-
Junior Member
- Вес репутации
- 51
винлокер (требует 400р. на тел. 89897520743)
Здравствуйте!
ВинЛокер похож на http://virusinfo.info/showthread.php?t=102734
Немного другое сообщение и, конечно же, другой телефон (89897520743).
В безопасном режиме тоже появляется.
Используя ERD Commander просмотрел реестр:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit: C:\WINDOWS\system32\userinit.exe
Shell: C\Documents and Settings\Admin\Application Data\22CC6C32.exe
ветка
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGR A~1\KASPER~1\KASPER~1\kloehk.dll,C:\WINDOWS\system 32\vksaver.dll
Отредактировал следующие параметры:
Shell: Explorer.exe
ppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
На винЛокер это не повлияло - после перезагрузки опять появился.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) k1rweb, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 51
Решил проблему! 
Для тех, у кого тот же локер - рассказываю как именно:
1. Загружаемся с LiveCD (в моём случае это был ERD Commander)
2. удаляем файлы:
C:\%SystemRoot%\System32\dllcache\taskmgr.exe
C:\%SystemRoot%\System32\dllcache\userinit.exe
C:\%SystemRoot%\System32\taskmgr.exe
C:\%SystemRoot%\System32\userinit.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
3. Исправляем ключ реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell: Explorer.exe
4. Копируем оригинальные виндовые файлы с установочного диска:
C:\%SystemRoot%\System32\taskmgr.exe
C:\%SystemRoot%\System32\userinit.exe
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \\yyyyyyyyeee.bak - Trojan-Ransom.Win32.PornoAsset.ss ( DrWEB: Trojan.Winlock.3557, BitDefender: Trojan.Generic.KD.244119, AVAST4: Win32:Malware-gen )
- \\22cc6c32.bak - Trojan-Ransom.Win32.PornoAsset.ss ( DrWEB: Trojan.Winlock.3557, BitDefender: Trojan.Generic.KD.244119, AVAST4: Win32:Malware-gen )
-
