Werewolf Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 А что делать тем, кто совсем никаких правил оформления выполнить не может? Эта нехорошая программа оставила доступными только цифирки. Программ бар недоступен и т.д. Ничего запустить не могу Кода разблокировки не проходят Единственная надежда на рескью диск от КАВ (сейчас шерстит диски). Есть еще какие идеи? Ссылка на комментарий Поделиться на другие сайты Поделиться
Mark D. Pearlstone Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 А номер для отправки и текст какой? Какие пробовали коды и сервисы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Werewolf Опубликовано 29 июня, 2010 Автор Поделиться Опубликовано 29 июня, 2010 (изменено) А номер для отправки и текст какой? Номер 5121 текс не помню. Сейчас-то с компашки загружено и винлокер ледовательно не виден Какие пробовали коды и сервисы? от ЛК вестимо А кода - все, которые выдал сервис (их там не меньше десятка было) Изменено 29 июня, 2010 пользователем Werewolf Ссылка на комментарий Поделиться на другие сайты Поделиться
Mark D. Pearlstone Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 (изменено) Номер 5121 текс не помню. Сейчас-то с компашки загружено и винлокер ледовательно не виден от ЛК вестимо А кода - все, которые выдал сервис (их там не меньше десятка было) Если Диск аварийного восстановления не поможет, то пробуйте этот или этот сервис. Если не помогут, то напишите ещё и текст, который отправить нужно. Изменено 29 июня, 2010 пользователем Mark D. Pearlstone Ссылка на комментарий Поделиться на другие сайты Поделиться
Werewolf Опубликовано 29 июня, 2010 Автор Поделиться Опубликовано 29 июня, 2010 Если Диск аварийного восстановления не поможет, то пробуйте этот или этот сервис. Если не помогут, то напишите ещё и текст, который отправить нужно. Ок еще носом ткните, где ерд командер взять Ссылка на комментарий Поделиться на другие сайты Поделиться
Mark D. Pearlstone Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 еще носом ткните, где ерд командер взять В Диске аварийного восстановления на Пуск нажмите. Ссылка на комментарий Поделиться на другие сайты Поделиться
Илья Константинович Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 http://support.kaspersky.ru/viruses/solutions?qid=208637133 Ссылка на комментарий Поделиться на другие сайты Поделиться
Werewolf Опубликовано 29 июня, 2010 Автор Поделиться Опубликовано 29 июня, 2010 http://support.kaspersky.ru/viruses/solutions?qid=208637133 Это все понятно, но не работает. Кода не проходят, в безопасном режиме тоже самое (все кроме цифирок заблокировано). Никоим образом авз и хайджек запустить не получается Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 http://www.google.com.by/search?client=ope...-8&oe=utf-8 Если у Вас XP, лучше качайте версию 2005 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Илья Константинович Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 Загрузка Windows с поддержкой командной строки в безопасном режиме не пробовали? потом команда C:\Windows\regedit.exe и правим реестр как описано в инструкции Ссылка на комментарий Поделиться на другие сайты Поделиться
Werewolf Опубликовано 29 июня, 2010 Автор Поделиться Опубликовано 29 июня, 2010 (изменено) Загрузка Windows с поддержкой командной строки в безопасном режиме не пробовали? потом команда C:\Windows\regedit.exe и правим реестр как описано в инструкции говорю- же - он и в безопасном режиме лезет Следовательно нет доступа к "Выполнить" (и по горячим кнопкам тоже) Рескью диск уже нашел 1 троянца в профилях. Надеюсь он этой заразе голову откусит Изменено 29 июня, 2010 пользователем Werewolf Ссылка на комментарий Поделиться на другие сайты Поделиться
MotherBoard Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 (изменено) Если у вас порнобаннер с номером 5121 Текст случайно не 4579304 для номера 5121 exel.exe - Trojan-Ransom.Win32.PinkBlocker.bmu Но сделайте образ ERD Commandor, чтобы править реестр. Файл располагается в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – exel.exe и техтешник time.txt, В реестре правьте значение параметра Shell. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. Оно равно в заражённом случае C:\Program Files\Common Files\Office\exel.exe исправляем на правильное Explorer.exe После попробуйте выполнить правила раздела Изменено 29 июня, 2010 пользователем MotherBoard Ссылка на комментарий Поделиться на другие сайты Поделиться
Werewolf Опубликовано 29 июня, 2010 Автор Поделиться Опубликовано 29 июня, 2010 Если у вас порнобаннер с номером 5121Текст случайно не 4579304 для номера 5121 exel.exe - Trojan-Ransom.Win32.PinkBlocker.bmu Нет, цифры с семерки начинаются. Да, там сидит рансом и поупапер еще до кучи. Но сделайте образ ERD Commandor, чтобы править реестр. Файл располагается в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – exel.exe и техтешник time.txt, В реестре правьте значение параметра Shell. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. Оно равно в заражённом случае C:\Program Files\Common Files\Office\exel.exe исправляем на правильное Explorer.exe После попробуйте выполнить правила раздела Рескью диск отработает (он уже несколько зверей наудалял) и буду реестр править Ссылка на комментарий Поделиться на другие сайты Поделиться
MotherBoard Опубликовано 29 июня, 2010 Поделиться Опубликовано 29 июня, 2010 (изменено) Не забудьте потом по возможности выполнить правила раздела безопасности И кроме стандартного набора логов AVZ и HijackThis , сделайте логи RSIT Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Изменено 29 июня, 2010 пользователем MotherBoard Ссылка на комментарий Поделиться на другие сайты Поделиться
Werewolf Опубликовано 29 июня, 2010 Автор Поделиться Опубликовано 29 июня, 2010 И кроме стандартного набора логов AVZ и HijackThis , сделайте логи RSIT Про RSIT поздно прочитал. Сейчас его делать нет времени (рабочий день кончился) Вобщем такие пироги: Хотя рескью диск поудалял зловредов, но самого вредного пропустил (базы сегодняшние) Загрузился ерд командером и полез править ключик Shell. Он действительно был изменен. К Explorer.exe через запятую добавилось C:\Program Files\Internet Explorer\instal.exe. Стер лишнее и нормально загрузился. Винлокер исчез. Файлик упаковал под паролем virus (куда там его послать?). Видимых повреждений системы нет (т.е. Hosts чист, таск менеджер запускается и т.п.) Логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти