-
Junior Member
- Вес репутации
- 47
WinLock требует пополнить счет на 500 руб!
Здравствуйте! Помогите пожалуйста, знакомый посидел за ПК и заразил этой зарозой ( извините за тафталогию).
Злоумышленник просит пополнить счет на 500 рублей в любом из териналов, на чеке якобы будет код который и разблокирует. Номера телефонов +79111612426 и +79111612438. Ниже фото. Проверил HDD у знакомого при помощи антивируса Касперского, ничего не обнаружил. Также воспользовался несколькими ключами для этого баннера с DrWeb и этого сайта, не помогло. На сайте Касперского ноомера не распознаны.
Кстати, "безопасный режим", как видно на фото, заблокирован.
windazXP.jpg
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) contrvirus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
I этап (выполняется на чистой от вирусов машине)
1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)).
Ссылки ищите в Google, например.
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете).
В противном случае записываете образ на болванку, например, с помощью Nero
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь
При загрузке Вы должны указать диск, на который установлена заблокированная система
3. Пуск - Выполнить - erdregedit (можно попробовать Пуск - System Tools - Registry Editor)
4. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Значения этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 47
Думаю HBCD или Alkid Live CD & USB пойдут. Нет?
Добавлено через 1 час 30 минут
Вот что ERD Commander показывает:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
Код:
userinit
X:\minint\system32\userinit.exe,
параметр
Код:
shell
Explorer.exe
Или это не то? Скопировал данный кусок реестра на флешку с которой загружаюсь. Куда послать или не нужно?
Добавлено через 39 минут
Сейчас проверяется HDD при помощи CureIt! скачанного вчера с оф. сайта.
Может логи или что- то еще прислать Вам после провеки, я не знаю, у меня это впервые.
Последний раз редактировалось contrvirus; 07.09.2011 в 18:21.
Причина: Добавлено
-
Сообщение от
contrvirus
Вот что ERD Commander показывает:
Не то, что нужно. Это параметры самого Live CD
Попробуйте такое выполнить
I этап (выполняется на чистой от вирусов машине)
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении
– посмотрите в реестре в ветках HKEY_LOCAL_MACHINE и HKEY_USERS (это ветка профилей пользователей) все возможные параметры Run (поиском в реестре) на наличие неизвестных и подозрительных записей. Сообщите результат
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
HDD не у меня, так что завтра по пробую. Пишу с дистрибутива основанного на Ubuntu, называется Ylmf OS 3.0 Final.
Также завтра попробую с диска Kaspersky Rescue Disc утилиту Kaspersky Windows Unbloker.
Кстати интересует вариант объединения KRE и KWU на одном диске Kaspersky Rescue Disc, так как сборка основана на замечательном дистрибутиве Gentoo.
-
Junior Member
- Вес репутации
- 47
Отчитываюсь:
Прочитав немного информации на вашем сайте и других, сделал следующее: скачал диски Kaspersky Rescue Disc и Kaspersky Registry Editor. Запустил Kaspersky Registry Editor, он показал следующее:
Userinit="C:\WINDOWS\system32\userinit.exe,"
Shell="C:\DOCUME~1\Admin\LOCALS~1\Temp\0.400896574 9992589.exe"
Сразу понял что проблема в авто запуске параметра Shell. Подумал вручную далить и заменить строчку на правильную, но решил попробовать утилиту Kaspersky Windows Unlocker, с диска Kaspersky Rescue Disc.
kasper_RD.jpg
О чудо, помогло! Теперь рабочий стол Win XP разблокирован.
Что еще нужно сделать?
Какой бесплатный антивирус и/ или межсетевой экран посоветуете?
Легально- ли пользоваться пробными антивирусами меня их каждый месяц?
Заранее Благодарю!
P.S. Dr. Web CureIt! не помог, проблему не устранил.
Последний раз редактировалось contrvirus; 08.09.2011 в 15:03.
-
Сделайте логи по правилам
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Скорее всего только через месяц ( если ничего не случится). Я в отпуске.