#0
by manyak
узер поймал винлок, вирус требует пополнения счета. стандартным способом что то не убивается: загрузился с лайв сиди загрузил куст реестра Software [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "Shell"="explorer.exe" "Userinit"="C:\Windows\system32\userinit.exe," в параметре Shell был другой путь к файлу с вирусом, поменял на правильное значение, сделал выгрузку куста. файл exe с вирусом удалил перегрузился - вирус остался. гружусь опять с лайв сиди - в shell опять тот экзешник кто в теме - как свежие модификации винлока лечить? подскажите
#3
by cdiamond
грузимся в safe mode, чистим каталоги temp в профайле и системном тоже. В 99% помогает.
#7
by vladko
давече, неделю назад у приятеля с таким вирусом бодался. Он userinit.exe ещё заражает, точнее его подменяет. Восстановление системы было у него отключено. Когда удалил тела вирусные и userinit.exe оригинальный обратно подсунул, explorer.exe не запускался, а если вручную было его запустить через диспетчер, то эффекта не было. Пришлось операционку переустановить. А CureIT просто удалял userinit.exe, пытаясь его вылечить с liveCD. После этого вход в систему переставал воообще работать без userinit.exe.
#11
by andrewks
[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] [HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] [HKLMSoftwareMicrosoftWindowsCurrentVersionRun] [HKCUSoftwareMicrosoftWindowsCurrentVersionRun] проверь здесь ещё. или грузанись с ERD или другого лайв-цд и прогони куритом
#12
by Черт
меняй userinit.exe с другого компа, на рабочем столе есть файл типа test.exe, его убить в директории system32 есть файл с набором цифирь.exe это родной userinit, но он может быть попорчен вирусом
#14
by Черт
+ еще посмотри размер taskmgr.exe, если меньше 132 кб, гдето 25 кб, то его вирус тоже поменял, меняй с рабочего компа
#17
by manyak
идем сначала в c:windows убиваем explorer.exe заливаем с чистой не зараженной машины explorer.exe потом идем в c:windowssystem32 убиваем userinit.exe, taskman.exe и taskmgr.exe заливаем сюда же вместо них чистые файлы с читой системы. да и еще ищем в all users в application data K0gvL0gwL1h.exe И 22CC6C32.exe и убиваем нафиг. если нет удаленного доступа берем WinPE , перед этим с чистой целовой системы берем файлы userinit.exe explorer.exe taskman.exe taskmgr.exe на флеху например грузимся в WInPE, удаляем из зараженной системы вышеуказанные файлы, вместо них помещаем чистые с флехи. ищем K0gvL0gwL1h.exe И 22CC6C32.exe и удаляем запускаем regedit и идем в HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon смотрим Userinit и Shell Userinit должен быть C:WINDOWSsystem32userinit.exe, Shell Explorer.exe ребут и все должно быть ОК.
#18
by stix2010
на форуме касперского есть ссылка на winpe со спецпрогой, которая исправляет эту фигню, восстанавливает системные файлы
#19
by Черт
поищи по форуму наши баталии с абрахамсом, там все это есть explorer.exe можно не менять, хотя может уже модифицировали этот вирус
#21
by KRV
я реально только у одного ч_м_удака видел винлокер - но он не мой клиент и сидел админом без антивирусника.. что я делаю не так? (пысы: мои не болеют)
#22
by sanja26
DrWeb CureIt - у меня все очистил Сначала в безопасном режиме msconfig и убрать все из автозагрузки
#23
by Luhtas
Только сегодня убирал, этот вирус подменяет или заражает userinin.exe, а так же прячется во многих местах, например system32/* и Documents and setting/Aplication Data Убрать вряд ли сможешь ручками. Я делал так Касперский рескю диск 10, далее настраиваешь сетевой адаптер и если нужно прокси, потом качаешь обновы, далее сканируешь комп, потом Каспер все удалит, включая и зараженный userinin.exe Тебе придется его с другой машины перенести в system32 и потом в реесте настроить Shell Удачи!
Тэги: Админ
Ответить:
Комментарии доступны только авторизированным пользователям
Похожие вопросы 1С
В этой группе 1С
- На что влияет базовая единица в карточке товара?
- Не открывается конфигуратор именно в серверном режиме
- Возможен ли переход с комплексной 7.70.505 на БП 2.0???
- Сериализация ОписаниеТипов
- Отчет: Регистратор, Субконто1, Субконто 2
- БП 2.0 Расчеты по страховым взносам
- УПП. Документ прочие затраты.
- Упала производительность базы после конвертации с sql 2008 на 2005
- Действие не может выполняться в режиме загрузки данных - РИБ
- Количество знаков после запятой в СКД
- Табель! не ставятся праздничные дни в табеле если человек работал в этот день
- Почтовый ящик, с именем из кириллицы
- Обмен УТ-БП, док. Корректировка серий и характеристик товаров
- Критическая ошибка СУБД
- Как программно изменить "Использовать всегда" реквизита формы 8.2
- Вывести список в УФ
- v8: УТ11 АналитикаУчетаПоПартнерам - что за объект?
- Как задать период в запросе?
- периодичность в 1с 8
- ПД-4 в mxl