http://rghost.ru/20156591
Это инструкция в виде исполняемого файла,описывающая методику удаления этого баннера вручную.
Эту инстукцию нужно прочитать на другой,не заблокированной машине/оси.
Если кого пугает расширение этого файла(exe), то файл можно проверить на virustotal с помощью 44 антивирусов.
http://www.virustotal.com/file-scan/report...e984-1314900798
Или вот в формате виндовой справки
http://rghost.ru/20156871
Winlocker, похожий на 2741
Автор
антивирус
, авг 30 2011 16:36
-
Тема закрыта
29 ответов в этой теме
#21
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 01 Сентябрь 2011 - 21:21
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#22
kink63
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 02 Сентябрь 2011 - 00:36
[quote name='mrbelyash' date='1/09/2011 22:21' post='542837']
Спасибо за проделанную работу! буду заниматься...
Спасибо за проделанную работу! буду заниматься...
#23
Arcanar
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 05 Сентябрь 2011 - 07:44
Добрый день! Я поймал такую заразу на домашний компьютер, сделал всё по инструкции уважаемого mrbelyash, но это не помогло.
В реестре Winlogon = Explorer.exe, но локер продолжает висеть. Имя файла винлока не знаю.
В общем, нужна помощь.
В реестре Winlogon = Explorer.exe, но локер продолжает висеть. Имя файла винлока не знаю.
В общем, нужна помощь.
#24
Arcanar
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 05 Сентябрь 2011 - 07:55
Простите, перепутал. Shell = Explorer.exe, конечно
#25
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 05 Сентябрь 2011 - 08:14
давайте сюда c:\windows\system32\config\softwareПростите, перепутал. Shell = Explorer.exe, конечно
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#26
Arcanar
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 05 Сентябрь 2011 - 08:20
Прямо сейчас не могу, к сожалению, т.к. торчу на работе, а заражен домашний комп. Вопрос откладывается до вечера.
#27
Arcanar
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 06 Сентябрь 2011 - 06:50
Уважаемый mrbelyash!
Вот архив файла c:\windows\system32\config\software:
http://rghost.ru/20598531
Вчера немного покопался самостоятельно. Нашел, где лежит сам винлок - c:\program files\mozilla firefox\0,7324179293514801.exe
Воспользовался обманом системы, описанным в вашей инструкции - с помощью Midnight Commander удалил файл винлока, подсунул ему explorer.exe
При загрузке баннер пропал, но при попытке в реестре изменить Shell, комп пишет: "Не удается изменить "Shell". Ошибка при записи нового значения параметра".
На этом я застрял
Вот архив файла c:\windows\system32\config\software:
http://rghost.ru/20598531
Вчера немного покопался самостоятельно. Нашел, где лежит сам винлок - c:\program files\mozilla firefox\0,7324179293514801.exe
Воспользовался обманом системы, описанным в вашей инструкции - с помощью Midnight Commander удалил файл винлока, подсунул ему explorer.exe
При загрузке баннер пропал, но при попытке в реестре изменить Shell, комп пишет: "Не удается изменить "Shell". Ошибка при записи нового значения параметра".
На этом я застрял
#28
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 06 Сентябрь 2011 - 08:59
Уважаемый mrbelyash!
Вот архив файла c:\windows\system32\config\software:
http://rghost.ru/20598531
Вчера немного покопался самостоятельно. Нашел, где лежит сам винлок - c:\program files\mozilla firefox\0,7324179293514801.exe
Воспользовался обманом системы, описанным в вашей инструкции - с помощью Midnight Commander удалил файл винлока, подсунул ему explorer.exe
При загрузке баннер пропал, но при попытке в реестре изменить Shell, комп пишет: "Не удается изменить "Shell". Ошибка при записи нового значения параметра".
На этом я застрял
Cейчас исправлю реестр и вы его назад под линуксом положите.
---------
файлики мне пришлите
C:\Program Files\Common Files\Temps\svhost.exe
C:\WINDOWS\system32\uecdob.exe
C:\WINDOWS\system32\ljncajm.dll -маячок что ли
------------
реестр
http://rghost.ru/20602801
Сообщение было изменено mrbelyash: 06 Сентябрь 2011 - 09:26
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#29
Arcanar
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 06 Сентябрь 2011 - 09:25
Опять прямо сейчас не могу - на работе я
#30
Arcanar
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 07 Сентябрь 2011 - 07:03
Уважаемый mrbelyash!
Спасибо огромное за помощь, всё заработало.
Неестественное желание подкинуть денег на пиво © у меня возникло.
Непременно сделаю это в ближайшее время
Файлы
C:\Program Files\Common Files\Temps\svhost.exe
C:\WINDOWS\system32\uecdob.exe
C:\WINDOWS\system32\ljncajm.dll -маячок что ли
я не нашел.
Папка Temps - пустая, в паке system32 таких файлов нет
Спасибо огромное за помощь, всё заработало.
Неестественное желание подкинуть денег на пиво © у меня возникло.
Непременно сделаю это в ближайшее времяФайлы
C:\Program Files\Common Files\Temps\svhost.exe
C:\WINDOWS\system32\uecdob.exe
C:\WINDOWS\system32\ljncajm.dll -маячок что ли
я не нашел.
Папка Temps - пустая, в паке system32 таких файлов нет
