СМС-вымогательство!
Всем привет!
Произошла значит такая ситуация, мой батя где то подцепил вредоносную программу, которая блокирует вход в систему.
Мол отправьте СМС на указанный номер и т.д. Горячие клавиши и безопасный режим не спасает...
Система Vista SP2 + MSE
Загрузился с WinPE, прошелся KAV(ом) и DrWeb(ом) результат ноль
Так вот вопрос, в каких файлах хранится автозагрузка, службы и т.д. то есть чего можно удалить такого?)
PAV2, запустите из под WinPE/WinRE,
arseny1992, ничего не выйдет, Autoruns работает только с реестром загруженной в данный момент системы. Другое дело можно подключить куст реестра, загрузившись в WinPE и ручками его поковырять...
подключить куст реестра
Можно по подробней?!
Был у меня такой случай. Спасло то, что на компе было 2 ОСи - ХР и 7-ка. ХР поймала эту хрень. Из под семерки KAVом просканировал диск с ХР, удалил вирусы и вуаля - ХР заработала.
PAV2,
Библиотека MSDN писал:Правка реестра целевого устройства
1. Загрузите среду предустановки Windows.
2. В командной строке введите команду regedit.
3. Щелкните узел HKEY_LOCAL_MACHINE
4. В меню Файл выберите команду Загрузить куст. Могут появиться несколько окон с сообщениями о том, что не удалось найти папку или что расположение недоступно. Пропустите эти сообщения, нажав кнопку ОК при их появлении. Появится диалоговое окно Загрузить куст.
5. В поле Тип файлов выберите Все файлы.
6. Перейдите в место расположения реестра на целевом устройстве. Например, если образ расположен на диске C, перейдите в папку C:\WINDOWS\system32\config.
7. В папке config выделите куст, который необходимо изменить, и нажмите кнопку ОК.
8. В диалоговом окне Загрузить куст введите имя раздела. Например, TEST_DEVICE. Чтобы загрузить дополнительные кусты, повторите предыдущую последовательность действий.
9. Выберите раздел HKEY_LOCAL_MACHINE, затем выберите созданный новый раздел реестра.
10. Просмотрите или внесите изменения в разделы реестра.
11. После завершения правки разделов реестра выберите раздел HKEY_LOCAL_MACHINE, затем в меню Файл выберите команду Выгрузить куст.
slef, повезло, но на этом компе нету вирусов =(
Это Trojan. Winlock .
Есть способы разблокировки
Всё получилось, огромное спасибо!
DrWeb просто молодцы, что подняли такой хороший сервис!
Конкретный пример. Сегодня очередной пациент принёс винт на лечение. Владелец лазил в тырнете, выключил комп, а на следующий день при запуске системы появлялось окно с требованием отправить смс для разблокировки. Всё просто. Подключаем винт больного, сканируем его с помощью MSE и CureIt!, после зачистки вирусов подгружаем куст реестра SOFTWARE и по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
смотрим значение строкового параметра Shell. Вместо дефолтного значения explorer.exe все трояны-вымогатели прописывают туда путь к исполняемому файлу заставки с требованием отравить смс. Вот примерно так:
Вуаля, меняем обратно на explorer.exe, выгружаем куст и срубаем бабло на пиво получаем деньги за устранение проблемы.
Очередной пример, на этот раз немного другой. Клиент попросил переустановить ОС, причину я не спросил. Когда приехал, оказалось, что у него порно-баннер не даёт загрузить рабочий стол. Я предложил не торопиться переустанавливать ОС, а просто удалить этот баннер. С собой было всего 2 диска: вин ХР и вин 7. Загрузившись с диска вин7 дождался появления окна установки, нажал Shift+F10 для вызова окна консоли и командой regedit запустил редактор реестра. В нём загрузил куст SOFTWARE из больной ОС (XP SP3) и в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нашёл изменённый вирусом параметр Userinit:
К строке по умолчанию (C:\Windows\system32\userinit.exe,) вирус дописал ещё C:\Windows\system32\usrinit.exe. То есть, путь к своему телу. Лишнюю строку я удалил, куст выгрузил, перезагрузил комп и он теперь нормально загрузился. Антивирус Avast никак не отреагировал на на файл usrinit.exe в системной папке. Поэтому я его переместил себе на флешку интереса ради . Дома как только открыл флешку MSE сразу же заругался на троян
Johny-electric
Занятная история. Очередной плюс в копилку MSE
Лаборатория Касперского» для борьбы с СМС-блокерами разработала бесплатную мобильную версию сервиса по подбору кода разблокировки компьютера.
Программы-блокеры парализуют работу системы: чтобы убрать баннер с Рабочего стола и разблокировать Windows, необходимо отправить на короткий номер СМС-сообщение по дорогому тарифу. Однако, даже выполнив это условие, в 80 процентах случаев обманутые пользователи оказываются ни с чем. В начале года «Лаборатория Касперского» запустила на своем сайте сервис, который помогает получить необходимый код для восстановления работы компьютера. О востребованности данной услуги свидетельствует тот факт, что за прошедший период на сайте было зарегистрировано свыше 10 млн посещений. Теперь же воспользоваться этим сервисом стало проще — получить код разблокировки можно с любого мобильного устройства, имеющего доступ в Интернет. Для этого нужно пройти по ссылке
cybercop, да, это хорошо, если троян-вымогатель такого типа (отправь смс блаблабла и получишь в ответ код разблокировки), но если троян как в моём случае, тут эти службы не помогут. Тут вымогатель требует пополнить счёт указанного номера телефона через терминал оплаты и на распечатанном чеке якобы будет указан код разблокировки. Это вообще что-то) А про смс так и у Dr.Web есть
безусловно. Более того, я сейчас всем знакомым говорю одно и то же. Делайте резервные копии! И не морочьте голову! А в случае чего - восстанавливайтесь