Какая то новая вариация винлокера (два)

Printable View

20.03.2012, 00:23
virus990

Какая то новая вариация винлокера (два)

Добрый день специалисты!

Извините что создал 2 тему, так как в той нет доступа почему то для ответа.

[url]http://virusinfo.info/showthread.php?t=118099[/url]

Там написано
--------
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), [B]если у Вас их несколько[/B]
– посмотрите в реестре:
[B]ветка[/B] [COLOR=Red]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/COLOR]
[B]параметр[/B] [COLOR=Blue]userinit[/COLOR]
[B]параметр[/B] [COLOR=Blue]shell[/COLOR]
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run[/B] и [B]HKEY_USERS\[COLOR=#0000FF]<Имя проблемной учетки>[/COLOR]\Software\Microsoft\Windows\CurrentVersion\Run[/B] в отдельные файлы, заархивируйте и прикрепите к сообщению.
---------------

У меня получилось зайти через контр-алт-делете (жал и ждал когда появиться диспетчер задач и вот удача он загрузился, там висит приложение этот вирусняк (снял задачу и теперь смог выйти в браузер)

[URL="http://virusinfo.info/member.php?u=167910"][B]как и у vovikn [/B][/URL] в реесте я нашел тоже самое

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit - c:\windows\system32\userinit.exe
параметр shell - explorer.exe

А что вот дальше делать не пойму, помогите что нужно делать с этими реестрами?
20.03.2012, 00:24
Info_bot

Уважаемый(ая) [B]virus990[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.03.2012, 04:50
Bratez

[quote="virus990;877574"]помогите что нужно делать с этими реестрами?[/quote]
Указанные ветки нужно экспортировать в reg-файлы.
Делается очень просто:
1. В левой части окна редактора реестра выделяем нужную ветку.
2. Выбираем в меню [B]Файл - Экспорт[/B].
3. В открывшемся окошке выбираем папку для сохранения, даём имя файлу, жмём [B]Сохранить[/B].

Экспортируйте таким образом две указанные ветки, полученные файлы запакуйте в zip и прикрепите сюда.

Только маленькое уточнение. Если вы запускаете regedit в своей системе, а не используете диск Касперского, то вы не увидите [COLOR="#0000FF"]<Имя проблемной учетки>[/COLOR]. Вместо него будет примерно такое:
S-1-5-21-1606980848-1035525444-1417001333-1003
(еще там короткие будут, типа S-1-5-20, и с припиской Classes - те не надо трогать).