-
Помогите определить поддельный параметр..
Сразу говорю, что не могу выполнить правила раздела безопасности!
данный зловред из новичков и до безопасного режима не пускает
Ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Два параметра Winlogon, как определить, какой оригинал а какой удалять???
Параметр Shell после explorer.exe, продолжение>>>
Данный параметр до нормы отредактировала..
Это бы отдельный Winlogon с двумя параметрами..
А есть Winlogon ещё с тучей параметров, включая Userinit(Данное значение в норме)
Наверное последний - оригинал, а предыдущий - удалять? Подскажите, пожалуйста...
Просто с самым последним зловредом от 30 числа имею первый опыт. Благо не на своём компе...
Последний раз редактировалось Nvidia; 02.07.2010 в 16:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пуск - Выполнить - regedit
Зайти в обе ветки, экспортировать их в отдельные файлы и прикрепить к сообщению (поддельная скорее всего та, где все буквы маленькие)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
есть по регистру: Winlogon, который содержит параметры Userinit и Shell
а есть: winlogon, в котором строка Userinit - отсутствует, есть только Shell
Удалила... поддельный winlogon, отредактировала Shell в оригинальном Winlogon,
параметр Userinit в норме.. а винлокер остался...
Ещё и при перезагрузке выдало синий экран с неожиданным выключениемЮ но ОС жива, раз этот Винлокер висит во весь экран..
Но Винлокер судя по коду СМС последний новичок от 30 числа...
Trojan-Ransom.Win32.PinkBlocker.bye
Я не пойму.. как через ЕРД Коммандор экспортировать реестр.. там выбор только где сохранить на компе, а флэшки выбора не было..
Это не мой комп, а сестры..
путь файла: с\programFiles\Common Files\system\system.exe
А файл реально через ЕРД коммандор удалить, или только в реестре лазать?
скорее всего Trojan-Ransom.Win32.PinkBlocker.bye
Всего то по чистой ОС с сайта Мазилла браузер скачала, и Винда обновления качала.. А ещё бесплатную утилиту UltraISO качала.. А антивирусник только поставила - обновиться не успел...
-
Сообщение от
Nvidia
файл реально через ЕРД коммандор удалить
Реально. Но лучше переименовать
Файл может быть прописан в одном из ключей автозапуска Run (предположительно параметр shell). Потому и остался висеть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Не надо переименовывать.. Не думаю, что легал забрался бы так жестоко..
с\programFiles\Common Files\system\system.exe
Файл удалила.. и нету ни синего экрана, ни баннера..
Сейчас теперь включу АВЗ, чтобы проверить ПК для контроля..
-
Файл нужно было переименовать, чтобы он ушел в вирлаб!!!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
thyrex,Это был скорее всего последний Винлокер, 5121, но код начинался на семёрку.. Его Каспер с 30 числа детектит, но коды ни один не подошёл для разблокировки...
На форуме Каспера была эта тема...)))
Хотя нет.. не то.. там было C:\Program Files\Internet Explorer\instal.exe.
Но цифры что были у меня, помню:
Код: 745567458 для номера 5121.
Не знаю, старый это или новый
Простите.. скосячила.. Это мой первый опыт по удалению Винлокеров наяву
Последний раз редактировалось Nvidia; 02.07.2010 в 18:12.
-
-
Пофиксите в HiJack
Код:
O1 - Hosts: 85.12.46.140 odnoklassniki.ru
O1 - Hosts: 85.12.46.140 www.odnoklassniki.ru
O1 - Hosts: 85.12.46.140 vkontakte.ru
O1 - Hosts: 85.12.46.140 www.vkontakte.ru
O1 - Hosts: 85.12.46.140 vk.com
O1 - Hosts: 85.12.46.140 www.vk.com
Больше плохого не видно, хотя базы AVZ устаревшие
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Это любит человечек там бродить... Это не я...)))
Спасибо за помощь.
И вопрос на будущее:
Файл Вилокеров везде активный или как?
его надо переименовать или ещё и переместить в другую папку?
НА флэшку сохранить ЕРД коммандор возможностей не давал..
Да и х.з. как у него поведение в других папках
или он в другой папке тоже даст о себе знать?
И кроме Winlogon( с маленькой буквы), он где ещё может висеть?
Короче, как в таких ситуациях взять файл за горло, чтобы он был неактивный и мог бы достаться специалистам ЛК?
Откатить систему не могу, всё установлено с нуля....(((
-
Сообщение от
Nvidia
Это любит человечек там бродить...
Это не IP-адреса ВКонтакте и Одноклассников
Сообщение от
Nvidia
Файл Вилокеров везде активный или как?
Файлы от разных винлокеров могут располагаться в различных местах на диске. И прописываются в разные параметры в реестре. (см. темы с ними в Помогите)
Если удалось найти местоположение с помощью того же ERD Commander? идеальный вариант - исправить реестр и переименовать, а не удалять файл блокера
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Если удалось найти местоположение с помощью того же ERD Commander? идеальный вариант - исправить реестр и переименовать, а не удалять файл блокера
То есть я понимаю так, что если файл хотя бы переименовать, то он уже будет неактивный?
НО при отправке ЛК необходимо будет доложить расширение, с которым файл в рабочем состоянии...?
-
Переименовать файл можно не меняя расширения. На этом форуме файлы нужно присылать через карантин по красной ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-