НиочЁмки

Если кабелек ноутбучику  воткнуть в дырочку - сеточка появиться?

Попалься мне ну очень вусный, очень свежий вирус винлокер.

К сожалению не успел сфотать экран . Очень уж интересна борьба оказалась. Но что то подобное вот этому.

Только не МТС, а Билайн.

Вирусяка:

Изменяет в реестре значения:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Модифицирует системные файлы:

C:\WINDOWS\system32\dllcache\taskmgr.exe

C:\WINDOWS\system32\dllcache\userinit.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\userinit.exe

Наши действия:

Загружаемся с Alkid Live CD (всяческие Яндексы и Гуглы вам помогут его найти и скачать)

Отчищаем папки C:\Documents and Settings\ВАШ USER\Local Settings\Temp и C:\Documents and Settings\ВАШ USER\Local Settings\Temporary Internet Files – кроме того на всякий случай почистить бы эти папки вообще у всех пользователей.

Так же у всех пользователй проверяем рабочие столы - удаляем все лишнеи exe файлы. Называтсья могут. Как угодно. В моем случае какие лишнеи exe не знал так как комп tн мой - потму просто переименовал единственный неизвестный мне exe файл.

Грохаем C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Бежим и удаляем:

C:\WINDOWS\system32\dllcache\taskmgr.exe

C:\WINDOWS\system32\dllcache\userinit.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\userinit.exe

Берем с рабочего компа с Win Xp sp2 или sp3 – рабочие файлик - C:\WINDOWS\system32\taskmgr.exe

Вставляем с нашей флешки taskmgr.exe обратно в обед директории

Находим в C:\WINDOWS\system32\ что то типа 03014D3F.exe – ВНИМАНИЕ МОЖЕТ НАЗЫВАТЬСЯ ПО ДРУГОМУ НО ТАКОЙ ЖЕ БССМЫСЛЕННЫЙ НАБОР ЦЫФР И БУКВ – переименовываем его в userinit.exe. И копируем в C:\WINDOWS\system32\dllcache\

Перезагружаемся и видим голый рабочий стол. Плачем (((((

Берем себя в руки – нажимаем конрол – альт – делейт - выбираем диспетчер задач

Файл –> выполнить -> набираем regedit

Бежим по пути HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - там нахродим параметр shell – меняем его на explorer.exe

Перезагружаемся – и радостно хлопаем в ладоши.

Дальнейшие действия таковы – ставим Касперского – пробную версию с самыми новыми базами и шерстим всю винду по полной. Желательно еще бы Dr.Web CureIt! прогнать.

Счастье мужчины - я хочу, счастье женщины - он хочет.