Перейти к содержимому


Фото
- - - - -

Заразился Winlocker, не могу вылечиться


  • Please log in to reply
5 ответов в этой теме

#1 mad_cat_2000

mad_cat_2000

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 18 Апрель 2011 - 02:12

Прикрепленный файл  IMG_20110418_104711.jpg   1002,18К   48 Скачано раз Зравствуйте.
На рабочем компьютере в интернете подцепил Винлокера. Станция защищена доктором вебом... базы обновляются ежечасно.
Прочитал немало форумов, испробовал много способов лечения, но ни один не помог.
для большего понимания винлокера выкладываю фото Винлокера.
Данный локер не запускает винду, экран появляется на загрузке учетной записи пользователя.

Сообщение было изменено mad_cat_2000: 18 Апрель 2011 - 02:13


#2 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 18 Апрель 2011 - 05:51

Посмотрите в этой теме http://forum.drweb.com/index.php?showtopic=292921&st=180
Ищите по совпадающей картинке, не по номерам тлф.
Или здесь http://www.drweb.com/unlocker/index/?lng=ru
Если ничего похожего не увидите, то придется записывать ERD Commander и бороться своими силами. Инструкции здесь http://forum.drweb.com/index.php?showtopic...mp;#entry462910
Вирус желательно сохранить и прислать в вирлаб

#3 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 18 Апрель 2011 - 08:34

Для этого баннера нет кода.

Он заменяет системные файлы

userinit.exe и taskmgr.exe

и изменяет ключ реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

shell

----------

Файлы нужно заменить копиями с установочного диска,ключ реестра привести к виду

shell="Explorer.exe"

userinit="userinit.exe,"
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#4 sniper

sniper

    Advanced Member

  • Posters
  • 624 Сообщений:

Отправлено 18 Апрель 2011 - 16:24

Для этого баннера нет кода.

Он заменяет системные файлы

А как же опция защищать важные системные файлы?В данной ситуации она бессильна?. ;)
У меня богатый словарный запас, в нем присутствуют слова "оксюморон", "клепсидра", "перст указующий" и даже "ибо".
Но некоторые мысли я никак не могу выразить словами.
Хочется просто взять черенок от лопаты и отдубасить всех.

#5 pig

pig

    Бредогенератор

  • Helpers
  • 10 850 Сообщений:

Отправлено 18 Апрель 2011 - 16:44

В dllcache тоже заменяет.
Почтовый сервер Eserv тоже работает с Dr.Web

#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 18 Апрель 2011 - 16:46

Для этого баннера нет кода.

Он заменяет системные файлы

А как же опция защищать важные системные файлы?В данной ситуации она бессильна?. ;)


Кто сказал?
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых