Пора подразделению "К" заняться своими непосредственными обязанностями.Думаю найти и обезвредить злоумышленников не так трудно.Ведь деньги реальные и улетают они не в космос.Хотя склонность у них к этому (у денег) имеется.Судя по и по домашнему бюджету,и по государственному.
Вот жил бы ты в Омериге, мог бы по суду "за маральный ущерб" выкрутить из владельца сайта всё, что у него есть плюс четверть его зарплаты всю оставшуюся жизнь. )))
как раз мучаюсь с таким.3 часа убил,никак сцуку не выдавить.Ни один антивирус не находит,прбовал c LiveCD с новыми базами-ни хваленый каспер,ни др.веб,ни нортон,ни нод ничего сделать не могут,просто не видят.Чистил темпы,вводил код активации,ничего не помагает.Поймать бы эту сцуку,которая все это делает,да привязать к столбу на Красной площади на денек.Неужели трудно вычислить уродов?
Грузишься с LiveCD, открываешь реестр, смотришь ветку с ключом "UserInit", дальше, думаю, все понятно — главное убрать вирус из автозагрузки, потом он не опасен.
Лечить подобное нужно блокировкой расчетных счетов мобильных операторов, а в дальнейшем и уголовными делами о мошейничестве и вымогательстве с обязательным привлечением мобильных операторов как соучастников, ведь они получают половину этой суммы только официально. Одного прецедента хватит чтоб вместо желания срубить таким образом бабла у оператора появился стойкий рефлекс жидкого стула.
Вирус-блокировщик попадает на ПК пользователей, как правило, под видом видеокодеков, электронных книг или аудиофайлов.
Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.
Деструктивные действия вируса
После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\.tmp ( – случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт.
После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;
– в зависимости от текущей даты вирус отправляет http-запрос: %3Crnd1%3E.com,
где – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты;
– специально сформированный уникальный идентификатор;
– случайное число;
– серийный номер жесткого диска;
– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора;
– затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).
Как удалить вирус вручную
Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите свою ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то :\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\.tmp;
– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;
– закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
Последний раз был залочен полностью эксплорер (даже в защищенном режиме грузилась только заставка), ничего не запускалось, три клавиши вызывали окошко с надписью, что диспетчер задач отключен администратором.
Запуск с лайв-ЦД и очистка всех временных файлов с удалением всякого подозрительного файла тоже не помогла. Антивирусы ничего не нашли. Переустановка в режиме обновления — тоже самое. Формат винта.
Предыдущий случай — эксплорер запускался, диспетчер задач отключен администратором, регедит тоже. Попытка вызвать аплеты через control — ошибка с вылетом. Антивирь — по нулям. Переустановка в режиме обновления — BSOD. Формат винта.
В 4-5 остальных случаях удалось убить дрянь эту. Но антивири не помогали (один комп сам хозяин оживлял раза три — один раз отправив СМС, после чего ему код пришел. На следующий день опять повылезало, и несколько раз код от Др.Веба подходил... Но ненадолго. Потом вообще все заглючило).
Загрузка с Live CD, обновление баз до самых распоследних,полный прогон всех дисков. Так же качаю последний CureIt c drweb.ru на диск С (понадобится позже). Затем, не перегружая комп, с того же Live CD загрузка AVZ обновление баз и опять полный прогон по всем дискам. Далее записываю обновленный AVZ на зараженную машину (на рабочий стол), физически отрубаю инет (смеяться не стоит) и перезагрузившись пытаюсь запустить его уже на зараженной машине. (кликом на рабочем столе, через цмд или по CAD-у). Если это не помогает, то загрузка с LiveCD, вставить всю прогу в автозагрузку. После того, как удастся запустить AVZ обязательно установить драйвер расширенного мониторинга и AVZGuard. Далее лечить весь комп еще раз. Затем в меню Файл-Восстановление системы разблокировать комп. Потом Сервис-Менеджер автозапуска и внимательно курить, что стартует автоматом. С подозрительного убрать галочки. Если что, потом можно вернуть. Затем меню Файл-Мастер поиска и устранения проблем. В верхней строке выбираем по очереди категорию проблемы, в нижней степень опасности — все. Галки ставим только там, где не указано ОПАСНО. Обязательно снять автозагрузку со всех носителей, кроме сидюка и сделать очистку системы. После этого выход и сразу в перезагрузку. Смотрим, что получилось.
Я, обычно, на всякий случай запускаю ранее скачанный СureIt и опять прогоняю весь комп. И если остаются сомнения по поводу автозагрузки, то ставлю анвир — www.anvir.net и чекаю им запущенные службы и библиотеки и т.д. Очень удобная штука.
У меня был месяца два назад. Каспер его пропустил, не то что паршивые акронисы. Безопасный режим не пашет с ним. Звонил знакомым. Они прислали код разблокировки.
Комментарии
Вот жил бы ты в Омериге, мог бы по суду "за маральный ущерб" выкрутить из владельца сайта всё, что у него есть плюс четверть его зарплаты всю оставшуюся жизнь. )))
с операторов даже нельзя бабки свои выбить назад, если отправил такую СМС
Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.
Деструктивные действия вируса
После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\.tmp ( – случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт.
После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;
– в зависимости от текущей даты вирус отправляет http-запрос: %3Crnd1%3E.com,
где – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты;
– специально сформированный уникальный идентификатор;
– случайное число;
– серийный номер жесткого диска;
– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора;
– затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).
Как удалить вирус вручную
Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите свою ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
– закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то :\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\.tmp;
– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;
– закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме;
– проверьте систему антивирусом со свежими базами.
Получите с нерадивого юзера заранее оговоренную сумму денег )))))
Последний раз был залочен полностью эксплорер (даже в защищенном режиме грузилась только заставка), ничего не запускалось, три клавиши вызывали окошко с надписью, что диспетчер задач отключен администратором.
Запуск с лайв-ЦД и очистка всех временных файлов с удалением всякого подозрительного файла тоже не помогла. Антивирусы ничего не нашли. Переустановка в режиме обновления — тоже самое. Формат винта.
Предыдущий случай — эксплорер запускался, диспетчер задач отключен администратором, регедит тоже. Попытка вызвать аплеты через control — ошибка с вылетом. Антивирь — по нулям. Переустановка в режиме обновления — BSOD. Формат винта.
В 4-5 остальных случаях удалось убить дрянь эту. Но антивири не помогали (один комп сам хозяин оживлял раза три — один раз отправив СМС, после чего ему код пришел. На следующий день опять повылезало, и несколько раз код от Др.Веба подходил... Но ненадолго. Потом вообще все заглючило).
Убил бы писателей этих.
Загрузка с Live CD, обновление баз до самых распоследних,полный прогон всех дисков. Так же качаю последний CureIt c drweb.ru на диск С (понадобится позже). Затем, не перегружая комп, с того же Live CD загрузка AVZ обновление баз и опять полный прогон по всем дискам. Далее записываю обновленный AVZ на зараженную машину (на рабочий стол), физически отрубаю инет (смеяться не стоит) и перезагрузившись пытаюсь запустить его уже на зараженной машине. (кликом на рабочем столе, через цмд или по CAD-у). Если это не помогает, то загрузка с LiveCD, вставить всю прогу в автозагрузку. После того, как удастся запустить AVZ обязательно установить драйвер расширенного мониторинга и AVZGuard. Далее лечить весь комп еще раз. Затем в меню Файл-Восстановление системы разблокировать комп. Потом Сервис-Менеджер автозапуска и внимательно курить, что стартует автоматом. С подозрительного убрать галочки. Если что, потом можно вернуть. Затем меню Файл-Мастер поиска и устранения проблем. В верхней строке выбираем по очереди категорию проблемы, в нижней степень опасности — все. Галки ставим только там, где не указано ОПАСНО. Обязательно снять автозагрузку со всех носителей, кроме сидюка и сделать очистку системы. После этого выход и сразу в перезагрузку. Смотрим, что получилось.
Я, обычно, на всякий случай запускаю ранее скачанный СureIt и опять прогоняю весь комп. И если остаются сомнения по поводу автозагрузки, то ставлю анвир — www.anvir.net и чекаю им запущенные службы и библиотеки и т.д. Очень удобная штука.
Вроде все. Надеюсь кому-нибудь пригодится.
PS кстати щас по первому как раз про это базарят.
перечисленые тобой категории е набирают больше 10% в сумме.