Коллега поймал локер

[Deadman]

Локер просит 300000 бел рублей за нарушение закона про педофилию на EasyPay с кошельком 29030303. К компьютеру у меня доступа нет. Если ничем не поможете, придется к нему переться с диском аварийного восстановления.

[Roman_Five]

придется к нему переться с диском аварийного восстановления

без этого никак...

 

какой хоть блокер? изображение / описание есть? грузится до Windows или вместе?

[Deadman]

Кратко вроде описал. Текст состоит из того, что пользователю предлагается заплатить штраф за просмотр педофилии в соответствии с УК РБ и приводится выписка этой статьи, пользователю угрожают удалением всех данных в течении 24 часов, если он не уплатит штраф.

 

Про загрузку не спросил, но кажется, что после загрузки Windows.

[thyrex]

I этап (выполняется на чистой от вирусов машине)

 

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

 

II этап (выполняется на заблокированной машине)

 

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:

– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter

– выберите необходимый язык из списка

– нажмите 1, чтобы принять лицензионное соглашение

– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола

3. Запустите Kaspersky Registry Editor

4. Откроется редактор реестра

– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

– посмотрите в реестре:

ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр userinit

параметр shell

Значения этих параметров напишите в своем сообщении

 

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.