-
Junior Member
- Вес репутации
- 49
Винлокер заблокировал доступ к компьютеру
Помогите, пожалуйста.
ситуация следующая. Система Vista 32,
Окошко винлокура блокирует вход в систему. Винлокер "Нового поколения" вида "положите деньги на номер через терминал". Соответственно все действия, кроме нажатия на кнопки с цифрами для ввода кода, блокируются.
Если войти через Безопасный режим, то окошко все равно появляется.
Зашел через live CD windows XP, во вложении файлы с отчетами, HijackThis не запускается, интернет не запускается. 2-й отчет сделан без интернета.
Последний раз редактировалось dreycorp; 12.02.2011 в 15:13.
Причина: добавил live CD windows XP
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Давайте попробуем так:
1. Загрузитесь в безопасном режиме с поддержкой командной строки, введите explorer.exe
Должен появиться проводник.
2. Если предидущий способ не работает, загрузитесь с LiveCD с поддержкой правки реестра. Подгрузите куст SOFTWARE из папки
Код:
<диск с заблокированой ОС>:\WINDOWS\System32\config
Затем сообщите :
В ключе
Код:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра
и значение параметра
-
-
Junior Member
- Вес репутации
- 49
Все сделал, зашел через безопасный режим с поддержкой командной строки. запустил Explorer, запустил regedit.
userinut = C:\Windows\System32\userinit.exe,C:\Windows\System 32\usrinit.exe
Shell = C:\Users\Наташа\Appdata\Local\Opera\Opera\temporar y_downloads\xxx_video.exe
в userinut пока написал "Shell", запустилась система, окошка нет, но остановилась на том-же месте, что и раньше
UPD: Теперь могу запустить диспетчер задач
Что дальше?
Последний раз редактировалось dreycorp; 12.02.2011 в 17:32.
Причина: UPD
-
Правильные значения:
userinit = C:\Windows\System32\userinit.exe,
Shell = Explorer.exe
а вот этот файл и есть ваш блокировщик:
C:\Users\Наташа\Appdata\Local\Opera\Opera\temporar y_downloads\xxx_video.exe.
Сделайте теперь логи по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Вот новые логи, не через БР
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=C:\Users\Наташа\AppData\Local\Opera\Opera\temporary_downloads\xxx_video.exe
F2 - REG:system.ini: UserInit=Shell
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: MS Media Module - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %APPDATA%\msmedia.dll (file missing)
O4 - Startup: CCC.lnk = ?
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\Windows\System32\8F00B2\1D8CD9.EXE
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Наташа\AppData\Roaming\msmedia.dll','');
QuarantineFile('C:\Windows\System32\8F00B2\1D8CD9.EXE','');
QuarantineFile('C:\Users\Наташа\AppData\Local\Opera\Opera\temporary_downloads\xxx_video.exe','');
DeleteFile('C:\Users\Наташа\AppData\Local\Opera\Opera\temporary_downloads\xxx_video.exe');
DeleteFile('C:\Windows\System32\8F00B2\1D8CD9.EXE');
DeleteFile('C:\Users\Наташа\AppData\Roaming\msmedia.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=98021).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Файл отправил
Файл сохранён как: 110212_180731_virus_4d56a2332a9c9.zip
Новые логи:
-
Ничего необыного
Установите SP2 + все новые обновления для Windows
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\наташа\\appdata\\local\\opera\\opera\\t emporary_downloads\\xxx_video.exe - Trojan-Ransom.Win32.Gimemo.yd ( DrWEB: Trojan.Winlock.2741, BitDefender: Trojan.Generic.5858316, NOD32: Win32/LockScreen.YL trojan, AVAST4: Win32:MalOb-FT [Cryp] )
-