Перейти к содержанию
Правила раздела

винлокер

Werewolf

Автор Werewolf
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Werewolf

Werewolf

Опубликовано
Опубликовано

А что делать тем, кто совсем никаких правил оформления выполнить не может?

Эта нехорошая программа оставила доступными только цифирки. Программ бар недоступен и т.д. Ничего запустить не могу ;) Кода разблокировки не проходят B)

Единственная надежда на рескью диск от КАВ (сейчас шерстит диски). Есть еще какие идеи?

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

А номер для отправки и текст какой? Какие пробовали коды и сервисы?

Werewolf

Werewolf

Опубликовано
  • Автор
Опубликовано (изменено)
А номер для отправки и текст какой?

Номер 5121 текс не помню. Сейчас-то с компашки загружено и винлокер ледовательно не виден

Какие пробовали коды и сервисы?

от ЛК вестимо ;)

А кода - все, которые выдал сервис (их там не меньше десятка было)

Изменено пользователем Werewolf
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано (изменено)
Номер 5121 текс не помню. Сейчас-то с компашки загружено и винлокер ледовательно не виден

 

от ЛК вестимо ;)

А кода - все, которые выдал сервис (их там не меньше десятка было)

Если Диск аварийного восстановления не поможет, то пробуйте этот или этот сервис. Если не помогут, то напишите ещё и текст, который отправить нужно.

Изменено пользователем Mark D. Pearlstone
Werewolf

Werewolf

Опубликовано
  • Автор
Опубликовано
Если Диск аварийного восстановления не поможет, то пробуйте этот или этот сервис. Если не помогут, то напишите ещё и текст, который отправить нужно.

Ок

еще носом ткните, где ерд командер взять

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
еще носом ткните, где ерд командер взять

В Диске аварийного восстановления на Пуск нажмите.

Werewolf

Werewolf

Опубликовано
  • Автор
Опубликовано

Это все понятно, но не работает. Кода не проходят, в безопасном режиме тоже самое (все кроме цифирок заблокировано). Никоим образом авз и хайджек запустить не получается

Илья Константинович

Илья Константинович

Опубликовано
Опубликовано

Загрузка Windows с поддержкой командной строки в безопасном режиме не пробовали?

 

 

потом команда C:\Windows\regedit.exe и правим реестр как описано в инструкции

Werewolf

Werewolf

Опубликовано
  • Автор
Опубликовано (изменено)
Загрузка Windows с поддержкой командной строки в безопасном режиме не пробовали?

 

 

потом команда C:\Windows\regedit.exe и правим реестр как описано в инструкции

говорю- же - он и в безопасном режиме лезет ;) Следовательно нет доступа к "Выполнить" (и по горячим кнопкам тоже)

Рескью диск уже нашел 1 троянца в профилях. Надеюсь он этой заразе голову откусит B)

Изменено пользователем Werewolf
MotherBoard

MotherBoard

Опубликовано
Опубликовано (изменено)

Если у вас порнобаннер с номером 5121

Текст случайно не 4579304 для номера 5121

exel.exe - Trojan-Ransom.Win32.PinkBlocker.bmu

 

Но сделайте образ ERD Commandor, чтобы править реестр.

 

Файл располагается в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – exel.exe и техтешник time.txt,

В реестре правьте значение параметра Shell.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. Оно равно в заражённом случае C:\Program Files\Common Files\Office\exel.exe

исправляем на правильное Explorer.exe

 

 

После попробуйте выполнить правила раздела

Изменено пользователем MotherBoard
Werewolf

Werewolf

Опубликовано
  • Автор
Опубликовано
Если у вас порнобаннер с номером 5121

Текст случайно не 4579304 для номера 5121

exel.exe - Trojan-Ransom.Win32.PinkBlocker.bmu

Нет, цифры с семерки начинаются. Да, там сидит рансом и поупапер еще до кучи.

Но сделайте образ ERD Commandor, чтобы править реестр.

 

Файл располагается в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – exel.exe и техтешник time.txt,

В реестре правьте значение параметра Shell.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. Оно равно в заражённом случае C:\Program Files\Common Files\Office\exel.exe

исправляем на правильное Explorer.exe

 

 

После попробуйте выполнить правила раздела

Рескью диск отработает (он уже несколько зверей наудалял) и буду реестр править

MotherBoard

MotherBoard

Опубликовано
Опубликовано (изменено)

Не забудьте потом по возможности выполнить правила раздела безопасности ;)

 

И кроме стандартного набора логов AVZ и HijackThis , сделайте логи RSIT

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено пользователем MotherBoard
Werewolf

Werewolf

Опубликовано
  • Автор
Опубликовано
И кроме стандартного набора логов AVZ и HijackThis , сделайте логи RSIT

Про RSIT поздно прочитал. Сейчас его делать нет времени (рабочий день кончился)

 

Вобщем такие пироги:

Хотя рескью диск поудалял зловредов, но самого вредного пропустил (базы сегодняшние)

Загрузился ерд командером и полез править ключик Shell. Он действительно был изменен. К Explorer.exe через запятую добавилось C:\Program Files\Internet Explorer\instal.exe. Стер лишнее и нормально загрузился. Винлокер исчез. Файлик упаковал под паролем virus (куда там его послать?).

Видимых повреждений системы нет (т.е. Hosts чист, таск менеджер запускается и т.п.)

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...