Всем спасибо за участие!
Щас будем ловить.

вот 20 минут назад вылечил клиента. Просит отправить 400 рублей через терминал, на чеке типа код.

Получил к диску доступ благодаря лайвсд дрвеб. Скан не делал - ибо знаю что бесполезно обычно, да и старый образ (не профильное занятие). Долго ползал по винде, почистил основательно D&S, темпы и прочую лажу. Не помогло. СЛучайно заметил файл win\system32\drivers\system32.exe. Очевидно локер и есть, как я подумал и нажал delete. Наконец то винда изменилась при логоне, только теперь я вижу пустой экран без ничего, и точно также недоступны никакие биллгейтские комбинации.

взял AVZ, скопировал в drivers, avz.exe переименовал в system32.exe, вуаля - при загрузке чистое окно AVZ. Ну и ясен палтус - восстановление системы, разблокировка диспетчера, комбинаций, и пр, и после нажатия "починить" стал доступен КОнтрол шифт ескейп и да здравствует explorer.exe. Но авз (старый) не починил юзеринит, поэтому эксплорер сам все равно не грузился, пришлось поправить
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Userinit на "C:\WINDOWS\system32\userinit.exe," (стоял, как понятно, ...\system32\drivers\system32.exe, коим образом и был легко найден не вдаваясь в принцип работы венды, и подсматриванием правильного ключа на рабочем компе)

в общем опять задушил империалистскую гидру голыми руками (не считая лайвсд линух (не обязательно дрвеб, но получилось что им)

_________________
Citroen C4 II '12 VTi+AL4
ШН '05 1.7-GT17, 1.6-16V TD05-16g (продал)
ШН '04 stock (продал)

Понравилось решение, я ещё так не пробовал.
Поподробней можно. Подключался через RDP?

_________________
Владелец ШНГ (12 лет), теперь на Toyota Probox 2015, 4WD

Trpek, нет, по netbios, типа \\ip\c$. Но надо чтобы стоял как минимум не пустой пароль на админские учетки и доступ по netbios. Рдп на активном вирусе смысла не имеет - баннер всегда и там тоже висит. Зато можно после очистки вируса при настройке сеанса рдп указать что запускать при логоне - туже авз можно принудительно выбрать, если она на нем есть

_________________
Citroen C4 II '12 VTi+AL4
ШН '05 1.7-GT17, 1.6-16V TD05-16g (продал)
ШН '04 stock (продал)

Понял.Во-о-от Не спасёт. Практически все винлокеры убивают любые программы при запуске.

_________________
Владелец ШНГ (12 лет), теперь на Toyota Probox 2015, 4WD

Trpek, убивают, если вирус активен. А если вирус вычищен, то эффект "ничего не стартует", но запуск авз через настройку РДП прокатывает..

_________________
Citroen C4 II '12 VTi+AL4
ШН '05 1.7-GT17, 1.6-16V TD05-16g (продал)
ШН '04 stock (продал)

Ну тогда его запуск не актуален

_________________
Владелец ШНГ (12 лет), теперь на Toyota Probox 2015, 4WD

Знакомый подцепил винлокер. Я удалил сегодня это паскудство с его машины, голыми руками, можно сказать, задушил. За компанию нашел еще три вируса. Тоже задушил :

Забавно, но купленный за вполне реальное бабло NOD32 не обращал внимания на эти файлы, а на официальных антивирусных сайтах не было никаких рекомендаций по лечению, хотя на virustotal файлы определились как зараженные. Чудеса, да и только. Единственное, что приходит в голову, так это то, что антивирусные компании в доле с этими обнаглевшими мошенниками.

хорошо, как запустить что-либо если ни одна комбинация клавиш не работает, и эксплорер тоже не запускается ни в безопасном ни в обычном режиме. БартПЕ с компакта +редактор реестра - единственное что на ум приходит. Но например не всякий барт запустится на всяких компах.

_________________
Citroen C4 II '12 VTi+AL4
ШН '05 1.7-GT17, 1.6-16V TD05-16g (продал)
ШН '04 stock (продал)

http://www.youtube.com/watch?v=kI5Yz6zynvg