ращитаная на ламеров, и офисный планктон который ничего кроме тыкания по кнопкам не умеет. И платят такие ламеры отсылая смс, так как боятся что начальник увидит чем его работник занимается вместо работы. ГЫ
GoBlin
SPIDER-T1, тема не о сборке компов и просмотре порно. Я, например, заразил комп с чужой флэшки.
И, повторяю, идея с изъятием оперативы весьма спорная, тот, кто поступит так - сделает это на свой страх и риск.
SPIDER-T1
Не понимаю в чем страх и риск, в том что там в окне написано чтоб ничего не предпринимать ибо случится страшное. Так это развод для маленьких, а то что такая програм проникла через флешку так это уникальный антивирусник стоит. Нужно что б все знали имя героя, ну..?
Есть такая програм называется auturunguard, так вот она блокирует автозагрузку носителей. Я лично пользуюсь тоталом, и просматриваю флешку сам на наличие вирусняка.
Все кричат вирусы вирусы, для меня это надуманая проблема. Никаких сложносте не представляет выявить и удалить.
GoBlin
В том, что при перезагрузке в оперативе ничто не выживает. Ни вирус, ни ядро ОС, вообще ничто.
И поэтому смысла в изъятии памяти нет никакого вообще. Тот, кто её станет вынимать, только лишний раз потеребит внутренности компа.
SPIDER-T1
Вирусняк сидит в оперативе когда комп работает, когда перезагружаеш его он остается в файле подкачки. И после перезагрузки опять в перативу. Я ж писал что дернул оперативу, и зашел из под доса грохнул файл подкачки на этом вирус и пропал. Кроме того всякие глюки бывают, и дернуть оперативу святое дело.
GoBlin
Вирус остаётся на своём месте на винте - в ВИНДУС/систем32, и в корневом каталоге дисков.
Оперативку вынимать просто незачем.
SPIDER-T1
Ну так как ты поборол вирус?
GoBlin
Сперва закроем вопрос об оперативке - теперь, после объяснения, все согласны, что вынимать её нет смысла?
spyder
Средняя стоимость смс 600 руб., отправлено уже более 1000000 смс, хорошо бабла авторы срубили.
Я попался одним из первых, спас касперский ру у них был код, через два дня код другому товарищу уже не помог. Они быстро эволюционируют.
GoBlin
Потому и открыл эту тему - у "ДрВеба" коды оперативно обновляются, с привязкой к номеру и тексту.
SPIDER-T1
Оперативу дергать стоит, эт так прикольно. Давай снимем еще вопрос об удалении файла подкачки.
Но впринцыпе ты прав можно и не дергать.
Я тебе привел реальный случай из жизни, ни в какие виндовс/систем 32 вирус не проникал. Дернул оператву, удалил файл подкачки. Все.
GoBlin
Оперативку не нужно вынимать, это не даёт никакого эффекта.
Я упомянул реальный случай:
- вирус в виндус/систем32/юзер32.ехе
- копия вируса на логическом диске md.exe
- на том же логическом диске ауторан
Данная тема создана не как рекомендация по полному лечению, а для совета по разблокировке компа (что внятно изложено в первом сообщении).
Jager
Схватил такой вирус несколько недель назад. Схватил при отключенном антивируснике, когда скачивал ключи для него. Просто переустановил винду, но были заблокированы все локальные диски. Разблокировку проводил через реестр.
BN23-exGSA
Спайдер, Т1 который, ты меня, как инженера с более чем 10-летним стажем, очень повеселил своими постами. Cheesy
И, товарищи, оффтопить в другую тему, пожалуйста.
BOSK
Деактиватор от касперского
http://support.kaspersky.ru/viruses/deblocker
От себя замечу что выдергивание памяти абсолютно бесполезно Smiley
у этого конкретного вируса 3 версии, и куча модификаций, но все с которыми сталкивался лично я легко лечатся подключением зараженного жестака к чистой машине с установленным 9 или 10 касперским и сканом.
Для разблокировки диспетчера задач, реестра, удаления отладчиков, сброса настроек эксплорера, восстановления ключа запуска эксплорера, анализа системы на наличие посторонних компонент и т.п. есть замечательная программка AVZ.
Переустановка винды вобще крайний случай и не есть гуд, да и поковыряться значительно интересней Smiley
SPIDER-T1
Укажи смешные моменты. Лучше б написал по теме.
BN23-exGSA
Да не вопрос. Про выдёргивание оперативки это байка с бородой. Были, а может и сейчас есть, вирусы, которые в CMOS писались и жили там припеваючи. От таких помогал джампер и вынимание батарейки. А в энергозависимой опертивке ничто жить не может, достаточно системник выключить. Это так, для информации, более подробно можно прочитать в учебниках по электронике и цифровой технике.
Вот в свапе вирусы живут, это действительно так, и далеко не все антивиры могут его оттуда удалить, т.к. сам файл pagefile.sys защищён системой и не даёт с ним ничего делать. Самый простой способ прибить там всё, это зайти в настройки системы, отключить вообще свап файл, перезагрузиться, файл сам удалится (если нет, удалить самому после перезагрузки), потом спокойно включить его (с учётом того, что в системе у вас уже нет вирусов) и ещё раз перезагрузиться.
Что я бы посоветовал иметь на случай локальной жопы с компом:
1. Загрузочный ЦД/ДВД с линуксом/winpe + антивирус. Можно собрать самому, можно скачать готовый, в инете этого добра много.
2. Тоже самое, но на флэшке (флэшка обязательно с перемычкой защиты от записи). Тоже либо собирается самим, либо скачивается готовая софтина. Помогает на нетбуках, на который приводов нет как таковых.
Думаю не надо разъяснять зачем это. Загрузился, спокойно руками и антивиром (если в сборку включён, а их практически всегда включают) проверил диски, реестр.
Если случился ай-ай-ай, а выше перечисленного под руками нет, т.к. лень матушка помешала такую мелочь сделать и на полочку положить. Пара советов:
- все блокировщики реестров/таск менеджеров/антивиров блочат по имени, поэтому если тот же regedit.exe переименовать в blabla.exe он запустится в 99% случаев, далее дело техники, восстановить побитые ключи и удалить из автозагрузки каку.
- внимательно посмотреть папки windows и windows\system32 (иногда и папки профиля пользователей, корни дисков) на наличие файлов со странными именами (хотя вирусы очень любят маскироваться под системные и найти его можно иногда только по одному признаку, он стартовал не из под системной учётки, а из-под юзерской). также очень уж показательно наличие файлов autorun.inf на жёстких дисках.
- обязательно проверять ветку реестра, где автозапуск прописан, чуть ли не вся гадость грузится оттуда, хотя черви и трояны этим не пользуются, подгружаясь как библиотеки и сервисы.
В принципе, самое главное в случае вирусной заразы попасть в безопасный режим, там очень просто выцепить её. Ну или на крайний случай загрузиться в репейр консоль, если вы таковую доустанавливали к любимой ХР. Да-да, она может работать не только с загрузочного диска, подробнее "winnt32.exe /?" из папки i386. Из консоли можно поудалять гадость тоже.
Это на вскидку, что за 5 минут вспомнить можно, параллельно работой занимаясь. Расписывать ключи реестра, какие где не буду, времени нет, кому очень надо - гугл в помощь, ключевых веток не так уж и много. Если руки откуда надо, всё получится. Ну а если не откуда надо, то хоть 10 антивирусов поставь, лечение будет одно - форматирование и переустановка форточек Cheesy
Могу сказать, что за 15 лет работы с компами, на своём личном никогда вирусов в глаза не видел, остаётся спросить "что я не так делаю?" Cheesy А вот лечил машин очень много, последняя была с конфикером, он же червяк downad, лечил руками и gmer-ом. Кстати, тоже советую под рукой держать эту утилитку, руткиты замечательно ловит и убивает.
Для убер-ленивых советую скачать и записать на сидюк DrWeb LiveCD (линух+антивирь). Ссылки давать не буду, за рекламу нам не уплочено, найти труда не составит. Очень хорошая и удобная штука.
Про агента- у самого стоит, винда один раз блокировалась. Установил outpost атаки частые пока держит.
за прошедшие 36 месяцев - ни одной проблемы
