# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Winlock.2675 и ERDregedit

## fidres

сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.
но в составе Alkid Win PE есть утилита, позволяющая просматривать и редактировать реестр поражённой системы!
(использовал ZverDVD 2010)
с помощью этой утилиты и нашёл подменённый ключ "userinit".

сам локер - тривиален. ничего кроме номера телефона - нет.
перекрывает экран, не давая отображать таскманагер (хотя, по альт-табу - видно, что тот всплывает по трём-клавишам).
вес - чуть больше 52 кило.
название "xxx_video_30619.avi.exe".
пришёл скорей всего по почте, в спам-рассылке с какого-то рассадника, типа майл.ру (о чём-то таком при мне говорили страдальцы). судя по месту обитания - залез через оперу (правда не уточнял какой версии).
текст - примерно такого содержания: "просмотр порно... пополнить баланс абонента мтс 89853132746 через терминал экспресс-оплаты... в чеке будет указан код разблокировки...".



> G:\~a\~vir\xxx_video_30619.avi.exe
> --------------------------------     File version info:
> --------------------------------     Section info (3 sections):
> Section:	      	UPX0    
> VirtualSize:     	0001F000
> VirtualAddress:  	00001000
> PointerToRawData:	00000200
> SizeOfRawData:   	00000000
> Flags:           	E0000080
> ...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PavelA

> сегодня сделал для себя вывод, что ERDregedit не подходит для редактирования реестра винды на заблоченной машине.


Можно об этом по-подробнее. Что конкретно не получается: подгрузить куст реестра или еще чего-то.

----------


## mrak74

Какой версией ERD Commander-а пользовались? Какая операционная система ? Действительно интересно, что не получилось, ждем подробностей.

----------


## fidres

Erd Commander 2005 v5.0 - входит в сборку ZverDVD 2010 (но я и до этого пользовался ERDCom2003).
наверное, просто не указал диру с виндой!.. точно.
сейчас прогнал это всё на виртуалке - предварительно нужно указать директорию винды на нужном диске. понятно.
но проще оказалось использовать regedit самой Alkid'ы (а верней несколько изменённый метод запуска самого regedit'а) - "x:\a386\system32\runscanner.exe /y /t 0 regedit.exe", позволяющий загрузить всё дерево сразу (или ветку отдельного юзера).
ERDregedit смог загрузить лишь часть реестра (хотя не исключаю возможности, что с помощью дополнительных теложвижений - и его можно заставить подгрузить все ветки, примерно так же, как с обычного regedit'а).

----------


## User00

а вот вопрос что если на компутере 2 вируса  :Smiley: 
1 Winlock обычный 
2 то что обычно блокирует реестр диспетчер задач и прочее 
грузим лив сиди пробуем редактировать реестр а там  :Smiley: 
написано шо реестр закрыт администратором  :Smiley:

----------


## Bratez

> грузим лив сиди пробуем редактировать реестр а там 
> написано шо реестр закрыт администратором


Блокировка редактирования реестра действует только в пораженной системе, для LiveCD равно как и для любой внешней системы это по барабану.

----------

