помогите убить вирус winlock #553138

узер поймал винлок,  вирус требует пополнения счета. стандартным способом что то не убивается: загрузился с лайв сиди загрузил куст реестра Software [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "Shell"="explorer.exe" "Userinit"="C:\Windows\system32\userinit.exe," в параметре Shell был другой путь к файлу с вирусом, поменял на правильное значение, сделал выгрузку куста. файл exe с вирусом удалил перегрузился - вирус остался. гружусь опять с лайв сиди - в shell опять тот экзешник кто в теме - как свежие модификации винлока лечить? подскажите

drweb usb live

прогони поиск по всему жесткому файла с вирусом и удали

грузимся в safe mode, чистим каталоги temp в профайле и системном тоже. В 99% помогает.

если поможет:

+3 темпорари интернет филес тоже, если они отдельно лежат

+4 виноват, это совсем не то..

давече, неделю назад у приятеля с таким вирусом бодался. Он userinit.exe ещё заражает, точнее его подменяет. Восстановление системы было у него отключено. Когда удалил тела вирусные и userinit.exe оригинальный обратно подсунул, explorer.exe не запускался, а если вручную было его запустить через диспетчер, то эффекта не было. Пришлось операционку переустановить. А CureIT просто удалял userinit.exe, пытаясь его вылечить с liveCD. После этого вход в систему переставал воообще работать без userinit.exe.

блондинка подскозала удалить все файлы созданные за сегодня если вирус попал сегодня

и вот еще.. не мой совет: юзеру работать НЕ под админом.

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] [HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] проверь здесь ещё. или грузанись с ERD или другого лайв-цд и прогони куритом

меняй userinit.exe с другого компа, на рабочем столе есть файл типа test.exe, его убить в директории system32 есть файл с набором цифирь.exe это родной userinit, но он может быть попорчен вирусом

+ и удали сам вирус, путь которого в Shell

+ еще посмотри размер taskmgr.exe, если меньше 132 кб, гдето 25 кб, то его вирус тоже поменял, меняй с рабочего компа

ты был прав

заменил всю пачку: userinit.exe explorer.exe taskman.exe taskmgr.exe с рабочего компа

идем сначала в c:windows убиваем explorer.exe заливаем с чистой не зараженной машины explorer.exe потом идем в c:windowssystem32 убиваем userinit.exe, taskman.exe и taskmgr.exe заливаем сюда же вместо них чистые файлы с читой системы. да и еще ищем в all users в application data K0gvL0gwL1h.exe И 22CC6C32.exe и убиваем нафиг. если нет удаленного доступа берем WinPE , перед этим с чистой целовой системы берем файлы userinit.exe explorer.exe taskman.exe taskmgr.exe на флеху например грузимся в WInPE, удаляем из зараженной системы вышеуказанные файлы, вместо них помещаем чистые с флехи. ищем K0gvL0gwL1h.exe И 22CC6C32.exe и удаляем запускаем regedit и идем в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon смотрим Userinit и Shell Userinit должен быть C:WINDOWSsystem32userinit.exe, Shell Explorer.exe ребут и все должно быть ОК.

на форуме касперского есть ссылка на winpe со спецпрогой, которая исправляет эту фигню, восстанавливает системные файлы

поищи по форуму наши баталии с абрахамсом, там все это есть explorer.exe можно не менять, хотя может уже модифицировали этот вирус

обещали новый выслать, говорят в нем мыша далее окантовки окна не ходит, ожидаю

я реально только у одного ч_м_удака видел винлокер - но он не мой клиент и сидел админом без антивирусника.. что я делаю не так? (пысы: мои не болеют)

DrWeb CureIt - у меня все очистил Сначала в безопасном режиме msconfig и убрать все из автозагрузки

Только сегодня убирал, этот вирус подменяет или заражает userinin.exe, а так же прячется во многих местах, например system32/* и Documents and setting/Aplication Data Убрать вряд ли сможешь ручками. Я делал так Касперский рескю диск 10, далее настраиваешь сетевой адаптер и если нужно прокси, потом качаешь обновы, далее сканируешь комп, потом Каспер все удалит, включая и зараженный userinin.exe Тебе придется его с другой машины перенести в system32 и потом в реесте  настроить Shell Удачи!