винлокер

[Werewolf]

А что делать тем, кто совсем никаких правил оформления выполнить не может?

Эта нехорошая программа оставила доступными только цифирки. Программ бар недоступен и т.д. Ничего запустить не могу Кода разблокировки не проходят

Единственная надежда на рескью диск от КАВ (сейчас шерстит диски). Есть еще какие идеи?

[Mark D. Pearlstone]

А номер для отправки и текст какой? Какие пробовали коды и сервисы?

[Werewolf]

А номер для отправки и текст какой?

Номер 5121 текс не помню. Сейчас-то с компашки загружено и винлокер ледовательно не виден

Какие пробовали коды и сервисы?

от ЛК вестимо

А кода - все, которые выдал сервис (их там не меньше десятка было)

Изменено 29 июня, 2010 пользователем Werewolf

[Mark D. Pearlstone]

Номер 5121 текс не помню. Сейчас-то с компашки загружено и винлокер ледовательно не виден

 

от ЛК вестимо

А кода - все, которые выдал сервис (их там не меньше десятка было)

Если Диск аварийного восстановления не поможет, то пробуйте этот или этот сервис. Если не помогут, то напишите ещё и текст, который отправить нужно.

Изменено 29 июня, 2010 пользователем Mark D. Pearlstone

[Werewolf]

Если Диск аварийного восстановления не поможет, то пробуйте этот или этот сервис. Если не помогут, то напишите ещё и текст, который отправить нужно.

Ок

еще носом ткните, где ерд командер взять

[Mark D. Pearlstone]

еще носом ткните, где ерд командер взять

В Диске аварийного восстановления на Пуск нажмите.

[Илья Константинович]

http://support.kaspersky.ru/viruses/solutions?qid=208637133

[Werewolf]

http://support.kaspersky.ru/viruses/solutions?qid=208637133

Это все понятно, но не работает. Кода не проходят, в безопасном режиме тоже самое (все кроме цифирок заблокировано). Никоим образом авз и хайджек запустить не получается

[thyrex]

http://www.google.com.by/search?client=ope...-8&oe=utf-8

 

Если у Вас XP, лучше качайте версию 2005

[Илья Константинович]

Загрузка Windows с поддержкой командной строки в безопасном режиме не пробовали?

 

 

потом команда C:\Windows\regedit.exe и правим реестр как описано в инструкции

[Werewolf]

Загрузка Windows с поддержкой командной строки в безопасном режиме не пробовали?

 

 

потом команда C:\Windows\regedit.exe и правим реестр как описано в инструкции

говорю- же - он и в безопасном режиме лезет Следовательно нет доступа к "Выполнить" (и по горячим кнопкам тоже)

Рескью диск уже нашел 1 троянца в профилях. Надеюсь он этой заразе голову откусит

Изменено 29 июня, 2010 пользователем Werewolf

[MotherBoard]

Если у вас порнобаннер с номером 5121

Текст случайно не 4579304 для номера 5121

exel.exe - Trojan-Ransom.Win32.PinkBlocker.bmu

 

Но сделайте образ ERD Commandor, чтобы править реестр.

 

Файл располагается в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – exel.exe и техтешник time.txt,

В реестре правьте значение параметра Shell.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. Оно равно в заражённом случае C:\Program Files\Common Files\Office\exel.exe

исправляем на правильное Explorer.exe

 

 

После попробуйте выполнить правила раздела

Изменено 29 июня, 2010 пользователем MotherBoard

[Werewolf]

Если у вас порнобаннер с номером 5121

Текст случайно не 4579304 для номера 5121

exel.exe - Trojan-Ransom.Win32.PinkBlocker.bmu

Нет, цифры с семерки начинаются. Да, там сидит рансом и поупапер еще до кучи.

Но сделайте образ ERD Commandor, чтобы править реестр.

 

Файл располагается в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – exel.exe и техтешник time.txt,

В реестре правьте значение параметра Shell.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. Оно равно в заражённом случае C:\Program Files\Common Files\Office\exel.exe

исправляем на правильное Explorer.exe

 

 

После попробуйте выполнить правила раздела

Рескью диск отработает (он уже несколько зверей наудалял) и буду реестр править

[MotherBoard]

Не забудьте потом по возможности выполнить правила раздела безопасности

 

И кроме стандартного набора логов AVZ и HijackThis , сделайте логи RSIT

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено 29 июня, 2010 пользователем MotherBoard

[Werewolf]

И кроме стандартного набора логов AVZ и HijackThis , сделайте логи RSIT

Про RSIT поздно прочитал. Сейчас его делать нет времени (рабочий день кончился)

 

Вобщем такие пироги:

Хотя рескью диск поудалял зловредов, но самого вредного пропустил (базы сегодняшние)

Загрузился ерд командером и полез править ключик Shell. Он действительно был изменен. К Explorer.exe через запятую добавилось C:\Program Files\Internet Explorer\instal.exe. Стер лишнее и нормально загрузился. Винлокер исчез. Файлик упаковал под паролем virus (куда там его послать?).

Видимых повреждений системы нет (т.е. Hosts чист, таск менеджер запускается и т.п.)

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log