Программа-вымогатель

Здравствуйте! Подскажите, пожалуйста, где можно найти на диске вредоносную программу? Что исправить в реестре? Или дайте подходящую ссылку. Весь день парюсь сегодня
Подробнее:
На компе Windows 7 Professional, 2 пользователя. При попытке зайти как админ (т.е. при щелчке на кнопке во время запуска системы), сразу появляется окно с требованием зачислить на номер +79676717385 сумму в 1000 рублей. Обещают через 12 часов стереть весь диск, а при попытке переустановить систему - пополмку компьютера. Диспетчер задач не запускается.
Имеется еще одна учетная запись, из которой и пишу. В реестре, в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon

прописано

C:\Windows\system32\userinit.exe

параметр

Shell

имеет значение

Explorer.exe

Что можно сделать?

Способы разблокировки компьютера от sms баннеров. Делимся опытом.
Разблокировка компьютера от sms баннеров
Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели)
http://safezone.cc/forum/showt... 3%F1%EA%E0

0

Сообщение от weishenme Имеется еще одна учетная запись, из которой и пишу. В реестре, в разделе

Сообщение от weishenme HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon

не там ищите

если одна учетка работает - какие проблемы погонять штатный антивирус? или cureit&avptool

0

Аналогичная ситуация сегодня же с этим же номером тел. Вымогателя (+79676717385)
На компе две ОС (ХР и 7), заблокировалась ХР.
На второй о/с проверка тремя антивирусами зараженного диска ничего не дала. Штатные антивирусы с этим не справляются (Каспер +DrWeb+NOD32).
Если при заблокированной О/С, тоскливо глядя на баннер-вымогатель нажать три кл. CTRL+ALT+DEL, то появится мелькающее окно Диспетчера задач, если присмотреться, то через мельтешение можно увидеть, что работает приложение ZERO 1, именно оно и блокирует Windows. Раньше, в таких ситуациях, когда были две одинаковые о/с ХР, я заходил в рабочую, в поиске, с опцией показа скрытых файлов, находил это Приложение и удалял. Но сегодня это не сработало, не находится ZERO 1.
Прежде чем воспользоваться Программами -разблокировщиками, которые загружаются с CD или USB, попробовал решить этот вопрос по-крестьянски и все получилось.
В рабочей О/С 7 включил поиск файлов по дате , СОЗДАННЫХ СЕГОДНЯ на зараженном диске в папках Windows и Documents and Settings, с опцией " Показывать скрытые файлы" и убранной "галочкой" "Скрывать защищенные системные файлы". В появившемся списке файлов мне не понравились два-
1- .Lock
2- ms.exe (в папке Documents and Settings) у этого файла значок- черный прямоугольник с со светлым прямоугольником внутри.
Я удалил оба эти файла, при перезагрузке блокировка пропала и Windows загрузился нормально. Насколько поврежден реестр не знаю, но все работает.

p.s. Если войти во вторую учетную запись, все должно получиться, как у меня, но рекомендую иметь на ПК две О/С на разных дисках.

0

Мне удалось найти файл с квадратиком, но другим путем (и назывался он по-другому: какие-то цифры).

Начал шерстить реестр, руководствуясь списком, который запостил Sanya, и наткнулся на параметр HotKeysCmds со значением C:\Windows\system32\hkcmd.exe

Загуглил и прочитал интересную инфу (http://www.filecheck.ru/process/hkcmd.exe.html)

... Важно: Некоторые вредоносные программы маскируют себя как hkcmd.exe, особенно, если они находятся в каталоге c:\windows или c:\windows\system32. Таким образом, проверьте действительно ли процесс hkcmd.exe на вашем компьютере является программой-вредителем. Мы рекомендуем Security Task Manager для проверки надежности вашего компьютера.

(То же самое касается и кое-каких других файлов, хотя, не знаю, нужно ли их в действительности удалять).

Но удалить файл hkcmd.exe я все равно не смог, т.к. удаление файлов системного диска из этой учетной записи невозможно. Тогда попробовал, интереса ради, скачать Security Task Manager, запустил в пробном режиме и в списке процессов увидел этот черный квадратик. Антивирус Avast тут же выдал сообщение о вирусной угрозе.

Файл я изничтожил, перезагрузился и проблема разрешилась.

До этого сканировал с помощью Avast, AVG и Dr.Web CureIt (AVP Tool не установился), но этой угрозы они не нашли.

Спасибо всем!