-
Junior Member
- Вес репутации
- 48
Винлокер. Обычный винлокер.
На компьютере завёлся винлокер. Как всегда виндоуз секьюрити обнаружило запрещенный контент как то порнография и бла бла бла. Положите 500 рублей на этот номер и вам придёт код разблокировки.
Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit - C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\8Of18728.exe,C:\WINDOWS\system32\pxnjjb.exe (тут явно что то лишнее)
параметр shell- Explorer.exe
Экспорты веток HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run называются Run и Run2 соответственно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Mick Lost, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Верное значение
Код:
userinit - C:\WINDOWS\system32\userinit.exe,
Исправьте и пробуйте стартовать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
исправил, ничего не изменилось.
-
Код:
C:\WINDOWS\system32\8Of18728.exe
C:\WINDOWS\system32\pxnjjb.exe
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.- После этого эти файлы удалите.
- Если компьютер не включился сделайте такой лог http://virusinfo.info/showthread.php?t=121985
-
-
Run2 получился нулевого размера
Переделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
regist
[LIST][*]
Код:
C:\WINDOWS\system32\8Of18728.exe
C:\WINDOWS\system32\pxnjjb.exe
Заархивируйте в zip архив с паролем
virus и загрузите по ссылке
Прислать запрошенный карантин вверху темы. [*]После этого эти файлы удалите.
этих файлов по указанному адресу нет. Отображал скрытые файлы, вводил прямые пути на эти файлы в выполнить - нет таких файлов в указанной директории.
Сообщение от
thyrex
Run2 получился нулевого размера
Переделайте
Несколько раз пробовал переделать, всё равно получается нулевой размер.
Экспорт по ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run делается нормально, а по HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run не получается.
-
-
-
Junior Member
- Вес репутации
- 48
По указанной ссылке WinPЕ не скачать, в интере тоже не могу найти его.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Сделал экспорт ранов. в ветке HKEY_USERS две учетные записи, но комп всегда запускался по дефолту не помню с какой. поэтому сделал экспорт ранов с обоих.
-
Заархивируйте
Код:
C:\Documents and Settings\ююю\ms.exe
в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
после этого удалите этот файл, попробуйте загрузиться в свою систему и сделать логи по правилам, чтобы очистить от остатков вируса.
-