-
Блокировка Windows
Файл распространяется как xvidDecodernn.exe (n - цифры) с сайтов порнографического содержания, рекламируемых всплывающими баннерами. При запуске извлекает (загружает из Интернета?) файл и сохраняет его как файл с расширением *.tmp (например, don1.tmp) в папку временных файлов. Затем файл запускается на выполнения. При этом файл создает файл с расширением BIN и остается в процессах. При этом файл don1.tmp регистрируется в ключе автозапуска Userinit вместе с настоящим userinit.exe. После перезагрузки файл запускается и выводит сообщение "Windows заблокирован" с предложением отправить SMS. Загрузка в безопасном режиме также заканчивается предложением ввести код.
Удаление:
Вариант 1. Использование калькулятора кода
http://news.drweb.com/show/?i=304&c=5&p=0&lng=ru
С вариациями вируса, требующими отправить не только цифры, но и букву перед ними, работает не всегда.
Вариант 2. Использование Windows LiveCD, другой Windows или иного LiveCD
1. Загрузится с LiveCD
2. Найти и удалить файл blocker.exe и blocker.bin
3. Найти во временной папке файл *.tmp имеющий двойника *.bin и удалить их
4. По возможности отредактировать реестр HKLM\Software\Microsoft\Windows NT\Winlogon, параметр Userinit, оставить лишь C:\WINDOWS\system32\userinit.exe,, вместо C может быть другая буква, если диск ОС не C:, тогда букву не менять, то есть удалить все после userinit.exe,. Запятую оставить!
Последний раз редактировалось bolshoy kot; 27.04.2009 в 19:11.
Причина: варианты вируса
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
Сообщение от
bolshoy kot
Файл распространяется как xvidDecoder
nn.exe (
n - цифры) с сайтов порнографического содержания, рекламируемых всплывающими баннерами. При запуске извлекает (загружает из Интернета?) файл и сохраняет его как файл с расширением *.tmp (например,
don1.tmp) в папку временных файлов. Затем файл запускается на выполнения. При этом файл создает файл с расширением BIN и остается в процессах. При этом файл don1.tmp регистрируется в ключе автозапуска Userinit вместе с настоящим userinit.exe. После перезагрузки файл запускается и выводит сообщение "Windows заблокирован" с предложением отправить SMS. Загрузка в безопасном режиме также заканчивается предложением ввести код.
Удаление:
А)
http://tinyurl.com/DrWebCalculator
Б)
1. Загрузится с LiveCD
2. Найти и удалить файл blocker.exe и blocker.bin
3. Найти во временной папке файл *.tmp имеющий двойника *.bin и удалить их
Не все так просто, например http://virusinfo.info/showthread.php?t=43896
Поэтому после самолечения необходимо сделать логи в соответствии с правилами http://virusinfo.info/pravila.html для дальнейшей очистки системы. Даже если вышеуказанные последствия не наступят, чистку реестра от следов зловреда, без классифицированной помощи хелпера, простой пользователь не проведет.
-
-
AndreyKa, ссылка на оригинал, вставленная Вами у меня не открывает калькулятор кода, поэтому и дал свою.
-
Тогда, вам, в раздел Помогите стоит обратиться.
-
-
Сообщение от
AndreyKa
Тогда, вам, в раздел Помогите стоит обратиться.
Т.е.? У вас открывается калькулятор?
p.s. теперь у меня все открывается
-
Junior Member
- Вес репутации
- 55
Удаление:
Вариант 1. Использование калькулятора кода
http://news.drweb.com/show/?i=304&c=5&p=0&lng=ru
С вариациями вируса, требующими отправить не только цифры, но и букву перед ними, не работает.
А у меня получиось, сработало. Спасибо
-
Junior Member
- Вес репутации
- 53
А как защищаться от подобной гадости?? я один раз словил эту гадость, но обошолся удалением учетной записи и созданием новой (благо у меня учетка не одна)! А вот знакомый попался на более жесткую вещь, у него ничего не работало, полностью был заблокирован комп, даже не получалось откатиться с загрузочного acronis true image, пришлось винду переустанавливать.
-
Сообщение от
paha2
даже не получалось откатиться с загрузочного acronis true image, пришлось винду переустанавливать.
Что то фантастическое или скорее всего неправильная работа с программой, ошибки при создании образа. Кстати, наряду с загрузкой образа с внешнего носителя, существует загрузка акрониса до загрузки ОС нажатием F11 (восстановление из "безопасной зоны" созданной программой на харде, где установлена ОС).
-
-
paha2, не ставить кодеки для просмотра видео с подозрительных сайтов.
-
Junior Member
- Вес репутации
- 47
12082011.jpg
народ, подскажите пожалуйсто, что это за зверь и как с ним бороться? извините,если не в той ветке написал. аська 581837498
-
ZZot, я ответил Вам в дневнике
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-