Обсуждение рецептов против sms-вымогателя

Кирилл

Команда форума
Администратор
Сообщения
13,687
Реакции
6,072
Баллы
913
ну хотя бы,или в гугле погляди что должно быть.
хотя лучше покажи)))
 

machito

Команда форума
Супер-Модератор
Сообщения
2,144
Реакции
2,059
Баллы
433
Ну вообще там у меня прописка-до писка (127.0.0.1www.iobit.com)
программы Advanced SystemCare 6 ...и блокнотом открыть не могу
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,399
Реакции
8,744
Баллы
743
[info]Здесь ведется обсуждение таких вымогателей, как Винлокер, Winlocker, Lock Screen[/info]
С маячками, Q-хостами и DNS-чейнджерами - добро пожаловать в раздел лечения по всем правилам!!!
 

machito

Команда форума
Супер-Модератор
Сообщения
2,144
Реакции
2,059
Баллы
433
Перенесите мою тему пожалуйста в соответствующий раздел.
 

Кирилл

Команда форума
Администратор
Сообщения
13,687
Реакции
6,072
Баллы
913
пишу в расчете на эту тему
http://safezone.cc/forum/showthread.php?t=3019

Итак,мы заразились баннером.

заразился.jpg

Это разновидность винлокера ,который подменяет в параметрах реестра вместо системной оболочки загрузку своей.

Снимем его легко и быстро.

Перезагружаем компьютер -можно кнопкой на системнике,далее удерживаем клавишу f8 после чего должно появиться меню выбора дополнительных параметров загрузки:

меню консоль.jpg


Мы должны выбрать вариант загрузки с поддержкой командной строки.
Почему?
Потому что система загрузится в консольном режиме без загрузки оболочки и мы сможем удалить вирус.

Сделаем это.
Загрузившись в режиме командной строки мы видим такую картинку:

загрузка в консоли.jpg

Вот теперь убьем винлокер!

Для начала давайте посмотрим куда он прописан в автозагрузку.
Введем команду
Код:
msconfig
и в открывшемся окне выберем вкладку автозагрузка.
Там мы увидим элементы автозагрузки.
В нашем случае подозрение вызывает запись shell.exe.
Внимательно посмотрев место ,откуда запускается фаил и путь в реестре где этот файл прописан вызываем диспетчер задач командой
Код:
taskmgr
В появившемся окне нажимаем файл -новая задача.
Не забываем ставить галочку создать задачу с правами администратора!
И вводим в поле поиска путь к вирусу,который мы посмотрели ранее в окне автозагрузки msconfig.
задача.jpg

Нажимаем ОК и попадаем прямо в папку с вирусом,далее просто удаляем его.
удаляем.jpg

Если не получается удалить -меняем на название вируса на название расширением .тхт (например вирь.тхт) а потом удаляем.
Дальше вызываем редактор реестра командой
Код:
regedit
И переходим в раздел,название которого мы посмотрим так же во вкладке автозагрузка вызвав утилиту msconfig.
В нашем случае это
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
И удаляем все записи автозагрузки вируса.
реестр.jpg

Вот и все!
Вирус убит,все сделали своими руками не имея никаких вспомогательных инструментов.

В следующий раз будем убивать винлок посложнее -mbr.

Наш результат:
итог.jpg

Далее запускаем утилиту очитска диска и удаляем временные файлы,кэш и так далее.
Надеюсь кому нибудь пригодится!
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,687
Реакции
6,072
Баллы
913
Если тема нужна-то надо будет картинки с логотипом перезалить.
 

igorgn

Активный пользователь
Сообщения
52
Реакции
15
Баллы
408
Мне проще с WinPE подгрузиться. Лохотрон древний, а антивирусы продолжают его шляпить. Кто на кого работает?
 
Сверху Снизу