Буквально сегодня в офисе один комп тем же заразился. Мелокое шаманство ни к чему не привело - вирусня крепкая, не дает никакой антивирус запустить, ничего не проинсталить, сильно внедряется в систему... Откатил до старой копии винды. ЗЫ: ESET третий был на страже с обновленными базами и провтыкал эту хрень...
0. Пробуем ввести код: 3182699488 1. Заходим под другой учеткой на комп (хорошо если она есть) или в безопасном режиме (если получится). 2. Запускаем Kaspersky Virus Removal Tools Скачать можно тут: http://avptool.virusinfo.info/ru/ Если avp не запускается, переименовываем его во что-то типа download.pif и запускаем. Можно попробовать запустить avz, с помощью которого восстановить политики доступа. 3. Прогоняем полный тест 4. Убиваем все что он нашел 5. Перезагруз 6. Система нормально стартует под всеми юзерами 7. При запуске идет ругань на dll-ку. Если это смущает - качаем программу autoruns.exe Скачать ее можно тут: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx 8. Запускаем ее, выбираем в верхнем меню Users того юзера, под которым идет ошибка. Во вкладке LOGON ищем ключи, которые ссылаются на запуск BAT и EXE файлов из Application Data Убиваем их нажатием клавиши Del. 9. Перезагруз.
Решил проблему, как подсказал товарищ. Загрузился с другого диска. Регедитом нашел HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ В ней есть параметр AppInit_DLLs с параметром "название вируса", у меня назывался hddqu.dll. Удалил значение. Нашёл и сам файл, удалил. Ну и конечно, то же самое проделал с sdra64.exe. Спасибо всем!
В ответ на: Решил проблему ... Ну и конечно, то же самое проделал с sdra64.exe. Спасибо всем!
Добавлю еще, что вирус плодовитый и оставляет в папке Windows\System32 много своих ddl'ок. Вычисляются просто - размер 132Кб, атрибуты - скрытый, системный, название - бессмысленый набор букв. Мне за несколько нагрузок без антивируса наплодило 400 файлов!
В ответ на: Добавлю еще, что вирус плодовитый и оставляет в папке Windows\System32 много своих ddl'ок. Вычисляются просто - размер 132Кб, атрибуты - скрытый, системный, название - бессмысленый набор букв. Мне за несколько нагрузок без антивируса наплодило 400 файлов!
Значит такая модификация попалась. Те «вымогатели», что пока мне встречались, сотнями dll не плодили. Но пользуование sdra64.exe у них это общий «почерк».
а шо это за антивирусы такие пошли шо их вирусы прибивают
на офисе две машины заразилось хней какой то, так там стоял нод32, а оно его удалило заменило хостс, так шо низя было ни на один антивирусный сайт зайти, и не давало открыть ни оперу ни инет эксплорер, ну и наверное шото делало еще гадостное
В ответ на: а шо это за антивирусы такие пошли шо их вирусы прибивают ................... шото делало еще гадостное
Так надо пароль на удаление ставить, резать права юзверям и ставить обновления на систему. Я корпоративного Каспера использую и его пока не сносило вирусней, хотя он и пропускает их изредка. Сейчас думаю как на "законодательном" уровне запретить использовать флешки в нерабочих целях. Сейчас это самое опасное средство и каждая 3-я втыкаемая приносит с собой букет вирусов.
В ответ на: Сейчас думаю как на "законодательном" уровне запретить использовать флешки в нерабочих целях. Сейчас это самое опасное средство и каждая 3-я втыкаемая приносит с собой букет вирусов.
Для начала позапрещай с них autorun. Проблема решится на 99%.
В ответ на: Сейчас думаю как на "законодательном" уровне запретить использовать флешки в нерабочих целях. Сейчас это самое опасное средство и каждая 3-я втыкаемая приносит с собой букет вирусов.
Для начала позапрещай с них autorun. Проблема решится на 99%.
+1 авторан забанил в политиках, полегчало прилично, 30% сдуло со статистики. Кстати Тренд и Симантек отлично отрабатывают эту х..ню, а вот ФореФронт(Мелкософт) гамно млиать!
В ответ на: Вылезло сегодня на ноуте. Как я понимаю, заражено было раньше, активировалось сегодня. Воюю, пока безрезультатно. Выглядит так (картинка из инета).
Вчера вечером с такой красотой ноут отдали сегодня дома будет чем развлечься
В ответ на: а шо это за антивирусы такие пошли шо их вирусы прибивают ................... шото делало еще гадостное
Так надо пароль на удаление ставить, резать права юзверям и ставить обновления на систему. Я корпоративного Каспера использую и его пока не сносило вирусней, хотя он и пропускает их изредка.
да не всё так просто у меня есть доменные юзеры порезаные по самые бейцы, стоит Drweb Enterprise на сервере+агенты на машинах, накатаны все обновления через wsus, и вот сижу лечусь тем же вебом
«И, главное — никакого секса!» (из шуточного руководства по контрацепции)
В ответ на: у меня есть доменные юзеры порезаные по самые бейцы, стоит Drweb Enterprise на сервере+агенты на машинах, накатаны все обновления через wsus, и вот сижу лечусь тем же вебом
Политики порезаны, USB/дискеты/etc. закрыто спец. софтом, корпоративный Каспер на юзерах, антивирусы на почтовике и прокси. И самое главное — «никакого секса». Т.е. запрещены всякие аськи, web-почтовики, сайты-помойки типа вконтакте и проч, отрезана флеш-анимация, запрещена загрузка исполняемых файлов, архивов… Кому надо — обращаются в IT, всё что нужно мы качаем и им передаём. Обращаются редко.
Как результат — ни одного случая заражения за последние пару лет.
В ответ на: новые анлоки: М21620008 код разблокировки 487386665 М203711200 код разблокировки 3182699188 М203711500 код разблокировки 3182699488 М203711900 код разблокировки 3182699888
Аналогию прослеживаем: М203711500 код разблокировки 3182699488 М203711200 код разблокировки 3182699188 М203711300 код разблокировки 3182699288 М203711X00 код разблокировки 3182699Y88
Y = X-1
По идее после этого дрянь должна успокоится и её можно будет вычистить.