Автор Тема: Winlock (Прочитано 2500 раз)

D.Samilkin · « : Февраль 10, 2013, 08:52:14 pm »

Ради интереса решил посмотреть как разблокировать компьютер от трояна WinLock. Сейчас просматривал и решения почистить антивирусом, как я раньше делал или найти код разблокировки на официальных сайтах антивирусов. Но это всё долго и потом приходиться восстанавливать после этого запуск рабочего стола.
Поделюсь опытом...Так как вирус блокирует работу компьютера я пользуюсь дискам ERD (http://rutracker.org/forum/viewtopic.php?t=2840100)
Затем загружаешь работу с реестром....
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - параметр Userinit всегда должен быть таким "c:\windows\system32\userinit.exe,". А параметр Shell быть таким"Explorer.exe". Но прошу вас запомнить или даже записать то что написано в параметре Shell так как это адрес вируса.
Затем возвращаемся из редактора реестра и переходим в раздел провадника и по адресу параметра Shell удаляем вирус... перезагружаемся и всё работает!!!

sysadmin · « **Ответ #1 :** Февраль 12, 2013, 11:11:23 pm »

Цитировать

Поделюсь опытом...Так как вирус блокирует работу компьютера я пользуюсь дискам ERD

Здесь возможно имелось в виду загрузка с этого диска и использовании с этого диска редактора реестра?

NasOrda · « **Ответ #2 :** Февраль 13, 2013, 09:09:55 am »

что интересно в безопасном режиме с поддержкой командной строки
может зайти только во второй раз перезапуска,
если же перезагрузка 4-5 то даже это не поможет сразу выходит баннер.

D.Samilkin · « **Ответ #3 :** Февраль 13, 2013, 11:51:35 am »

Цитата: sysadmin от Февраль 12, 2013, 11:11:23 pm

Цитировать
Поделюсь опытом...Так как вирус блокирует работу компьютера я пользуюсь дискам ERD

Здесь возможно имелось в виду загрузка с этого диска и использовании с этого диска редактора реестра?

Да прошу прощения, Ты прав и удаления занимает 5 минут.

D.Samilkin · « **Ответ #4 :** Апрель 05, 2013, 11:22:53 pm »

Сегодня столкнулся с такой проблемой, ноутбук в безопасном режиме запускался, а в обычном вылазил банер, Проверил реестр-все чисто, антивирус Live-cd от dr.web удалял трижды, загружал, все равно банер...
проблема решилась путем ручного удаления подозрительных файлов *.exe по адресу: C:\Users\Admin\AppData\Local\Temp
P.S. Предварительно поставьте параметр отображения скрытых файлов.

CyberPunk 2050 · « **Ответ #5 :** Апрель 07, 2013, 05:29:12 pm »

обычно если не правляется live cd от dr.web тогда справляется live cd от kaspersky...проверено на личном опыте.. а иногда и вообще avz4

sysadmin · « **Ответ #6 :** Апрель 07, 2013, 08:03:55 pm »

Цитата: Aristes от Апрель 07, 2013, 05:29:12 pm

обычно если не правляется live cd от dr.web тогда справляется live cd от kaspersky...проверено на личном опыте.. а иногда и вообще avz4

У кого есть ссылки на загрузочные диски... или утилиты, то прошу эти ссылки разместить здесь (AVZ, CureIT уже там есть)

Наши сайты	Друзья		Партнеры
http://sys-adm.in/	http://sysadmins.ru/	https://hackervision.org/	http://cybersec.kz/
	http://klxn.kz/	http://serj.ws/
	http://w-s.kz/	http://iptest.kz

Новости:

Winlock