1)здесь такой баннер есть?
http://foto.mail.ru/mail/mrbelyash/WinLock
2)в реестре было прописано путь к винлоку....у вас выход в сеть с livecd есть?
можете винлок залить на любой файлообменник?
Windows заблокирован!microsoft Security обнаружил нарушения использования сети интернет
Автор
Ruslan1
, апр 25 2011 19:32
46 ответов в этой теме
#21
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Апрель 2011 - 16:31
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#22
userr
-
- Members
- 16 310 Сообщений:
Newbie
Отправлено 26 Апрель 2011 - 16:37
сотрите содержимое в ключе SystemСпасибо, разобрался!.
Загрузил куст , назвал его 1, там было такое:
http://s46.radikal.ru/i113/1104/36/5350113cc5c5.jpg
userinit изменил путь на C:\WINDOWS\system32\userinit.exe
Потом опять выделил этот куст 1, Файл - выгрузить куст, оно просило потверждение, нажал ДА.
После перезагрузился, и все равно баннер... (
У Вас вторая флешка есть? когда загрузились с флешки воткните другую, и скиньте туда файлы, которые просят.
в их числе весь куст C:\WINDOWS\system32\config\software
#23
Ruslan1
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 26 Апрель 2011 - 16:39
1)здесь такой баннер есть?
http://foto.mail.ru/mail/mrbelyash/WinLock
2)в реестре было прописано путь к винлоку....у вас выход в сеть с livecd есть?
можете винлок залить на любой файлообменник?
1) Нет такого баннера..
2) а где он именно был прописан ? где он лежит ?
Выход в сеть, сейчас попробую, с ноута я только через Wi-FI сижу...
#24
Ruslan1
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 26 Апрель 2011 - 16:54
сотрите содержимое в ключе SystemСпасибо, разобрался!.
Загрузил куст , назвал его 1, там было такое:
http://s46.radikal.ru/i113/1104/36/5350113cc5c5.jpg
userinit изменил путь на C:\WINDOWS\system32\userinit.exe
Потом опять выделил этот куст 1, Файл - выгрузить куст, оно просило потверждение, нажал ДА.
После перезагрузился, и все равно баннер... (
У Вас вторая флешка есть? когда загрузились с флешки воткните другую, и скиньте туда файлы, которые просят.
в их числе весь куст C:\WINDOWS\system32\config\software
Вот software.sav обычный software тоже кидать.?
http://file3.webfile.ru/5286926/software.s...me=software.sav
#25
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 26 Апрель 2011 - 17:00
Я просто удивляюсь... Вам говорят - выложите куст C:\WINDOWS\system32\config\software. Вы говорите - вот software.sav, а то, что просят, выкладывать или нет...Вот software.sav обычный software тоже кидать.?сотрите содержимое в ключе SystemСпасибо, разобрался!.
Загрузил куст , назвал его 1, там было такое:
http://s46.radikal.ru/i113/1104/36/5350113cc5c5.jpg
userinit изменил путь на C:\WINDOWS\system32\userinit.exe
Потом опять выделил этот куст 1, Файл - выгрузить куст, оно просило потверждение, нажал ДА.
После перезагрузился, и все равно баннер... (
У Вас вторая флешка есть? когда загрузились с флешки воткните другую, и скиньте туда файлы, которые просят.
в их числе весь куст C:\WINDOWS\system32\config\software
http://file3.webfile.ru/5286926/software.s...me=software.sav
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#26
Ruslan1
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 26 Апрель 2011 - 17:07
Я просто удивляюсь... Вам говорят - выложите куст C:\WINDOWS\system32\config\software. Вы говорите - вот software.sav, а то, что просят, выкладывать или нет...Вот software.sav обычный software тоже кидать.?сотрите содержимое в ключе SystemСпасибо, разобрался!.
Загрузил куст , назвал его 1, там было такое:
http://s46.radikal.ru/i113/1104/36/5350113cc5c5.jpg
userinit изменил путь на C:\WINDOWS\system32\userinit.exe
Потом опять выделил этот куст 1, Файл - выгрузить куст, оно просило потверждение, нажал ДА.
После перезагрузился, и все равно баннер... (
У Вас вторая флешка есть? когда загрузились с флешки воткните другую, и скиньте туда файлы, которые просят.
в их числе весь куст C:\WINDOWS\system32\config\software
http://file3.webfile.ru/5286926/software.s...me=software.sav
Куст это как-бы файл? Или в реестре нажать на экспорт и выложить .reg файлом?
Просто я как смотрел то обычный software это мое ПО, а .sav это именно там где microsoft\windowsNT и.т.дд.
Вот выкладываю файл software. Если что не пинайте, чайник в этом деле, но я быстро учусь http://forum.drweb.com/public/style_emoticons/default/smile.png
http://file3.webfile.ru/5286950/software.r...me=software.rar
#27
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Апрель 2011 - 17:15
файлы на бочку
C:\Windows\System32\drivers\System32.exe
C:\WINDOWS\apppatch\ajtuqwz.dat
C:\Windows\System32\drivers\System32.exe
C:\WINDOWS\apppatch\ajtuqwz.dat
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#28
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Апрель 2011 - 17:58
файлы получил
C:\Windows\System32\drivers\System32.exe -эито винлок
прописывается в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"System32 Info Solution"
C:\Windows\System32\drivers\System32.exe -эито винлок
прописывается в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"System32 Info Solution"
Сообщение было изменено mrbelyash: 26 Апрель 2011 - 18:05
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#29
Ruslan1
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 26 Апрель 2011 - 18:02
И что делать? Просто удалить этот файл или как его вылечить ?
#30
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 26 Апрель 2011 - 18:06
И что делать? Просто удалить этот файл или как его вылечить ?
да,файл удалить
и в ключе исправить
userinit="userinit.exe"
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#31
Ruslan1
-
- Posters
- 14 Сообщений:
Newbie
Отправлено 26 Апрель 2011 - 18:17
Во... спасибо всем. Избавился от баннера.
#32
SQiter
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 19 Июнь 2011 - 16:01
Люди добрые, помогите советом или действием. Аналогичный вирус. Все тоже самое. Все симптомы. Делал все так как тут написано. После перезагрузки загружается приветствие и тут же выкидывает обратно в окно с выбором пользователя. Под какой бы учеткой не заходил картина та же. Удалил C:\Windows\System32\drivers\System32.exe после чего Банер пропал, но из системы что-то выбрасывает. Проверил HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run где нашел подозрительный indicdll со значением shellexecute.exe /h run-indicdll.cmd Пофиксил...После перезагрузки снова наблюдаю его в реестре. При загрузке в нормальном режиме аналогичная картина описанная выше(выкидывает к выбору пользователя). [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] проверял, правил userinit, перезагрузка .exe пропадает. Гружусь с LiveCD
#33
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 19 Июнь 2011 - 16:22
Во-во. И пригоните свежей курилкой, если это LiveCD не от DrWeb.Гружусь с LiveCD
#34
SQiter
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 19 Июнь 2011 - 16:23
Народ...разобрался. Не актуально!
#35
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 19 Июнь 2011 - 16:24
SQiter
Если разобрались, расскажите как. А диалог тут с самим собой как-то странно выглядит. Не находите?
Если разобрались, расскажите как. А диалог тут с самим собой как-то странно выглядит. Не находите?
#36
SQiter
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 19 Июнь 2011 - 16:34
SergM извиняюсь... Помог 19 пост. Не доглядел! Подгрузил не рабочий комп, дальше исправил по инструкции...
#37
jackpot
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 28 Июнь 2011 - 12:10
Добрый день.
Знакомый поймал очередного винлока
вот такой
Не подскажете ключик?
Помочь ему удалённо не возможно, ибо человек полный 0
Спасибо.
Знакомый поймал очередного винлока
вот такой
Не подскажете ключик?
Помочь ему удалённо не возможно, ибо человек полный 0
Спасибо.
#38
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 28 Июнь 2011 - 12:17
jackpot
Вы-то сами картинки и коды смотрели? Где?
Вы-то сами картинки и коды смотрели? Где?
#39
jackpot
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 28 Июнь 2011 - 12:39
jackpot
Вы-то сами картинки и коды смотрели? Где?
смотрел тут http://www.drweb.com/unlocker/index
перепробовали почти все коды, не подходят
и у касперского вообще ни одного варианта
#40
SergM
-
- Moderators
- 9 387 Сообщений:
Guru
Отправлено 28 Июнь 2011 - 12:43
http://foto.mail.ru/mail/mrbelyash/WinLock/23.html#
http://forum.drweb.com/index.php?showtopic...iew=getlastpost
Тут ищите
http://forum.drweb.com/index.php?showtopic...iew=getlastpost
Тут ищите
