Еще один вирус просящий 200 wmu
Пригласили меня посмотреть еще на одну разновидность вируса Winlock. Этот вирус также блокировал Windows, причем еще ограничивал доступную область для мышки, также блокировал диспетчер задач, а вместо него появлялись сообщения «Диспетчер задач заблокирован администратором». Посмотрел я на него и подумал: «И тебя вылечим…»
Баннер гласил:
Для разблокировки Windows необходимо оплатить штраф в размере 200 грн!
1) Найдите ближайший терминал оплаты сотовой связи, например iBox
2) Перейдите на вкладку "Електронные деньги" (может отличаться)
3) Перейдите на вкладку "WebMoney", далее вводим номер кошелька U233461097332
4) Внести вышеуказанную сумму и нажать "Оплата"
После оплаты на выданном Вам чеке будет находиться код разблокировки
Код сдледует ввести в расположенном ниже поле
Ваш код
Я загрузился с LiveCDидущий на диске Simplix, зашел в реестр в ветку
<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Shell – там было прописано
"C:\DOCUME~1\9335~1\LOCALS~1\Temp\wpbt0.dll"
Этот файл я нашел и удалил, а вместо прописал «explorer.exe»
Так же надо было включить диспетчер задач, его в реестре находим в ветке
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
в ключе DisableTaskMgr – меняем значение на 1
UPD: 2011-09-30 [на 0, либо удаляем вообще нафиг этот ключ, значение 1 как раз таки блокирует]
И все перезагружаемся и комп нормально включается.
Тот файл перед удалением я правда проверил и по virustotal на 10 сентября 2011 его опознали как вирус 4 из 44, из них DrWeb признал в нем Trojan.Winlock.4089
Что неудивительно на компе был целый букет вирусов. Но eset smart security не все видел.
Помог Dr.WebCureIT прогнав им я и нашел все остальные вирусочки. Из них были Program.RemoteAdmin, Trojan.Click. Win32.HLLW.MyBot.based, Tool.Killproc причем разных модификаций – мораль поддерживайте состояние антивирусных систем в актуальном состоянии.
инфа очень помогла. спасибо!
Спасибо за информацию, очень пригодилась!
а мне непомогло, Ключ Shell ненашел, "C:DOCUME~19335~1LOCALS~1Tempwpbt0.dll" такого файла там нет и вообще неодного файла там нет,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem - раздела системс в разделе полициас тоже нету, что делать в таком случае?
Юрий, то что файла там нет, это полбеды, главное чтобы в ключе Shell - был прописан explorer.exe
Ключ Shell должен быть полюбому.
Попробуйте загрузиться в безопасном режиме с поддержкой командной строки - через F8, (посмотрите здесь: http://ellexdev.com/blog/100) там вызовите команду regedit - и пройдитесь еще раз по ветке
HKEY_LOCALE_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
И будьте внимательны где папка "Windows NT" а где папка "Windows"
Хочу поблагодарить, т.к. здесь описан мой случай. Дело было в локальной сети и реестр я правил удаленно с другого компа.
Спасибо!
не могу вписать explirer.exe, что делать?
В общем я все правильно вписала, но когда перезагружаю комп то у меня опять эта хрень стоит....Windows не разблокировался. Что делать? Помогите!!!
Настя может у вас другая модификация вируса как например здесь: http://ellexdev.com/blog/90
Тогда есть смысл еще проверить нормальность файла userinit.exe