НиочЁмки

Если кабелек ноутбучику  воткнуть в дырочку — сеточка появиться?

Попалься мне ну очень вусный, очень свежий вирус винлокер.

К сожалению не успел сфотать экран . Очень уж интересна борьба оказалась. Но что то подобное вот этому.

Только не МТС, а Билайн.

Вирусяка:

Изменяет в реестре значения:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Модифицирует системные файлы:

C:\WINDOWS\system32\dllcache\taskmgr.exe

C:\WINDOWS\system32\dllcache\userinit.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\userinit.exe

Наши действия:

Загружаемся с Alkid Live CD (всяческие Яндексы и Гуглы вам помогут его найти и скачать)

Отчищаем папки C:\Documents and Settings\ВАШ USER\Local Settings\Temp и C:\Documents and Settings\ВАШ USER\Local Settings\Temporary Internet Files – кроме того на всякий случай почистить бы эти папки вообще у всех пользователей.

Так же у всех пользователй проверяем рабочие столы — удаляем все лишнеи exe файлы. Называтсья могут. Как угодно. В моем случае какие лишнеи exe не знал так как комп tн мой — потму просто переименовал единственный неизвестный мне exe файл.

Грохаем C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Бежим и удаляем:

C:\WINDOWS\system32\dllcache\taskmgr.exe

C:\WINDOWS\system32\dllcache\userinit.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\userinit.exe

Берем с рабочего компа с Win Xp sp2 или sp3 – рабочие файлик — C:\WINDOWS\system32\taskmgr.exe

Вставляем с нашей флешки taskmgr.exe обратно в обед директории

Находим в C:\WINDOWS\system32\ что то типа 03014D3F.exe – ВНИМАНИЕ МОЖЕТ НАЗЫВАТЬСЯ ПО ДРУГОМУ НО ТАКОЙ ЖЕ БССМЫСЛЕННЫЙ НАБОР ЦЫФР И БУКВ – переименовываем его в userinit.exe. И копируем в C:\WINDOWS\system32\dllcache\

Перезагружаемся и видим голый рабочий стол. Плачем (((((

Берем себя в руки – нажимаем конрол – альт – делейт — выбираем диспетчер задач

Файл –> выполнить -> набираем regedit

Бежим по пути HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ — там нахродим параметр shell – меняем его на explorer.exe

Перезагружаемся – и радостно хлопаем в ладоши.

Дальнейшие действия таковы – ставим Касперского – пробную версию с самыми новыми базами и шерстим всю винду по полной. Желательно еще бы Dr.Web CureIt! прогнать.

Счастье мужчины — я хочу, счастье женщины — он хочет.