Очередной банер-вымогатель

-ЗЛОЙ- · 10 Янв 2012

Очередной банер-вымогатель

Несколько раз уже удалял этих "тварей" но в этот раз не получается.
Описание:
при загрузке ХР выдает банер (см фото) и просит денег на веб-кошелек. Ничего сделать нельзя, только включить экранную клавиатуру, но от нее толку нет.
После неудачных танцев с бубном нашел статью
Загрузился в безопаске, запустил Dr.Web CureIt! - он ничего не нашел.
Полазил по реестру - подозрительного тоже ничего не нашел.
Запустил TDSSKiller - он нашел подозрительный файл в разделе ../sys32/drivers/*.sys и... скопировал его для карантина. После перезагрузки TDSSKiller понятное дело не запустился и файл этот не проверил...
Генераторы ключей на сайте каспера и веба ничего не генерируют...
винт лень снимать + спортивный интерес

Артём · 11 Янв 2012

Какой номер кошелька на фото? Не видно.

-ЗЛОЙ- · 11 Янв 2012

один раз выдало
U341961682718
один раз выдало
U361302225968
дальше не обращал внимания...

Артём · 11 Янв 2012

Окей, сейчас поищем.

Артём · 11 Янв 2012

Не ищет по этим номерам. Попробуй еще скачать Kaspersky Virus Removal Tool

upd - попробуй еще эти коды:
913912
131391013
1391013
913913
99913
913911
bvcbvc
9109101313
(подходят для вымогателей на кошельки Web-Money)

-ЗЛОЙ- · 11 Янв 2012

Family Man написал(а):
попробуй еще скачать Kaspersky Virus Removal Tool

инсталяху 107 метров?????????????????????????? :tehnari_ru_281:
она вообще из безопаски без прав админа станет? Вот и я думаю НЕТ!
------------------------------------------------------------------
коды попрбую ща

-ЗЛОЙ- · 11 Янв 2012

УРА!!!
Последний код подошел! Благодарю!

Артём · 11 Янв 2012

Отлично. Кстати код найден на сервисе Dr.Web, но не точным поиском (результатов не дает), а по картинке.
И в любом случае советую также прогнать систему проверкой Dr.Web Live CD, потому как зараза может остаться в реестре.

AlexZir · 11 Янв 2012

На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.

sedoy · 11 Янв 2012

AlexZir написал(а):
На сайте Касперского есть LiveCD для удаления подобных вирусов. Качните, запишите на болванку и пользуйтесь. При этом не надо судорожно искать коды разблокировки и пытаться стартовать утилиты из-под зараженной системы, UnLocker сам проверит системный реестр и пофиксит подозрительные записи. Также с диска можно будет и проверить систему. Единственная проблема может возникнуть при подмене системных файлов зараженными, но и это решаемо. В разделе Библиотека я выложил подборку наиболее часто подменяемых системных файлов с краткой инструкцией, что куда кидать, под Windows XP Pro SP3.

Подтверждаю. Занимает значительно меньше времени, чем подбор кодов.

-ЗЛОЙ- · 11 Янв 2012

стояло слабое железо, поэтому антивиря не было. Вот и полезла нечисть.
Недавно чуть прокачал систему а антивирь поставить забыл.
После удаления заразы установил кис8 (ставлю на все компы - ниразу нареканий ни на работу ни на прожорливость не было)
Всем спасибо!

MrSTEP · 11 Янв 2012

AlexZir написал(а):
UnLocker сам проверит системный реестр и пофиксит подозрительные записи.

Лёш, а что это за утилита? Я знаю один анлокер, который помогает удалить занятые процессами файлы.

Б.Г. Мот · 11 Янв 2012

-ЗЛОЙ- написал(а):
Полазил по реестру - подозрительного тоже ничего не нашел.

плохо искали... насколько я понял, обоина рабочего стола таки загружается. значит, MBR не заражен - эта пакость таки торчит в автозагрузке и(или) изменено значение параметров раздела Shell

на что надо было обращать внимание:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (из этих веток удаляем все подозрительные значения - систему не положите)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (параметр AppInit_DLLs должен быть пустым)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (значения: Shell - Explorer.exe; UIHost - logonui.exe; Userinit - C:\WINDOWS\system32\userinit.exe,; VmApplet - rundll32 shell32,Control_RunDLL "sysdm.cpl")

Б.Г. Мот · 11 Янв 2012

опечатка:

Б.Г. Мот написал(а):
изменено значение параметров раздела Shell

изменено значение параметров раздела Winlogon

не опечатка:

Б.Г. Мот написал(а):
Userinit - C:\WINDOWS\system32\userinit.exe,

в конце строки - запятая

-ЗЛОЙ- написал(а):
Загрузился в безопаске

тем более вы работали в тепличных условиях

Б.Г. Мот · 11 Янв 2012

Б.Г. Мот написал(а):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

еще один момент: в этой ветке не должно быть параметров Recycler, Trash и им подобных. увидели - выпиливайте. только запомните, на какой файл они ведут - его тоже надо удалить.

это же касается всей ветки Winlogon и параметра AppInit_DLLs

вроде все, теперь можно и сканировать =)

sedoy · 12 Янв 2012

MrSTEP написал(а):
Лёш, а что это за утилита? Я знаю один анлокер, который помогает удалить занятые процессами файлы.

Грузишься с этого Kaspersky Rescue Disk, отсюда Проверка на вирусы. Сначала сканируешь на вирусы, потом запускаешь Unlocker (он сам правит реестр), потом желательно подкинуть в систему оригинальные файлы (пакет для ХР Алексей выкладывал в библиотеку). Мне помогало, и не раз. Еще раз спасибо AlexZir.

-ЗЛОЙ- · 12 Янв 2012

Б.Г. Мот написал(а):
плохо искали...

может быть... особо долго не искал... те ссылки на ветки реестра которые нашел в нете проверил по быстрому...:tehnari_ru_942:

MrSTEP · 12 Янв 2012

-ЗЛОЙ- написал(а):
потом запускаешь Unlocker (он сам правит реестр)

то есть это все на этом Rescue диске?

George Smith · 12 Янв 2012

Фу пока разобрался, цитата от Олега Седого получилась как от -ЗЛОГО- ...

Да Леша, эта байда прописывается в реестре, вместо Рабочего стола - explorer ...

Если знаешь в реестре место, где explorer, заходишь в Безопастном режиме и меняешь
просто на explorer.exe и запоминаешь путь где эта тварь находится, потом перегружаешся
и удаляешь. Но я сам не могу никак запомнить, где в реестре explorer ? ...

Б.Г. Мот · 12 Янв 2012

Б.Г. Мот написал(а):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (значения: Shell - Explorer.exe; UIHost - logonui.exe; Userinit - C:\WINDOWS\system32\userinit.exe,; VmApplet - rundll32 shell32,Control_RunDLL "sysdm.cpl")

а это я зачем писал?

Очередной банер-вымогатель

Banned

Вложения

votum separatum

Banned

votum separatum

votum separatum

Banned

Banned

votum separatum

support

Преданный партиец "ПЛВ"

Banned

&#19968;&#27493;&#19968;&#27493;&#22320;&#20250;&#

Ученик

Ученик

Ученик

Преданный партиец "ПЛВ"

Banned

&#19968;&#27493;&#19968;&#27493;&#22320;&#20250;&#

<< Эксперт >>

Ученик

一步一步地会&#

一步一步地会&#