Цена винлока неплохая, целых 2500 рублей.
Но принцип работы как ни странно, прежний... Поглядим.
Да и пофиг, как говорится...
Ближе к делу:
Хранится этот зловред в папке С://Users/"Ваш профиль".
Называется, (по крайней мере у меня он так себя обозвал):
6016240.exe
В реестре прописан в двух местах:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"explorer"="C:\\Users\\john.john-ПК\\6016240.exe"
и
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\\Users\\john.john-ПК\\6016240.exe"
"UIHost"="C:\\Users\\john.john-ПК\\6016240.exe"
"Userinit"="C:\\Users\\john.john-ПК\\6016240.exe"
Ну сразу понятно, что делать:
1. Сам вирус удаляем.
2. В реестре:
- в ветке Run удаляем запись про explorer.
- в ветке Winlogon заменяем в строке Shell вирусную запись на "explorer.exe" (для верности можно указать полный путь)
- в ветке Winlogon заменяем в строке UIHosts вирусную запись на "explorer.exe" (для верности можно указать полный путь)
- в ветке Winlogon заменяем в строке Userinit вирусную запись на "userinit.exe" (для верности можно указать полный путь)
3. Перезагружаемся, получаем нормальную винду.
4. Проверяем систему CureIt от DrWeb.
Касперский опознал данного зверя как Trojan-Ransom.Win32.Gimemo.bdbv
По доктровебовски это - Trojan.Winlock.8004
Комментариев нет:
Отправить комментарий