винлокер (требует 400р. на тел. 89897520743)

Здравствуйте!
ВинЛокер похож на [url]http://virusinfo.info/showthread.php?t=102734[/url]
Немного другое сообщение и, конечно же, другой телефон (89897520743).
В безопасном режиме тоже появляется.

Используя ERD Commander просмотрел реестр:
ветка
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]
Userinit: C:\WINDOWS\system32\userinit.exe
Shell: C\Documents and Settings\Admin\Application Data\22CC6C32.exe

ветка
[CODE]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\WINDOWS\system32\vksaver.dll

Отредактировал следующие параметры:
Shell: Explorer.exe
ppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll

На винЛокер это не повлияло - после перезагрузки опять появился.

Уважаемый(ая) [B]k1rweb[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].

Решил проблему! :)
Для тех, у кого тот же локер - рассказываю как именно:

1. Загружаемся с LiveCD (в моём случае это был ERD Commander)

2. удаляем файлы:

C:\%SystemRoot%\System32\dllcache\taskmgr.exe
C:\%SystemRoot%\System32\dllcache\userinit.exe
C:\%SystemRoot%\System32\taskmgr.exe
C:\%SystemRoot%\System32\userinit.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

3. Исправляем ключ реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell: Explorer.exe

4. Копируем оригинальные виндовые файлы с установочного диска:
C:\%SystemRoot%\System32\taskmgr.exe
C:\%SystemRoot%\System32\userinit.exe

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\yyyyyyyyeee.bak - [B]Trojan-Ransom.Win32.PornoAsset.ss[/B] ( DrWEB: Trojan.Winlock.3557, BitDefender: Trojan.Generic.KD.244119, AVAST4: Win32:Malware-gen )[*] \\22cc6c32.bak - [B]Trojan-Ransom.Win32.PornoAsset.ss[/B] ( DrWEB: Trojan.Winlock.3557, BitDefender: Trojan.Generic.KD.244119, AVAST4: Win32:Malware-gen )[/LIST][/LIST]