[KSI]

predator, если вирус грозился убить БИОС, я бы в этом случае вернул дефолтную установку БИОС-а - вынуть батарейку на мат. плате, и через пару минут воткнуть обратно.

[pbko]

Только каспер ловит эту гадость с порно-банерами и прочей лажей.

[Alpha]

Цитата:

Сообщение от KSI predator, если вирус грозился убить БИОС, я бы в этом случае вернул дефолтную установку БИОС-а - вынуть батарейку на мат. плате, и через пару минут воткнуть обратно.

Так вот я и думала может он это или нет. Был вопрос идти ли в гости искать в интернете инфу или действовать пока 12 часов не прошли (а еще поспать надо хоть немного, ночь). Гости получались минимум с 9 утра, а убить обещали к 11 часам. С батареей не додумалась, да.
Вирус заблокировал клавиатуру, действовала мышь только в пределах линии с цифрами в окне угрозы. Номер каждый раз менялся, насчитано 6 штук. Примерно так http://www.cforum.ru/t4/forum/obwoje?start=1450

Сейчас больше волнует найденный Комодо файл Heur.Suspicious@25283850 C:\Program Files\SysInternals\PageDfrg.exe
Одни пишут Комодо врет http://rl-team.net/1146342123-fuckyoubill-2009-cd.html
Другие связывают его с вирусом-вымогателем http://forums.comodo.com/10551086108...-t40149.0.html
А комп тем временем работает очень плохо...

Действительно надо держать дома ноут, возможно обошлось бы без сноса.

[KronSerg]

Можно отправить этот файл на он-лайн проверку Касперу и Вебу, а блокировалась клавиатура USB или PS/2?

[Alpha]

Цитата:

Сообщение от KronSerg Можно отправить этот файл на он-лайн проверку Касперу и Вебу, а блокировалась клавиатура USB или PS/2?

AVZ и Dr.Web CureIt на файл не ругаются. Но пошлю. Не, он-лайн Каспера пишет файл не найден, хотя он есть и Комоде написала игнорировать.
А Комодо в истерике, пишет максимальная опасность.

Клавиатура PS/2.

[Profan]

Не все антивирусы вылавливают трояны. А файл этот вообще-то вот что:
http://www.ixbt.com/soft/sysinternals-pagedfrg.shtml

[@$K&t[163RUS]]

Попробуйте еще Kaspersky Virus Removal Tool 2011

[KronSerg]

Мда, похоже из вариантов мягкого лечения теперь остаётся только Life-диск с альтернативным редактором реестра, печально.

[Alpha]

Цитата:

Сообщение от Profan Не все антивирусы вылавливают трояны. А файл этот вообще-то вот что: http://www.ixbt.com/soft/sysinternals-pagedfrg.shtml

Так странно чего Комодо на его ругается, если всё так просто. На он-лайн проверке веба и каспера сказали чисто, Комодо и отправке их на анализ сопротивлялся поучается.
Так всё же может вирус биос портить или нет теоретически?

Цитата:

Мда, похоже из вариантов мягкого лечения теперь остаётся только Life-диск с альтернативным редактором реестра, печально.

Я уже немягко всё отформатировала, винта 2, второй (с документами) отключила на всякий.
Диски были в наличии с Life и Acronis, брала у нашего "компутерщика". Мышь при загрузке также работала только по горизонтали в пределах "невидимого квадрата". Ничего не вышло. Life-диск попробую сделать самостоятельно от Dr.Web. Может лучше...

[@$K&t[163RUS]]

Цитата:

Сообщение от predator Так всё же может вирус биос портить или нет теоретически?

Сомневаюсь, но, честно говоря, не совсем компетентен в данном вопросе.

[ShaggyDoc]

Упоминающееся в последних постах "похожее" (блокировка Windows, шантаж на 12 часов) излечивается просто. А если заранее беспокоиться о таких ситуациях - то очень просто.

1. Всегда заводите на компьютере как минимум двух пользователей и не ходите по сети под аккаунтом администратора.

2. Установите Process Explorer и замените им штатный диспетчер задач.

3. Установите какой-нибудь менеджер автозагрузок, например Autoruns (есть и другие). Очень хорош набор Neo Utilities.

Описываемая тварь делает простую гадость - записывает себя вместо explorer.exe в качестве Shell и загружается до графической оболочки Windows. А мы, кроме щелчков мышкой по ярлыкам в графической оболочке теперь ничего не умеем.

Когда висит экран с гнусным предложением, надо вызывать Process Explorer. Он вылезет по Ctl-Alt-Del! Но мышкой в ы него не попадете. Пользуйтесь клавиатурой. Напоминаю, пункт меню активной программы вызывается через Alt. А потом клавишами по пунктам.

Выполните в меню File - Run и запустите какой-нибудь файловый менеджер (не Проводник - он же подменен). Найдите гадину, которая сидит в виде EXE в папке Temp пользователя и удалите. Их может быть несколько - мочите всех.

Перезагрузите компьютер (хоть отключив питание) и зайдите под другим именем. Гадины уже нет, но она записана вместо explorer.exe. Поэтому вы не увидите ни ярлыков, ни меню. Снова вызывайте Process Explorer, а из него файловый менеджер. Из него в Program Files запускаете менеджер автозагрузки или Neo и находите запись о подмене. Восстановите ссылку на explorer.exe вместо гадины.

Можно и вручную, запустив regedit, в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell записать explorer.exe.

Перезагружаетесь и убеждаетесь, что все на своем месте.

Если же профилактика не производится, то "тады ой". Зовите специалиста со "спасательным диском".

[Alpha]

Цитата:

Сообщение от ShaggyDoc Упоминающееся в последних постах "похожее" (блокировка Windows, шантаж на 12 часов) излечивается просто. А если заранее беспокоиться о таких ситуациях - то очень просто. 1. Всегда заводите на компьютере как минимум двух пользователей и не ходите по сети под аккаунтом администратора. 2. Установите Process Explorer и замените им штатный диспетчер задач. 3. Установите какой-нибудь менеджер автозагрузок, например Autoruns (есть и другие). Очень хорош набор Neo Utilities. Описываемая тварь делает простую гадость - записывает себя вместо explorer.exe в качестве Shell и загружается до графической оболочки Windows. А мы, кроме щелчков мышкой по ярлыкам в графической оболочке теперь ничего не умеем. Когда висит экран с гнусным предложением, надо вызывать Process Explorer. Он вылезет по Ctl-Alt-Del! Но мышкой в ы него не попадете. Пользуйтесь клавиатурой. Напоминаю, пункт меню активной программы вызывается через Alt. А потом клавишами по пунктам. Выполните в меню File - Run и запустите какой-нибудь файловый менеджер (не Проводник - он же подменен). Найдите гадину, которая сидит в виде EXE в папке Temp пользователя и удалите. Их может быть несколько - мочите всех. Перезагрузите компьютер (хоть отключив питание) и зайдите под другим именем. Гадины уже нет, но она записана вместо explorer.exe. Поэтому вы не увидите ни ярлыков, ни меню. Снова вызывайте Process Explorer, а из него файловый менеджер. Из него в Program Files запускаете менеджер автозагрузки или Neo и находите запись о подмене. Восстановите ссылку на explorer.exe вместо гадины. Можно и вручную, запустив regedit, в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell записать explorer.exe. Перезагружаетесь и убеждаетесь, что все на своем месте. Если же профилактика не производится, то "тады ой". Зовите специалиста со "спасательным диском".

Спасибо. Сохраним и изучим. А мы, кроме щелчков мышкой по ярлыкам в графической оболочке теперь ничего не умеем - это да. Но первый компьютер куплен был уже по выходу на работу. Большинство же разбирающихся - разбирались таки в студенческие годы. Теперь же всё как то на изучение программ для работы время свободное тратится, если есть...

[Yuzer]

Цитата:

Сообщение от ShaggyDoc Можно и вручную, запустив regedit, в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell записать explorer.exe.

Я запускал винду через консоль (там, где безопастный режим вызывается) и запускал regedit. Но так и не понял как прописать этот explorer.exe вместо Shell. Уменял прописывался какой-то экзешник вместо эксплорера - набор цифр в названии (потом через поиск его удалил вручную). Пришлось виндовс просто восстановить. Как вариант читал, что можно открыть привод на пару мину - окно вируса должно пропасть (ну а там нужно найти вредителя вручную).

ShaggyDoc, спасибо за пояснение по набору утилит.

[Alpha]

ShaggyDoc все же интересно. Это сама винда такая корявая, что надо зарание готовиться, ставить сторонние утилиты и програмки. Либо это вирусописатели просто атакуют всё "стандартное", а нестандартным можно выкрутиться?

Так биос всё же не пострадал бы через 12 часов?

[Yuzer]

Цитата:

Сообщение от predator Так биос всё же не пострадал бы через 12 часов?

Развод. Как я понял, эта штука скачивается на автомате, как приложение и просто прописывается в реестр на автозагрузку.

[Kryaker]

Цитата:

Сообщение от Солидворкер Братишка поймал сегодня похожий троян. Самый простой вариант -залезть на хомяк доктора Веба, узнать код разблокировки, а потом загрузить CureIt и просканировать систему.

Не самый простой..., хотя и несложный.

Идем и качаем себе , грузибельный диск под WINPE. там много я -бы выбрал из самых компактных.

Идем к вебу - качаем свежий CureIt, и загоняем его на флешку.

Грузимся с сидюка - запускаем лечилку с флешки - и всего через полчаса-час - получаем результат.
Гораздо быстрее чем при работе из-под родной системы!

Диск - он навсегда, CureIt придется качать каждый раз как залетите.

PS.И еще из бесплатных антивирусов кое-как приличен только аваст.
И наконец - ВЫКЛЮЧИТЕ АВТОЗАГРУЗКУ со сменных носителей!

[Profan]

Ага, а на нетбуке или мининоутбуке нет никакого сидюка. Лучше уж загрузочную флешку иметь.

[Kryaker]

Цитата:

Сообщение от Profan Ага, а на нетбуке или мининоутбуке нет никакого сидюка. Лучше уж загрузочную флешку иметь.

Можно и флешку - имхо, сидюк удобнее.
Ибо наличие внешнего сидюка при владении нетбуком - с моей тз необходимость. Опять ИМХО.

[Alpha]

Цитата:

Сообщение от Yuzer Я запускал винду через консоль (там, где безопастный режим вызывается) и запускал regedit. Но так и не понял как прописать этот explorer.exe вместо Shell. ShaggyDoc, спасибо за пояснение по набору утилит.

Наверное правой кнопкой по Shell - изменить. А там вместо explorer.exe имя вируса наверное.

Вирус то залез непонять как - ничего не скачивала, погуглила один из процессов, едящий память, ткнула в ссылку на какой-то форум - и он повис.

[Profan]

Цитата:

ткнула в ссылку на какой-то форум

ВОТ!