WinLock требует пополнить счет на 500 руб!

[contrvirus]

Здравствуйте! Помогите пожалуйста, знакомый посидел за ПК и заразил этой зарозой ( извините за тафталогию).
Злоумышленник просит пополнить счет на 500 рублей в любом из териналов, на чеке якобы будет код который и разблокирует. Номера телефонов +79111612426 и +79111612438. Ниже фото. Проверил HDD у знакомого при помощи антивируса Касперского, ничего не обнаружил. Также воспользовался несколькими ключами для этого баннера с DrWeb и этого сайта, не помогло. На сайте Касперского ноомера не распознаны.
Кстати, "безопасный режим", как видно на фото, заблокирован.
windazXP.jpg

[Info_bot]

Уважаемый(ая) contrvirus, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)).
Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете).
В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система
3. Пуск - Выполнить - erdregedit (можно попробовать Пуск - System Tools - Registry Editor)
4. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Значения этих параметров напишите в своем сообщении

[contrvirus]

Думаю HBCD или Alkid Live CD & USB пойдут. Нет?

Добавлено через 1 час 30 минут

Вот что ERD Commander показывает:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:
userinit X:\minint\system32\userinit.exe,

параметр

Код:
shell Explorer.exe

Или это не то? Скопировал данный кусок реестра на флешку с которой загружаюсь. Куда послать или не нужно?

Добавлено через 39 минут

Сейчас проверяется HDD при помощи CureIt! скачанного вчера с оф. сайта.
Может логи или что- то еще прислать Вам после провеки, я не знаю, у меня это впервые.

[thyrex]

Вот что ERD Commander показывает:

Не то, что нужно. Это параметры самого Live CD

Попробуйте такое выполнить

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

– посмотрите в реестре в ветках HKEY_LOCAL_MACHINE и HKEY_USERS (это ветка профилей пользователей) все возможные параметры Run (поиском в реестре) на наличие неизвестных и подозрительных записей. Сообщите результат

[contrvirus]

HDD не у меня, так что завтра по пробую. Пишу с дистрибутива основанного на Ubuntu, называется Ylmf OS 3.0 Final.
Также завтра попробую с диска Kaspersky Rescue Disc утилиту Kaspersky Windows Unbloker.
Кстати интересует вариант объединения KRE и KWU на одном диске Kaspersky Rescue Disc, так как сборка основана на замечательном дистрибутиве Gentoo.

[contrvirus]

Отчитываюсь:
Прочитав немного информации на вашем сайте и других, сделал следующее: скачал диски Kaspersky Rescue Disc и Kaspersky Registry Editor. Запустил Kaspersky Registry Editor, он показал следующее:
Userinit="C:\WINDOWS\system32\userinit.exe,"
Shell="C:\DOCUME~1\Admin\LOCALS~1\Temp\0.400896574 9992589.exe"
Сразу понял что проблема в авто запуске параметра Shell. Подумал вручную далить и заменить строчку на правильную, но решил попробовать утилиту Kaspersky Windows Unlocker, с диска Kaspersky Rescue Disc.
kasper_RD.jpg
О чудо, помогло! Теперь рабочий стол Win XP разблокирован.
Что еще нужно сделать?
Какой бесплатный антивирус и/ или межсетевой экран посоветуете?
Легально- ли пользоваться пробными антивирусами меня их каждый месяц?
Заранее Благодарю!
P.S. Dr. Web CureIt! не помог, проблему не устранил.

[thyrex]

Сделайте логи по правилам

Сделайте лог полного сканирования МВАМ

[contrvirus]

Скорее всего только через месяц ( если ничего не случится). Я в отпуске.