Очередная блокировка интернет-вымогателями

**Романофф** · 02.09.2011, 16:09

Всем доброго дня!
На сайте http://www.clipafon.ru/faith-no-more
комп был заражен вирусом. Всплыло окно (см. вложение).
При перезагрузках окно всплывает, блокируя любую возможность что-то открыть из файлов и программ.
На компе стоит бесплатная AVIRA.

Были проведены меры лечения:
1. Утилитой касперского - от 24.08.2011г. (пойманы вирусы, вероятно старые)
2. с помощью ERD 2005 в реестре был проверен eplorer.exe - все норм, ехе на месте.
Но все безрезультатно - окно всплывает.

Что еще предпринять? Пожалуйста, помогите советом!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.09.2011, 16:09

Уважаемый(ая) Романофф, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Nikkollo** · 02.09.2011, 17:07

1. ---
2. В ERD Commander - Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

ветка

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

Содержимое этих параметров напишите в своем сообщении.
Так же посмотрите размер и дату/время последнего изменения этих файлов на диске зараженного компьютера:

Код:

Windows\system32\userinit.exe
Windows\system32\taskmgr.exe

и сообщите.

**thyrex** · 02.09.2011, 17:30

С помощью ERD Commander зайдите в ветку реестра

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Если в этой ветке есть папка userinit.exe, смотрите в правой части параметр debug
Значение этого параметра и есть Ваш блокировщик. Переименуйте файл, найденный в значении параметра, поищите другие его упоминания в реестре и удалите найденное. Удалите папку userinit.exe в реестре.

Пробуйте загружаться

**Романофф** · 06.09.2011, 19:07

[B]Nikkollo[/B]

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

C:\windows\system32\userinit.exe,

параметр

Код:

shell

Explorer.exe

ветка

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

параметр

Код:

AppInit_DLLs

C:\windows\system32\vsbsusl.dll

Что сделал:
vsbsusl.dll переименовал в vsbsusl1.dll но после перезагрузки положительного результа не получил.

Код:

Windows\system32\userinit.exe
Windows\system32\taskmgr.exe

в параметрах Accessed в обоих случаях стоит одинаковая дата и время - 05 сентября 2011, 10:11:34 РМ

Спасибо. Жду дальнейших рекомендаций.

thyrexДобавлено через 11 минут

[QUOTE=thyrex;823293]С помощью ERD Commander зайдите в ветку реестра

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Папка userinit.exe есть.
В ней находилисть три файла, один из них - Debugger
C:\windows\Templtodo.exe

Была удалена вся папка userinit.exe
Поиск Debugger в роеестре самостоятельно осуществить не смог.
После перезагрузки положительного результата не последовало((

Спасибо. Жду дальнейших реколмендаций.

Добавлено через 7 часов 10 минут

**thyrex** · 06.09.2011, 22:09

C:\windows\Temp\todo.exe (нужно поискать его другие упоминания в реестре и удалить их) и есть Ваш блокировщик.
Переименуйте его, снова удалите папку userinit.exe в реестре (она могла появиться заново). Пробуйте загружаться