-
Junior Member
- Вес репутации
- 47
Очередной блокиратор одолел
Добрый день. Удалось словить очередной блокиратор. Классическая ситуация. При стандартном запуске системы рабочий стол полностью блокируется, на весь экран надпись "закинь кучу денег на номер +79....... и все будет хорошо, иначе всё будет очень плохо". В безопасном режиме учетная запись пользователя заблокирована, под админом можно зайти без проблем. CureIt нашел что-то, но после перезагрузки снова блокиратор. Смотрел avz, запускал nod - что-то находят, но блокиратор на месте. Запустил HiJack - где эта зараза в реестре не нашел. Помогите пожалуйста выкорчевать заразу, надоела.
Согласно рекомендациям: значение userinit -> C:\\windows\sistem32\userinit.exe,
значение shell -> explorer.exe
В приложении архив веток HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run
Ветки реестра.rar
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Владимир Сафронов, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Вот Ваш блокировщик
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"She11"="c:\\Temp\\cccccc.exe"
Удалите указанный параметр реестра и переименуйте прописанный в нем файл
Пробуйте стартовать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Из реестра удалил, файл переименовал.
Блокиратор на месте, проблема осталась.
-
Сообщение от
Владимир Сафронов
файл переименовал.
Опишите, как делали, пожалуйста
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Запустил с диска KRD. Открыл Kaspersky Registry Editor. В нем нашел нужный параметр реестра. В поле "значение" левой кнопкой два раза щелкнул, выпало "изменение строкового параметра". Переименовал с "сссссс.exe" на "сссссс.bak". Затем выбрал удалить параметр реестра, подтвердил. Дальше перезагрузил систему, снова блокиратор вылез.
Всё сделал неправильно?
-
Из описание следует, что Вы только в реестре запись удалили...
Нужно переименовать сам файл c:\Temp\cccccc.exe в c:\Temp\cccccc.bak
-
-
Для работы с самим файлом надо использовать Диспетчер файлов из состава KRD
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-