Ну вот решил немного насторожить народ. Недавно мой друг (не знаю каким образом) поймал вирус, блокирующий винду.
Сегодня с утра он мне звонит и говорит, про этот вирус, я залезаю по ссылке http://news.drweb.com/show/?i=304&c=5 Из этой формы я ему выдаю ключ активации, а он не подходит. Если кто-то сталкивался с этой проблемой помогите.
Я то сам этот вирус убил через диспетчера задач:place:
P.S. Если кто не сталкивался, то пусть пройдет по ссылке.

Вариант 1 - самый простой, отформатировать диск и переустановить Винду.

Вариант2- для опытных юзеров - загрузиться с ЛивеСД и запустить с него антивирус. (можно воспользоваться диском востановления от Касперыча, если он у тебя стоит, или аналогом)

Вариант 1 - самый простой, отформатировать диск и переустановить Винду.

Вариант2- для опытных юзеров - загрузиться с ЛивеСД и запустить с него антивирус. (можно воспользоваться диском востановления от Касперыча, если он у тебя стоит, или аналогом)

Я прочитал, что этот вирус имеет особенность удалятся через 2 часа, но в это слабо верится. Ну моему другу придется следовать первому варианту:smile:

Вариант2- для опытных юзеров - загрузиться с ЛивеСД и запустить с него антивирус. (можно воспользоваться диском востановления от Касперыча, если он у тебя стоит, или аналогом)
Наиболее оптимальный вариант.

p.s. Вариант, если автор программы клинический новичок - зайти в безопасном режиме, автозагрузка и отключить лишнее. Но, повторюсь, это для самых простейших вредоносных программ.
p.p.s. Три слона безопасности (по приоритету) а) своевременные обновления системы б) включенные программы безопасности (антивирус, огнестена (можно от windows) ) в) общая компьютерная грамотность.
Истории же о "два года без антивируса, версия ос - релизная и все нормально :wink3:" рано или поздно заканчиваются. Хватает один компьютер в сети, например, kido и нерадивый админ начинает вертеться, как уж на сковороде.

однозначно переустановка ОС

однозначно переустановка ОС

Пусть два часа пройдет, может вирус сам слетит.
P.S Пока прошел только час. Друг нервно жуёт ногти

Пусть два часа пройдет, может вирус сам слетит.
P.S Пока прошел только час. Друг нервно жуёт ногти

Не слетит (проверенно на опытах)

мне кажется тут решений только два:
1. переустановка ОС.
2. загрузка с какого-нибудь LiveCD (например Hiren's BootCD (http://www.hirensbootcd.net/)) и использовать с него разные проги для поиска и уничтожения вредоносного ПО, пока не найдёт и не уничтожит. или вручную искать и удалять.

Не слетит (проверенно на опытах)

Уже слетело, позвонил друг. Сказал, что все :ok:
Ну а вообще кто-нибудь сталкивался с этим вирусом?
-----------добавлено-----------
мне кажется тут решений только два:
1. переустановка ОС.
2. загрузка с какого-нибудь LiveCD (например Hiren's BootCD (http://www.hirensbootcd.net/)) и использовать с него разные проги для поиска и уничтожения вредоносного ПО, пока не найдёт и не уничтожит. или вручную искать и удалять.

Проблема в том, что поискать не получится, блочит вход в систему. Я это обходил через диспетчера задач

Что делать, если Dr.Web не находит код к этой фигне?
Токо что у соседа появилось...
Перепробывал все коды ко всем вирусам(на саму эСМСку он пишет 0 или 0) - Нифига.
Объясните, как пользоваться вот этим - Hiren's BootCD (http://www.hirensbootcd.net/)???
PS: Диспетчер не виден из-под окошка.
PPS: Безопасный вход не работает :(
Выглядит примерно так:
6566656765686569

Пользовать http://www.freedrweb.com/livecd

Что делать, если Dr.Web не находит код к этой фигне?
Токо что у соседа появилось...
Перепробывал все коды ко всем вирусам(на саму эСМСку он пишет 0 или 0) - Нифига.
Объясните, как пользоваться вот этим - Hiren's BootCD (http://www.hirensbootcd.net/)???
PS: Диспетчер не виден из-под окошка.
PPS: Безопасный вход не работает :(


Ага!:xD2: У моего друга через 1.5 часа все само ушло. Возможно вирус был слабенький.:dontknow:

Ага!:xD2: У моего друга через 1.5 часа все само ушло. Возможно вирус был слабенький.:dontknow:
Можешь сказать спасибо вирусмейкеру, жалеющему неопытных пользователей, их время и усилия на переустановку ОС.

Ага!:xD2: У моего друга через 1.5 часа все само ушло. Возможно вирус был слабенький.:dontknow:

А вдруг это только начало:scare:

А вдруг это только начало:scare:
:bo_smoke:

А вдруг это только начало:scare:

а смысл тогда блокировать? Добрые вирусмейкеры? :)

разумеется только начало...

Перепробывал все коды ко всем вирусам(на саму эСМСку он пишет 0 или 0) - Нифига.


ты слал смс?:tick2:

Проблема в том, что поискать не получится, блочит вход в систему. Я это обходил через диспетчера задач

этот диск должен загружаться до загрузки с жёсткого диска, а не после. то есть в биосе ставишь первым загрузочным устройством cdrom, вставляешь диск и вуаля. в Hiren's BootCD даже есть Mini Windows XP.
-----------добавлено-----------
Объясните, как пользоваться вот этим - Hiren's BootCD (http://www.hirensbootcd.net/)???

записываешь на болванку и грузишься с неё

Можешь сказать спасибо вирусмейкеру, жалеющему неопытных пользователей, их время и усилия на переустановку ОС.

Я им спасибо говорить не собираюсь)) Я же гооврил, что обошел его через диспетчера задач. Пусть сосед мой говорит им спасибо за эти 1.5 часа:JC_dance:

Была такая фигня. Каспер удачно ее зохавал :coolio:

у меня недавно было нечто подобное. Через диспетчер задач выявить процесс не удалось, но зато вспомнил, что когда эта гадость поставилась - была замена некой библиотеки в системной папке.
В результате я справился с помощью восстановления системы.
Понравился способ, которым это установилось: прошел по ссылке на некий сайт с картинками, где была ссылка, мол кликните, что б перейти к картинке. Нажал. Дальше окно - "вы установили такой-то плагин" и одна активная кнопка "готово".
Вот тут то и не надо было жать на эту кнопку!!!
Но нет, расслабился я че-то..
после нажатия этой кнопки - мелькнул процесс установки и замена библиотеки в винде...
ну и потом эта херь начала выскакивать. Из автозагрузки удалить не удавалось. По msconfig все было чисто - ничего лишнего, ни одного лишнего процесса в автозагрузке...

p.s. у меня эта херь была с месяц назад. Нод32 тогда не помог.

у меня недавно было нечто подобное. Через диспетчер задач выявить процесс не удалось, но зато вспомнил, что когда эта гадость поставилась - была замена некой библиотеки в системной папке.
В результате я справился с помощью восстановления системы.
Понравился способ, которым это установилось: прошел по ссылке на некий сайт с картинками, где была ссылка, мол кликните, что б перейти к картинке. Нажал. Дальше окно - "вы установили такой-то плагин" и одна активная кнопка "готово".
Firefox, что показательно.

По msconfig все было чисто - ничего лишнего, ни одного лишнего процесса в автозагрузке...

Autoruns (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx) юзай... Узнаешь много нового!

Autoruns (http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx) юзай... Узнаешь много нового!

только сначала надо узнать для чего запустился тот или иной процесс..
а их там тьма..

только сначала надо узнать для чего запустился тот или иной процесс..
а их там тьма..
А ты как хотел? Чтоб видно было только пару процессов типа explorer и opera???? Смысл?
Типа, я буду ездить и соблюдать только те знаки, которые знаю?
Вобщем-то там видно, что запустилось законно, а что левое. Если ты конечно отилчаешь randll от rundll и тп. Там все пути пишутся, так что легко найти, откуда запускается...
ну а если знаний не хватает, то и в msconfig лучше не залезать...

А еще не надо лазить по левым сайтам и соглашаться на установку того, что тебе там предлагают. :aga:

А ты как хотел? Чтоб видно было только пару процессов типа explorer и opera???? Смысл?
Типа, я буду ездить и соблюдать только те знаки, которые знаю?
Вобщем-то там видно, что запустилось законно, а что левое. Если ты конечно отилчаешь randll от rundll и тп. Там все пути пишутся, так что легко найти, откуда запускается...
ну а если знаний не хватает, то и в msconfig лучше не залезать...

Валера, если запущена системная библиотека, замененная при установке, много тебе даст авторанс?
-----------добавлено-----------
А еще не надо лазить по левым сайтам и соглашаться на установку того, что тебе там предлагают. :aga:

хм.. может вообще обрезать весь и-нет? Или там, почтой пользоваться проверенной на чужом компе? :aga:
читай внимательно, на установку я не соглашался, я нажал на кнопку "готово" по привычке.

хм.. может вообще обрезать весь и-нет? Или там, почтой пользоваться проверенной на чужом компе? :aga:
читай внимательно, на установку я не соглашался, я нажал на кнопку "готово" по привычке.

Ну так и согласился. :girl_haha: А по привычке или по другой причине, это уже дело десятое. :aga:

spybot - неплохая защита
hijackthis - делает снимок автозагрузки и всех действующих процессов
Combofix - мощная штука от хитрых многокомпонентых троянов, которые сами себя копируют постоянно, т.е. антивирус прошёл и удалил само тело вируса, а оно после этого восстанавливается из хитрой dll какой-нибудь в папке виндовс и так до бесконечности

Валера, если запущена системная библиотека, замененная при установке, много тебе даст авторанс?

Много даст! Ни одна системная библиотека не может быть просто так заменена. Тебе выскочит 20 предупреждений, и требование вставить диск с настоящей виндой. Поэтому это либо закос под системную службу, либо просто левый процесс. Кстати второй помощник - Process Explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) от того же разработчика. Он показывает все запущенные процессы, и загруженные библиотеки, в том числе и скрытые (в отличие от обычного таскменеджера). Вобщем мне этих инструментов было достаточно, чтобы справиться со всеми нештатно-вредоносными ситуациями. (ну и не исключая антивирь, который у меня каспер)

Много даст! Ни одна системная библиотека не может быть просто так заменена. Тебе выскочит 20 предупреждений, и требование вставить диск с настоящей виндой. Поэтому это либо закос под системную службу, либо просто левый процесс. Кстати второй помощник - Process Explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) от того же разработчика. Он показывает все запущенные процессы, и загруженные библиотеки, в том числе и скрытые (в отличие от обычного таскменеджера). Вобщем мне этих инструментов было достаточно, чтобы справиться со всеми нештатно-вредоносными ситуациями. (ну и не исключая антивирь, который у меня каспер)

Валера, я не ошибся, написав в том посте, что была заменена некая библиотека в системных файлах. Я о том, что б восстановление запустить, подумал только после того, как вспомнил об этом факте. (Я слабо верю в "восстановление" и юзаю только от безнадеги или для восстановления системных файлов)
Я знаю, что и винда при замене ругается, и диск просит вставить. Однако тут все прошло гладко (даже предупреждения не было), что меня и удивило, а вернее сказать - успокоило. антивирь тоже промолчал.

Толян, ты так до конца и не понял, что у тебя произошло. Хотя тебе кажется, что понял. Давай попробую объяснить.

Во-первых. Почему ты решил, что это что-то системное? Это просто установилась программа, которая загружается первой (а порядок загрузки и задержки можно выставить в реестре, что она скорее всего и сделала). А сама программа выводит на экран надпись. Так почему же антивирус должен был ее заметить??? А вот например более серьезный пакет, типа где есть контроли доступа к реестру, мониторинг активности приложений и тп (у меня - кис), вот он-то как раз заметит и спросит дать ли соответствующие разрешения этой программе (доверенная она или нет). Установка прошла в результате левого служебного сообщения, которое можно сделать каким угодно. Программа спокойно установилась и прописалась в автозагрузку. Я не вижу ни одной причины, по которой должен был бы сработать антивирус (именно антивирус). Ну и так как это обычная программа, то и бороться с ней можно как с обычной программой.

Толян, ты так до конца и не понял, что у тебя произошло. Хотя тебе кажется, что понял. Давай попробую объяснить.

Во-первых. Почему ты решил, что это что-то системное? Это просто установилась программа, которая загружается первой (а порядок загрузки и задержки можно выставить в реестре, что она скорее всего и сделала). А сама программа выводит на экран надпись. Так почему же антивирус должен был ее заметить??? А вот например более серьезный пакет, типа где есть контроли доступа к реестру, мониторинг активности приложений и тп (у меня - кис), вот он-то как раз заметит и спросит дать ли соответствующие разрешения этой программе (доверенная она или нет). Установка прошла в результате левого служебного сообщения, которое можно сделать каким угодно. Программа спокойно установилась и прописалась в автозагрузку. Я не вижу ни одной причины, по которой должен был бы сработать антивирус (именно антивирус). Ну и так как это обычная программа, то и бороться с ней можно как с обычной программой.
Валера, я видел как при установке заменялась(-ись) библиотека(-ки) с адресом в \system32\
Программа http://2ip.ru/soft/startguard/?PHPSESSID=18e767496003860cbe68b19a6e87ff61 так же не пискнула. Хотя она блокирует даже действия msconfig. Поэтому я предполагаю, что в автозагрузку ничего нового не прописалось, а вот замена загружаемой с чем-то библиотеки была. И уже через эту библиотеку оно и загружалось.

Толик! В систем32 очнь много чего находится! И не все является таким критически важным. Например, кодеки, драйвера периферии (там, конечно, вообще все дрова лежат). Они не мониторятся на предмет подмены. В эту папку может скопироваться все что угодно! Ты любую программу при желании можешь туда поставить. Что касается твоей программы, что это??? маленькая бесплатная утилитка неизвестного производителя? Ты серьезно считаешь, что она тебя от всего спасет??? Все-таки бесплатные продукты уступают платным и по возможностям, и по функциональности. Да и очевидно, человек, получающий деньги за свое детище, более заинтересован в создании хорошего инструмента (и соответственно в получении большей прибыли), нежели тот, кто знает, что сил угробит дофига, а все равно ничего не получит.[br][br]ЗЫ Исключение я знаю только одно! Эта программа (http://www.erightsoft.com/SUPER.html) была гвоздем какого-то номера какого-то журнала... то ли апгрейда, то ли еще какого... ее характеристикой являлась фраза "делает бесплатно то, что другие не делают за деньги" (это написано и на сайте). И это действительно так. Мне пришлось накачать кучу платных и бесплатных аналогов, чтоб решить свою проблему. Эта небольшая программка (причем версии 2-х летней давности) смогла сделать то, что не смогли сделать SoundForge 9, ни Audition (тогда у меня была версия только 1,5).

Толик! В систем32 очнь много чего находится! И не все является таким критически важным. Например, кодеки, драйвера периферии (там, конечно, вообще все дрова лежат). Они не мониторятся на предмет подмены. В эту папку может скопироваться все что угодно! Ты любую программу при желании можешь туда поставить. Что касается твоей программы, что это??? маленькая бесплатная утилитка неизвестного производителя? Ты серьезно считаешь, что она тебя от всего спасет??? Все-таки бесплатные продукты уступают платным и по возможностям, и по функциональности. Да и очевидно, человек, получающий деньги за свое детище, более заинтересован в создании хорошего инструмента (и соответственно в получении большей прибыли), нежели тот, кто знает, что сил угробит дофига, а все равно ничего не получит.[br][br]ЗЫ Исключение я знаю только одно! Эта программа (http://www.erightsoft.com/SUPER.html) была гвоздем какого-то номера какого-то журнала... то ли апгрейда, то ли еще какого... ее характеристикой являлась фраза "делает бесплатно то, что другие не делают за деньги" (это написано и на сайте). И это действительно так. Мне пришлось накачать кучу платных и бесплатных аналогов, чтоб решить свою проблему. Эта небольшая программка (причем версии 2-х летней давности) смогла сделать то, что не смогли сделать SoundForge 9, ни Audition (тогда у меня была версия только 1,5).

Валера, ну ты утверждаешь что у меня именно автозагрузка изменилась, так?

Валера, ну ты утверждаешь что у меня именно автозагрузка изменилась, так?
Я не могу ничего утверждать, так как я не смотрел твой компьютер. Но судя по моему опыту, это 90%. Дело в том, что это даже не нормальный вирус или добротный троян! Это наспех слепленная на коленке программулька для быстрого срубания небольшого количества бабла от тех, кто поведется и отошлет смс... Чтобы написать хороший вирус, или троян это надо ой как постараться...

классный вирус))) :happy: на всем деньги делает народ)))))