Винлокер. Какой то не совсем обычный. [P2P-Worm.Win32.Polip.a
]
Поймал винлокера. Обычно в реестре в Винлогоне чищу параметры юзеринит и шелл и всё тановится ок, а сейчас эти параметры в норме, нет ничего лишнего, всё как надо. Нашёл дыру в этом винлокере, когда винда только запустилась, то на несколько секунд отображается нормальный рабочий стол. Если успеть открыть Мой компьютер, то можно впринципе почти полноценно работать на компьютере, правда баннер закрывает значительную часть экрана. Но через мой компьютер можно включить любое приложение и оно будет работать. Не работают только диспетчер задач, редактор параметров автозапуска, панель и кнопка Пуск и не меняется язык. Вот и сейчас пишу глядя в щелочку между краем экрана и краем баннера)
В общем в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметры шелл и юзеринит в порядке. Прикрепляю экспорт ранов из HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Mick Lost, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\System32\Wbem\wmic.exe','');
QuarantineFile('C:\my documents\Application Data\explorer.exe','');
TerminateProcessByName('c:\documents and settings\admin\local settings\temp\bzqlw.exe');
QuarantineFile('c:\documents and settings\admin\local settings\temp\bzqlw.exe','');
DeleteFile('c:\documents and settings\admin\local settings\temp\bzqlw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Updater');
DeleteFile('C:\my documents\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
DeleteFile('C:\WINDOWS\Tasks\83kd33.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Вроде и по-русски написано, а читать не все умеют...
Последняя статья, п. 1
Я что то видимо недопонимаю где и что написано. По вашей ссылке у меня вот это 97113d3df7b3.jpg
где там инструкция по лечению от файлового вируса я не пойму.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: