Автор Ђестер Тестерский задал вопрос в разделе Программное обеспечение
вирус: 121745, Москва , Кириловка, д.17, +4 495-338-85-85 и получил лучший ответ
Ответ от Павел Брязгин[новичек]
ссылка
Вирус-троян, Trojan.Ransomlock.C
ТЕХНИЧЕСКИЕ ДЕТАЛИ:
- когда запускается, копирует себя в "%Windir%ctfmon.exe"
- ставит флаги "Read-only, Hidden, System" на след. файлы:
* C:WINDOWSexplorer.exe
* C:WINDOWS
egedit.exe
* C:WINDOWSsystem32cmd.exe
* C:WINDOWSsystem32 askmgr.exe
- удаляет из реестра записи для нормальной загрузки в safe-моде:
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerDesktopSafeMode
* HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
* HKEY_LOCAL_MACHINESYSTEMControlSet003ControlSafeBoot
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
- завершает и блокирует запуск процессов:
* ANVIR.EXE
* REGEDIT.EXE
* REGEDT32.EXE
* MSCONFIG.EXE
* EXPLORER.EXE
* TEXPL.EXE
* TASKMGR.EXE
ВРЕМЕННОЕ РЕШЕНИЕ : просто введите 13616. Этот пароль глубоко зарыт в коде вируса.
Это позволит скачать/обновить/активировать антивирус, вылечить Ваш компьютер.
Источник: securitylab.ru