Размещено 01.08.2011 21:55:11
скрипт должен сработать в том случае, если вы использовали загрузочный диск winPE&uVS (userinit.exe при этом должен автоматически восстановиться из библиотеки STORE)
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Заблокирован доступ к рабочему столу Windows
Спасибо огромнейшее)))Размещено 01.08.2011 22:15:59
хорошо. 
.
архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
.архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
Размещено 30.11.2011 00:09:37
О великий Santy, спасай плиз 
опять беда приключилась
Дикий юзверь дорвался до интернета результат его деятельности прикрепляю
опять беда приключилась
Дикий юзверь дорвался до интернета результат его деятельности прикрепляю
Размещено 30.11.2011 06:30:08
haroshii,
выполните в uVS скрипт из приложенного файла.
перезагрузка,
пишем результат
выполните в uVS скрипт из приложенного файла.
перезагрузка,
пишем результат
Изменено: santy - 30.11.2011 06:30:41
Размещено 30.11.2011 08:54:12
Большое спасибо, помогло, комп запустился, никакой гадости на экране не наблюдаю
Вчера сидел ковырял интернет форумы в поисках тем по удалению подобных винлокеров. Вычитал простой какой то способ удаления этой гадости:
загрузился с uVS, открыл редактор реестра, нашёл некоторые нестыковки, т.е не стандартный Explorer.exe запускался а вирусняк
не стал ничего менять, решил дождаться скрипта, т.к как понимаю что скрипт делает гораздо больше.
Вопрос:
помог бы описанный выше способ в моём случае? и вообще этот способ универсальный или нет? т.е можно ли его применять на другом залоченом компьютере?
просто хотелось бы раз и навсегда освоить механизм удаления похожей пакости и делать это самостоятельно
Вчера сидел ковырял интернет форумы в поисках тем по удалению подобных винлокеров. Вычитал простой какой то способ удаления этой гадости:
| Цитата |
|---|
| Редактируем системный реестр Windows. Запускаем Start > Administrative Tools > Registry Editor: изменить параметр Userinit (REG_SZ), который находится [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], на значение C:\WINDOWS\system32\userinit.exe изменить параметр Shell (REG_SZ), который находится там же, на значение Explorer.exe |
не стал ничего менять, решил дождаться скрипта, т.к как понимаю что скрипт делает гораздо больше.
Вопрос:
помог бы описанный выше способ в моём случае? и вообще этот способ универсальный или нет? т.е можно ли его применять на другом залоченом компьютере?
просто хотелось бы раз и навсегда освоить механизм удаления похожей пакости и делать это самостоятельно
Размещено 30.11.2011 09:04:47
в вашем случае было три зараженных файла:
1. %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
этот файл стартовал через shell
2. зараженный userinit.exe (копия винлок)
3. зараженный диспетчер задач TASKMGR.EXE (копия винлок),
-------
просто замена в реестре параметра shell ничего бы не дала,
потому что стартует зараженный userinit,
в данном случае надо было заменить эти два системных файла: userinit.exe и taskmgr.exe (еще и в dllcache),
подходящими для данной системы,
и убрать из shell ссылку на 22CC6C32.EXE, оставить только explorer.exe
-----
тогда помогло бы.
1. %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
этот файл стартовал через shell
| Цитата |
|---|
| Полное имя D:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE Ссылки на объект Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Shell D:\Documents and Settings\All Users\Application Data\22CC6C32.exe |
3. зараженный диспетчер задач TASKMGR.EXE (копия винлок),
-------
просто замена в реестре параметра shell ничего бы не дала,
потому что стартует зараженный userinit,
в данном случае надо было заменить эти два системных файла: userinit.exe и taskmgr.exe (еще и в dllcache),
подходящими для данной системы,
и убрать из shell ссылку на 22CC6C32.EXE, оставить только explorer.exe
-----
тогда помогло бы.
Размещено 30.11.2011 09:10:16
| Цитата |
|---|
| haroshii пишет: Вопрос: помог бы описанный выше способ в моём случае? и вообще этот способ универсальный или нет? т.е можно ли его применять на другом залоченом компьютере? просто хотелось бы раз и навсегда освоить механизм удаления похожей пакости и делать это самостоятельно |
вариант с 22CC6C32.EXE не единственный,
есть и другие,
можно посмотреть специализированный форум по винлокам.
-----
чтобы освоить самостоятельно лечение Винлок, лучше разобраться с работой UVS и его возможностями при запуске Live.CD.
Размещено 30.11.2011 09:14:56
Спасибо за объяснение, я так понимаю эти мошенники постоянно дорабатывают механизм работы локеров.
Размещено 17.12.2011 15:58:05
дОБРЫЙ ДЕНЬ! У меня такая же история....Высветился этот синий квадрат с надписью "Компьютер заблокирован и прочее..." Но я ПОЛНЫЙ чайник!!!!! Что мне делать? Если можно по пунктам... Помогите!!!!! Есть еще нетбук..
Читают тему