Внезапно в Windows 7 появился новый пользователь, с именем другой пользователь. А после перестал срабатывать пароль на учетную запись. При этом вместо "подсказки о пароле" предлагается восстановить пароль, при помощи USB диска. Ни сталкивался с такими вирусами, но поведение похожее на Winlocker. Интерфейс не изменен, за исключением "предложения восстановить пароль", и в окне пользователей, при их смене, дополнительного окна этого пользователя, при отключении всех учетных запсией, за исключением локального пользователя, под администратором. Похоже на поведения winlocker вируса ?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
С диска с windows в режиме восстановления удалось экспортировать ветку реестра, пикрепил к сообщению. В реестре все выгдядит обычными английскими буквами, а здесь сохранилось в виде hex.
Последний раз редактировалось bedxdf; 28.03.2012 в 17:52.
1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости
II этап (выполняется на заблокированной машине)
1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– сделайте экспорт указанной ветки реестра
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Похоже что вирус появился во время переустановки другого антивируса, что говорит о том что антивирус лучше не отключать. Не было возможности использовать загрузочный диск с антивирусом, потому вопрос видимо снимается. Подозрения насчет вируса подтвердились.