Помогите определить поддельный параметр..

[Nvidia]

Сразу говорю, что не могу выполнить правила раздела безопасности!
данный зловред из новичков и до безопасного режима не пускает

Ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Два параметра Winlogon, как определить, какой оригинал а какой удалять???
Параметр Shell после explorer.exe, продолжение>>>
Данный параметр до нормы отредактировала..
Это бы отдельный Winlogon с двумя параметрами..
А есть Winlogon ещё с тучей параметров, включая Userinit(Данное значение в норме)
Наверное последний - оригинал, а предыдущий - удалять? Подскажите, пожалуйста...
Просто с самым последним зловредом от 30 числа имею первый опыт. Благо не на своём компе...

[thyrex]

Пуск - Выполнить - regedit
Зайти в обе ветки, экспортировать их в отдельные файлы и прикрепить к сообщению (поддельная скорее всего та, где все буквы маленькие)

[Nvidia]

есть по регистру: Winlogon, который содержит параметры Userinit и Shell
а есть: winlogon, в котором строка Userinit - отсутствует, есть только Shell
Удалила... поддельный winlogon, отредактировала Shell в оригинальном Winlogon,
параметр Userinit в норме.. а винлокер остался...
Ещё и при перезагрузке выдало синий экран с неожиданным выключениемЮ но ОС жива, раз этот Винлокер висит во весь экран..
Но Винлокер судя по коду СМС последний новичок от 30 числа...
Trojan-Ransom.Win32.PinkBlocker.bye

Я не пойму.. как через ЕРД Коммандор экспортировать реестр.. там выбор только где сохранить на компе, а флэшки выбора не было..
Это не мой комп, а сестры..


путь файла: с\programFiles\Common Files\system\system.exe
А файл реально через ЕРД коммандор удалить, или только в реестре лазать?


скорее всего Trojan-Ransom.Win32.PinkBlocker.bye
Всего то по чистой ОС с сайта Мазилла браузер скачала, и Винда обновления качала.. А ещё бесплатную утилиту UltraISO качала.. А антивирусник только поставила - обновиться не успел...

[thyrex]

файл реально через ЕРД коммандор удалить

Реально. Но лучше переименовать

Файл может быть прописан в одном из ключей автозапуска Run (предположительно параметр shell). Потому и остался висеть

[Nvidia]

Не надо переименовывать.. Не думаю, что легал забрался бы так жестоко..
с\programFiles\Common Files\system\system.exe
Файл удалила.. и нету ни синего экрана, ни баннера..
Сейчас теперь включу АВЗ, чтобы проверить ПК для контроля..

[thyrex]

Файл нужно было переименовать, чтобы он ушел в вирлаб!!!

[Nvidia]

thyrex,Это был скорее всего последний Винлокер, 5121, но код начинался на семёрку.. Его Каспер с 30 числа детектит, но коды ни один не подошёл для разблокировки...
На форуме Каспера была эта тема...)))
Хотя нет.. не то.. там было C:\Program Files\Internet Explorer\instal.exe.
Но цифры что были у меня, помню:
Код: 745567458 для номера 5121.
Не знаю, старый это или новый
Простите.. скосячила.. Это мой первый опыт по удалению Винлокеров наяву

[Nvidia]

Раз подняла переполох.. получайте логи!

Вложение 250438

Вложение 250439

Вложение 250440

[thyrex]

Пофиксите в HiJack

Код:

O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com

Больше плохого не видно, хотя базы AVZ устаревшие

[Nvidia]

Это любит человечек там бродить... Это не я...)))
Спасибо за помощь.
И вопрос на будущее:
Файл Вилокеров везде активный или как?
его надо переименовать или ещё и переместить в другую папку?
НА флэшку сохранить ЕРД коммандор возможностей не давал..
Да и х.з. как у него поведение в других папках
или он в другой папке тоже даст о себе знать?
И кроме Winlogon( с маленькой буквы), он где ещё может висеть?
Короче, как в таких ситуациях взять файл за горло, чтобы он был неактивный и мог бы достаться специалистам ЛК?
Откатить систему не могу, всё установлено с нуля....(((

[thyrex]

Это любит человечек там бродить...

Это не IP-адреса ВКонтакте и Одноклассников

Файл Вилокеров везде активный или как?

Файлы от разных винлокеров могут располагаться в различных местах на диске. И прописываются в разные параметры в реестре. (см. темы с ними в Помогите)

Если удалось найти местоположение с помощью того же ERD Commander? идеальный вариант - исправить реестр и переименовать, а не удалять файл блокера

[Nvidia]

Если удалось найти местоположение с помощью того же ERD Commander? идеальный вариант - исправить реестр и переименовать, а не удалять файл блокера

То есть я понимаю так, что если файл хотя бы переименовать, то он уже будет неактивный?

НО при отправке ЛК необходимо будет доложить расширение, с которым файл в рабочем состоянии...?

[thyrex]

Переименовать файл можно не меняя расширения. На этом форуме файлы нужно присылать через карантин по красной ссылке