Винлокер. Обычный винлокер.

На компьютере завёлся винлокер. Как всегда виндоуз секьюрити обнаружило запрещенный контент как то порнография и бла бла бла. Положите 500 рублей на этот номер и вам придёт код разблокировки.
[B]Ветка [/B][COLOR=#ff0000]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[/COLOR][B]параметр[/B] [COLOR=#0000ff]userinit[/COLOR] - [COLOR=#006400]C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\8Of18728.exe,C:\WINDOWS\system32\pxnjjb.exe[/COLOR] (тут явно что то лишнее)
[B]параметр[/B] [COLOR=#0000ff]shell[/COLOR][COLOR=#ff0000] [/COLOR]-[COLOR=#006400] Explorer.exe[/COLOR][COLOR=#ff0000]

[/COLOR]Экспорты веток HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run называются Run и Run2 соответственно.

[COLOR=#ff0000]
[/COLOR][COLOR=#0000ff][/COLOR]

Уважаемый(ая) [B]Mick Lost[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Верное значение
[CODE]userinit - C:\WINDOWS\system32\userinit.exe,[/CODE]
Исправьте и пробуйте стартовать

исправил, ничего не изменилось.

[LIST][*][CODE]C:\WINDOWS\system32\8Of18728.exe
C:\WINDOWS\system32\pxnjjb.exe[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы. [*]После этого эти файлы удалите. [*]Если компьютер не включился сделайте такой лог [url]http://virusinfo.info/showthread.php?t=121985[/url][/LIST]

Run2 получился нулевого размера

Переделайте

[QUOTE=regist;939792][LIST][*][CODE]C:\WINDOWS\system32\8Of18728.exe
C:\WINDOWS\system32\pxnjjb.exe[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы. [*]После этого эти файлы удалите. [/QUOTE]
этих файлов по указанному адресу нет. Отображал скрытые файлы, вводил прямые пути на эти файлы в выполнить - нет таких файлов в указанной директории.

[QUOTE=thyrex;939855]Run2 получился нулевого размера

Переделайте[/QUOTE]
Несколько раз пробовал переделать, всё равно получается нулевой размер.
Экспорт по ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run делается нормально, а по HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run не получается.

....
[quote]Если компьютер не включился сделайте такой лог [url=http://virusinfo.info/showthread.php?t=121985]http://virusinfo.info/showthread.php?t=121985[/url][/quote]

По указанной ссылке WinPЕ не скачать, в интере тоже не могу найти его.

Делаете так [url]http://www.youtube.com/watch?v=Y9qSrZnEoGg&feature=youtu.be[/url] ?

Сделал экспорт ранов. в ветке HKEY_USERS две учетные записи, но комп всегда запускался по дефолту не помню с какой. поэтому сделал экспорт ранов с обоих.

Заархивируйте

[CODE]C:\Documents and Settings\ююю\ms.exe[/CODE]

в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

после этого удалите этот файл, попробуйте загрузиться в свою систему и сделать логи по правилам, чтобы очистить от остатков вируса.