-
Junior Member
- Вес репутации
- 48
Блокирован Windows XP
Блокировщик появляеться после входа в систему пользователя и требует отправить деньги. Пользователь один.
Запустить диспетчер задач никакими хитростями не получаеться. Один раз удалось запустит экранную лупу через Win+U. Последующие попытки ничего не давали запускаемое приложение прячется за блокировщиком и становится видно только если выключать комп через reset.
При загрузке в безопасном режиме результат тот же после ввода пароля пользователя окно блокировщика.
Гружусь с LiveCD в реестре вроде всё нормально кроме userinit который создан только сегодня. заменяю его в system32 и system32/dllcache где тотже файл с тойже датой создания. Проверка AVPTool прошла перед этим успешно удалив все подозрительные файлы.
После перезагрузки блокировщик на месте и замененные файлы тоже.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit - X:\i386\sistem32\userinit.exe
shell - Explorer.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs - пусто
но я userinit заменял в C:\windows\system32\
Последний раз редактировалось Romul_XIII; 28.04.2011 в 14:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Сообщение от
Romul_XIII
userinit - X:\i386\sistem32\userinit.exe
Это вы смотрите реестр самой LiveCD.
Почитайте: http://virusinfo.info/showthread.php?t=72176.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 48
Winlogon
Userinit - userinit
Shell - Explorer.exe
повторюсь я заменял userinit в папке C:/windows/sistem32 и sistem32/dllcache
Добавлено через 13 минут
http://virusinfo.info/showthread.php?t=101506
да и вот в этой теме полностью идентичный блокер похоже. по крайней мере сумма и номер телефона совпадают
Последний раз редактировалось Romul_XIII; 29.04.2011 в 10:04.
Причина: Добавлено
-
С помощью LiveCD нужно проверить всевозможные ветки Run в реестре
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
ветки Run какие? то что загружаеться с CD или подгружать куст с c:/ ?
если подгружать с c:/ то подскажите пожалуйста какую папку?