PDA

Просмотр полной версии : Блокировка Windows



bolshoy kot
15.04.2009, 20:08
Файл распространяется как xvidDecodernn.exe (n - цифры) с сайтов порнографического содержания, рекламируемых всплывающими баннерами. При запуске извлекает (загружает из Интернета?) файл и сохраняет его как файл с расширением *.tmp (например, don1.tmp) в папку временных файлов. Затем файл запускается на выполнения. При этом файл создает файл с расширением BIN и остается в процессах. При этом файл don1.tmp регистрируется в ключе автозапуска Userinit вместе с настоящим userinit.exe. После перезагрузки файл запускается и выводит сообщение "Windows заблокирован" с предложением отправить SMS. Загрузка в безопасном режиме также заканчивается предложением ввести код.
Удаление:
Вариант 1. Использование калькулятора кода
http://news.drweb.com/show/?i=304&c=5&p=0&lng=ru
С вариациями вируса, требующими отправить не только цифры, но и букву перед ними, работает не всегда.
Вариант 2. Использование Windows LiveCD, другой Windows или иного LiveCD
1. Загрузится с LiveCD
2. Найти и удалить файл blocker.exe и blocker.bin
3. Найти во временной папке файл *.tmp имеющий двойника *.bin и удалить их
4. По возможности отредактировать реестр HKLM\Software\Microsoft\Windows NT\Winlogon, параметр Userinit, оставить лишь C:\WINDOWS\system32\userinit.exe,, вместо C может быть другая буква, если диск ОС не C:, тогда букву не менять, то есть удалить все после userinit.exe,. Запятую оставить!

priv8v
15.04.2009, 20:14
это описание?

SDA
15.04.2009, 20:35
Файл распространяется как xvidDecodernn.exe (n - цифры) с сайтов порнографического содержания, рекламируемых всплывающими баннерами. При запуске извлекает (загружает из Интернета?) файл и сохраняет его как файл с расширением *.tmp (например, don1.tmp) в папку временных файлов. Затем файл запускается на выполнения. При этом файл создает файл с расширением BIN и остается в процессах. При этом файл don1.tmp регистрируется в ключе автозапуска Userinit вместе с настоящим userinit.exe. После перезагрузки файл запускается и выводит сообщение "Windows заблокирован" с предложением отправить SMS. Загрузка в безопасном режиме также заканчивается предложением ввести код.
Удаление:
А) http://tinyurl.com/DrWebCalculator
Б)
1. Загрузится с LiveCD
2. Найти и удалить файл blocker.exe и blocker.bin
3. Найти во временной папке файл *.tmp имеющий двойника *.bin и удалить их

Не все так просто, например http://virusinfo.info/showthread.php?t=43896
Поэтому после самолечения необходимо сделать логи в соответствии с правилами http://virusinfo.info/pravila.html для дальнейшей очистки системы. Даже если вышеуказанные последствия не наступят, чистку реестра от следов зловреда, без классифицированной помощи хелпера, простой пользователь не проведет.

bolshoy kot
16.04.2009, 00:21
AndreyKa, ссылка на оригинал, вставленная Вами у меня не открывает калькулятор кода, поэтому и дал свою.

AndreyKa
16.04.2009, 06:14
Тогда, вам, в раздел Помогите стоит обратиться.

bolshoy kot
16.04.2009, 14:28
Тогда, вам, в раздел Помогите стоит обратиться.

Т.е.? У вас открывается калькулятор?
p.s. теперь у меня все открывается

puzatik10
23.04.2009, 17:09
Удаление:
Вариант 1. Использование калькулятора кода
http://news.drweb.com/show/?i=304&c=5&p=0&lng=ru
С вариациями вируса, требующими отправить не только цифры, но и букву перед ними, не работает.



А у меня получиось, сработало. Спасибо

paha2
26.01.2010, 22:20
А как защищаться от подобной гадости?? я один раз словил эту гадость, но обошолся удалением учетной записи и созданием новой (благо у меня учетка не одна)! А вот знакомый попался на более жесткую вещь, у него ничего не работало, полностью был заблокирован комп, даже не получалось откатиться с загрузочного acronis true image, пришлось винду переустанавливать.

SDA
26.01.2010, 23:02
даже не получалось откатиться с загрузочного acronis true image, пришлось винду переустанавливать.
Что то фантастическое :) или скорее всего неправильная работа с программой, ошибки при создании образа. Кстати, наряду с загрузкой образа с внешнего носителя, существует загрузка акрониса до загрузки ОС нажатием F11 (восстановление из "безопасной зоны" созданной программой на харде, где установлена ОС).

bolshoy kot
27.01.2010, 16:51
paha2, не ставить кодеки для просмотра видео с подозрительных сайтов.

ZZot
12.08.2011, 12:17
325918

народ, подскажите пожалуйсто, что это за зверь и как с ним бороться? извините,если не в той ветке написал. аська 581837498

thyrex
14.08.2011, 10:44
ZZot, я ответил Вам в дневнике