Сегодня изгонял еще один вирус
Уже знакомый дизайн – но просил 120 грн, на этот раз удаление вируса производил без LiveCD, т.к. привод был неисправен.
Дизайн баннера выглядит как в статьях /blog/95 и /blog/91, только просит вирус 120 грн на вебмани, и так же заблокировал работу заменой explorer и заблокировал запуск диспетчера задач.
С таким текстом:
Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации программного обеспечения корпорации Microsoft. По вышеизложенным причинам функционирование системы было приостановлено.
Для разблокировки Windows необходимо оплатить штраф в размере 120 грн!
1) Найдите ближайший терминал оплаты сотовой связи, например iBox.
2) Перейдите на вкладку "Електронные деньги" (может отличаться)
3) Перейдите на вкладку "WebMoney", далее вводим номер кошелька: U294667234996
4) Внести вышеуказанную сумму и нажать "Оплата"
После оплаты на выданном Вам чеке будет находиться код разблокировки.
Код следует ввести в расположенном ниже поле.
Убедительная просьба: после активации системы, воздержаться от повторения действий, противоречащих закону, а также правилам эксплуатации ОС Windows.
Внимание! Если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows будут безвозвратно удалены! Попытка переустановить систему приведет к нарушениям работы компьютера.
На этот раз я лечил без ливсиди, а через безопасный режим, но не простой, а с поддержкой командной строки.
Для этого при загрузке виндовса зажимаем клавишу F8, пока не появится предложение выбора варианта загрузки. Выбираем «Безопасный режим с поддержкой командной строки» - потому что в обычном безопасном режиме автоматически стартанет и вирус.
После загрузки вводим команду regedit – вызываем редактор реестра.
Находим ключ Shell вразделе HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Меняем значение на explorer.exe
Так же лечим диспетчер задач
Этот вирус по virustotal на 9 октября 2011 определяется в 10 из 43.
Eset Nod определяет его как модифицированный Win32/Kryptik.TSO троянская программа
Мораль: следите за состоянием обновления антивирусника прежде чем лезть на порнушные разнообразные сайты
|
|
![[Valid RSS]](/images/valid-rss-rogers.png "Validate my RSS feed")
Если с ЛивСИДИ грузится. Нужно подгужать куст реестра от старой винды, редактировать и выгружать?
Очень срочно жду ответа, спасибо! )
Если с ЛивСИДИ то естественно надо подгрузить реестр от старой винды. На ливсиди от simplix там оно автоматом все подключает.
Но если пустит в безопасный режим, то проблем нет, regedit откроет непосредственно реестр текущей, зараженной винды.
есть другой способ (сегодня делал у знакомого):
- во время загрузки нажать F8, зайти в безопасном режиме с поддержкой командной строки
- ввести: %systemroot%system32
estore
strui.exe
- выбрать точку отката системы (до заражения)
- ну а потом просканировать систему последней версией DrWeb-СureIt
И главное: завязывайте с порнухой (плохое зрение, волосатые ладони, чувство собственной ущербности- оно вам надо?)
Вчера мне бы помогла Ваша статья. В гугле искал так и не нашел ответа, полдня убил.
Сам докумекал про восстановление системы и написал статью с картинками, может кому будет полезным:
http://www.nofaq.net/2011/12/windows-заблокирован/
Сама на днях такой же баннер поймала. а хотела оперу обновить (всплывающее окно выскочило). Помогла инструкция по этой ссылке http://www.evgeniystepanov.ru/microsoft-security-essentials.php
доброго времени суток!
у меня окно имеет несколько другой вид. удалить прописанными способами не получается... точней, получается до половины - не могу "вылечить" диспетчер задач. нету там disableTaskMgr.
есть куча всякого другого барахла:
dontdisplaylastusername
NoInternetOpenWith
shutdownwithoutlogon
undockwithoutlogon
я не разбираюсь в этом... помогите пожалуйста, подскажите что делать?
Евгения возможно ваша модификация вируса не блокировала диспетчер задач. Попробуйте загрузиться в нормальном режиме и проверить.
Если же он все таки заблокирован то нужно внимательно проверить путь к ветке реестра.
Скачивал с яндекс видео уроки английского языка, когда потцепил эту бороду... Пойду пробовать лечить...
я сделал все как сказано но при открытии Shell в страке значение уже было explorer.exe
и нету файла disable TaskMgr
подскажите что делать пожалуйста очень буду признателен!
Проверьте файл userinit.exe в папке Windows/system32/
еще почитайте здесь http://ellexdev.com/blog/90
Спасибо большое но на сайте что вы мне дали нечего не понял и там проблема не совсем такая как у меня.
Может что то еще сможете посоветовать?
Саша возможно у вас какая то другая модификация вируса, но обычно вирус подменяет userinit и/или explorer.exe. Причем может быть подмена как самого файла, так и подмена вызова этих файлов в реестре.
Попробуйте еще раз внимательно пройти по ветке реестра и проверить значения ключей.
Если они впорядке, тогда попробуйте заменить файлы с другого рабочего компьютера.
(ключ вызывающий userinit находится по тому же пути где и ключ Shell - HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и так и называется: Userinit
если это происходит до входа в винду в биосе ставим дату на год вперед перезагружаем и все поехали.
а на сто меняем значение
Сергей на скриншотах правильные значения ключей
так на скринах не видно
Скрины увеличиваются вообщето, или вы с телефона смотрите?
В общем в Shell - explorer.exe
в DisableTaskManager - 0 (или удалить ключ равноценно)
Написать комментарий: