bolshoy kot
20.07.2010, 21:06
Файл распространяется под именем flash_player.exe с ресурсов непристойного содержания (h***://*uch**.*n).
Выводит окно с текстом:
http://s14.radikal.ru/i187/1007/2f/8ca6694c4f5e.jpg (http://www.radikal.ru)
С помощью LiveCD удалось обнаружить, что вирус прописался в реестр по следующим параметрам:
Раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Userinit, значение - путь к оригинальному файлу вируса
Раздел: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, параметр Windbl, значение - путь к оригинальному файлу вируса
Раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, параметр Windbl, значение - путь к оригинальному файлу вируса
Кода разблокировки я не нашел.
Удаление
С помощью LiveCD или путем подключения HDD к другому ПК удалить параметр Windbl из разделов реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Затем
в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon изменить параметр Userinit на следующее значение:
C:\WINDOWS\system32\userinit.exe,
(с запятой в конце, если системный диск называется не "C:", изменить букву)
Удаление файла flash_player.exe не поможет, т.к. он прописан в параметре Userinit.
Предполагаю, что без модификации реестра сработает такой трюк - удалить файл flash_player.exe и на его место положить копию файла C:\WINDOWS\system32\userinit.exe. После этого, не удаляя эту копию, обратиться в раздел "Помогите" или поправить в реестре параметр Userinit.
Добавлено через 1 час 20 минут
http://www.pchelpforum.com/progress-hijackthis-logs/92604-porn-popup-blocks-netbook.html
Добавлено через 1 час 21 минуту
Возможно (но не гарантируется), что подойдут эти коды:
Попробуйте следующие коды разблокировки:
777883
29543874
94376428
Добавлено через 11 минут
Определение антивирусами - http://www.virustotal.com/analisis/104e5ab3b8d97b86f552273c5b258c5a200a7c5697401c2b2b 85b80020204e57-1279644597
Добавлено через 12 минут
http://passport.webmoney.ru/asp/CertView.asp?purse=R207041461066
Выводит окно с текстом:
http://s14.radikal.ru/i187/1007/2f/8ca6694c4f5e.jpg (http://www.radikal.ru)
С помощью LiveCD удалось обнаружить, что вирус прописался в реестр по следующим параметрам:
Раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Userinit, значение - путь к оригинальному файлу вируса
Раздел: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run, параметр Windbl, значение - путь к оригинальному файлу вируса
Раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, параметр Windbl, значение - путь к оригинальному файлу вируса
Кода разблокировки я не нашел.
Удаление
С помощью LiveCD или путем подключения HDD к другому ПК удалить параметр Windbl из разделов реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Затем
в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon изменить параметр Userinit на следующее значение:
C:\WINDOWS\system32\userinit.exe,
(с запятой в конце, если системный диск называется не "C:", изменить букву)
Удаление файла flash_player.exe не поможет, т.к. он прописан в параметре Userinit.
Предполагаю, что без модификации реестра сработает такой трюк - удалить файл flash_player.exe и на его место положить копию файла C:\WINDOWS\system32\userinit.exe. После этого, не удаляя эту копию, обратиться в раздел "Помогите" или поправить в реестре параметр Userinit.
Добавлено через 1 час 20 минут
http://www.pchelpforum.com/progress-hijackthis-logs/92604-porn-popup-blocks-netbook.html
Добавлено через 1 час 21 минуту
Возможно (но не гарантируется), что подойдут эти коды:
Попробуйте следующие коды разблокировки:
777883
29543874
94376428
Добавлено через 11 минут
Определение антивирусами - http://www.virustotal.com/analisis/104e5ab3b8d97b86f552273c5b258c5a200a7c5697401c2b2b 85b80020204e57-1279644597
Добавлено через 12 минут
http://passport.webmoney.ru/asp/CertView.asp?purse=R207041461066