В сети появилась новая модификация винлока Trojan.Winlock.5310
Скрыто текстовое поле для ввода кода и кнопка.
Текстовое поле на самом деле есть и код разблокировки для него есть, но они скрыты.
Для того,чтобы ввести код-необходимо
1)Щелкнуть мышкой в районе скрытого поля,при этом курсор сменит свой с такого
2)Вводим указаный код и щелкаем немного правее (там скрытая кнопка)
номера для этого винлока и код
79067981365
79091511808
79091614692
79636628464
79670182110
79636614148
79091574574
79091514971
79060970801
79091514971
код: 205985414
код: 9485739234
1)Включить машину, нажать и держать клавишу F8
2)Выбрать Безопасный режим с поддержкой коммандной строки.
для Windows 7
для Windows XP
3)В появившемся черном окне консоли ввести regedit.exe и нажать энтер.
4)В редакторе реестра щелкнуть по папке HKEY_CURRENT_USER
далее по Software
и так весь путь
HKEY_CURRENT_USER==>Software ==> Microsoft ==> Windows NT ==> CurrentVersion ==> Winlogon
5) Щелкнуть правой кнопкой по ключу Shell
6)Выбрать Изменить
7)Выделить в текстовом поле весь путь к файлу, потом щелкнуть правой кнопкой мышки -Копировать.
(запомните весь путь к файлу..или запишите на бумажку вам ведь потом прийдется этот файл найти и удалить)
8)Теперь нажать Отмена
9)Выделить ключ Shell и щелкнуть правой кнопкой мышки -Удалить.
10)Щелкнуть Правка-Найти
11)Вставить, тот путь что у нас скопирован (щелкнуть правой кнопкой мышки-Вставить).
12)Нажать Найти далее.
13)Каждый найденый ключ удаляем
14)Снова щелкаем Правка-Найти далее (найденое удаляем) пока не появится вот такое окошко
15)Закрываем редактор реестра
16)В консоли вводим shutdown -r
И нажимаем энтер. Ждем пока машина перезагрузится.
Нормально загрузиться.
17)Теперь находим этот файл в проводнике и просто удаляем.
Если не можете найти-пишите на почту mrbelyash@yandex.ru удаленно залезу и найду его
Или скачиваем свежий Dr.Web CureIT или Kaspersky Virus Removal Tool и проверяем машину.
Видео как удалить этот винлок вручную
Ключи в реестре
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "c:\documents and settings\Администратор\Рабочий стол\xxx_porno.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell= "C:\Documents and Settings\Администратор\Рабочий стол\xxx_porno.exe"
В некоторых случаях создается ключ еще вот здесь
HKEY_USERS\S-1-5-21-1482476501-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
"Shell"="C:\\Documents and Settings\\Администратор\\Рабочий стол\\xxx_porno.exe"
S-1-5-21-1482476501-602609370-839522115-500- на других машинах может быть разным. Так что лучше воспользоваться поиском.
Скрыто текстовое поле для ввода кода и кнопка.
Текстовое поле на самом деле есть и код разблокировки для него есть, но они скрыты.
Для того,чтобы ввести код-необходимо
1)Щелкнуть мышкой в районе скрытого поля,при этом курсор сменит свой с такого
на вот такой
Это текстовое поле примерно находится вот здесь
номера для этого винлока и код
79067981365
79091511808
79091614692
79636628464
79670182110
79636614148
79091574574
79091514971
79060970801
79091514971
код: 9485739234
Ручное удаление.
1)Включить машину, нажать и держать клавишу F8
2)Выбрать Безопасный режим с поддержкой коммандной строки.
для Windows 7
для Windows XP
3)В появившемся черном окне консоли ввести regedit.exe и нажать энтер.
4)В редакторе реестра щелкнуть по папке HKEY_CURRENT_USER
далее по Software
и так весь путь
HKEY_CURRENT_USER==>Software ==> Microsoft ==> Windows NT ==> CurrentVersion ==> Winlogon
5) Щелкнуть правой кнопкой по ключу Shell
6)Выбрать Изменить
7)Выделить в текстовом поле весь путь к файлу, потом щелкнуть правой кнопкой мышки -Копировать.
(запомните весь путь к файлу..или запишите на бумажку вам ведь потом прийдется этот файл найти и удалить)
8)Теперь нажать Отмена
9)Выделить ключ Shell и щелкнуть правой кнопкой мышки -Удалить.
10)Щелкнуть Правка-Найти
11)Вставить, тот путь что у нас скопирован (щелкнуть правой кнопкой мышки-Вставить).
12)Нажать Найти далее.
13)Каждый найденый ключ удаляем
14)Снова щелкаем Правка-Найти далее (найденое удаляем) пока не появится вот такое окошко
15)Закрываем редактор реестра
16)В консоли вводим shutdown -r
И нажимаем энтер. Ждем пока машина перезагрузится.
Нормально загрузиться.
17)Теперь находим этот файл в проводнике и просто удаляем.
Если не можете найти-пишите на почту mrbelyash@yandex.ru удаленно залезу и найду его
Или скачиваем свежий Dr.Web CureIT или Kaspersky Virus Removal Tool и проверяем машину.
Видео как удалить этот винлок вручную
P.S.
Ключи в реестре
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "c:\documents and settings\Администратор\Рабочий стол\xxx_porno.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell= "C:\Documents and Settings\Администратор\Рабочий стол\xxx_porno.exe"
В некоторых случаях создается ключ еще вот здесь
HKEY_USERS\S-1-5-21-1482476501-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
"Shell"="C:\\Documents and Settings\\Администратор\\Рабочий стол\\xxx_porno.exe"
S-1-5-21-1482476501-602609370-839522115-500- на других машинах может быть разным. Так что лучше воспользоваться поиском.
18 комментариев:
Спасибо...=0)
А нет случайно кода на номер 89137884581 (просит пополнить счет на 1000 руб в течении 12 часов)??? Оч нужно..,помогите,пожалуйста!!!
у новых нет кода разблокировки
Большое спасибо за помощь, все коды по перепробывал не помогло, а в ручную легко убрал, Спасибо респект тебе
сейчас номер 79636343547 (до этого были 79645276375, 79670416991) F8-нажимаю, ничего не происходит, что делать, подскажите пожалуйста
Спасибо! Продолжай в том же духе!!! РЕСПЕКТ!
Красавчик, помог, спасибо!)
А если нет папки shel
Правка-Найти
shell
потом несколько раз нажимать найти далее
Огромная Человеческая Благодарность!
молодчик спс
Спасибо за ваш труд ребята!!!
Спасибо большое, дай Бог тебе здоровья!
спасибо пара минут и комп спасен!!!
В моём случае был ещё файл xxx_porno(1).ru
спасибо это работает!!!
спасибо
Всем привет . для тех у кого не запускается безопасный режим предлогаю самый сельский метод добраться до реестра и провести вышеуказанную процедуру , причём канает она и самых последних версий винлока не имеющих кодов разблокировки . И так - после нажатия кнопки "Полбзователь" начинаем тупо интенсивно нажимать " Ctrl+Alt+Del" теперь когда появилось окно Диспетчер задач , а оно появится ибо скорость загрузки диспетчера превышает скорость загрузки трояна , у вас есть 5-7 сек чтобы выбрать новую задачу "regedit" исразу же появится редактор реестра который нужно перетащить так чтобы его верхний левый угол совпал с верхним левым углом винлока который появится через 1-3 секунды , теперь окно реестра находится поверх окна трояна и даже ограниченный ход стрелки по дисплею не станет помехой для использования функций редактора реестра и вы спокойно можете провести процедуру очистки описанную топикстартером .С уважением
Отправить комментарий