Еще один вирус просящий 200 wmu

11 сентября, 2011 | Автор: El

Пригласили меня посмотреть еще на одну разновидность вируса Winlock. Этот вирус также блокировал Windows, причем еще ограничивал доступную область для мышки, также блокировал диспетчер задач, а вместо него появлялись сообщения «Диспетчер задач заблокирован администратором». Посмотрел я на него и подумал: «И тебя вылечим…»

Баннер гласил:

Для разблокировки Windows необходимо оплатить штраф в размере 200 грн!
1) Найдите ближайший терминал оплаты сотовой связи, например iBox
2) Перейдите на вкладку "Електронные деньги" (может отличаться)
3) Перейдите на вкладку "WebMoney", далее вводим номер кошелька U233461097332
4) Внести вышеуказанную сумму и нажать "Оплата"
После оплаты на выданном Вам чеке будет находиться код разблокировки
Код сдледует ввести в расположенном ниже поле
Ваш код

Я загрузился с LiveCDидущий на диске Simplix, зашел в реестр в ветку
<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Shell – там было прописано
"C:\DOCUME~1\9335~1\LOCALS~1\Temp\wpbt0.dll"
Этот файл я нашел и удалил, а вместо прописал «explorer.exe»

Так же надо было включить диспетчер задач, его в реестре находим в ветке
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
в ключе DisableTaskMgr – меняем значение на 1
UPD: 2011-09-30 [на 0, либо удаляем вообще нафиг этот ключ, значение 1 как раз таки блокирует]

И все перезагружаемся и комп нормально включается.

Тот файл перед удалением я правда проверил и по virustotal на 10 сентября 2011 его опознали как вирус 4 из 44, из них DrWeb признал в нем Trojan.Winlock.4089

Что неудивительно на компе был целый букет вирусов. Но eset smart security не все видел.
Помог Dr.WebCureIT прогнав им я и нашел все остальные вирусочки. Из них были Program.RemoteAdmin, Trojan.Click. Win32.HLLW.MyBot.based, Tool.Killproc причем разных модификаций – мораль поддерживайте состояние антивирусных систем в актуальном состоянии.


Понравилась статья? Жми



 Комментарии:

 
1. Юра :
29 сентября, 2011 | 13:06


инфа очень помогла. спасибо!
 
 
2. Михаил :
09 октября, 2011 | 09:19


Спасибо за информацию, очень пригодилась!
 
 
3. Юрий :
09 октября, 2011 | 16:01


а мне непомогло, Ключ Shell ненашел, "C:DOCUME~19335~1LOCALS~1Tempwpbt0.dll" такого файла там нет и вообще неодного файла там нет,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem - раздела системс в разделе полициас тоже нету, что делать в таком случае?
 
 
4. EL :
09 октября, 2011 | 23:37


Юрий, то что файла там нет, это полбеды, главное чтобы в ключе Shell - был прописан explorer.exe
Ключ Shell должен быть полюбому.

Попробуйте загрузиться в безопасном режиме с поддержкой командной строки - через F8, (посмотрите здесь: http://ellexdev.com/blog/100) там вызовите команду regedit - и пройдитесь еще раз по ветке
HKEY_LOCALE_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

И будьте внимательны где папка "Windows NT" а где папка "Windows"
 
 
5. Митя :
04 ноября, 2011 | 14:35


Хочу поблагодарить, т.к. здесь описан мой случай. Дело было в локальной сети и реестр я правил удаленно с другого компа.

Спасибо!
 
 
6. Настя :
18 января, 2012 | 08:24


не могу вписать explirer.exe, что делать?
 
 
7. Анастасия :
18 января, 2012 | 09:14


В общем я все правильно вписала, но когда перезагружаю комп то у меня опять эта хрень стоит....Windows не разблокировался. Что делать? Помогите!!!
 
 
8. El :
18 января, 2012 | 19:15


Настя может у вас другая модификация вируса как например здесь: http://ellexdev.com/blog/90
Тогда есть смысл еще проверить нормальность файла userinit.exe
 
Написать комментарий:

Текст сообщения     

Ваше имя (обязательно)     

Ваша почта (скрыто) (обязательно)     

Если комментарии содержат ссылки они проходят модерацию...
ICQ:
  • Lex:  940-902
  • El:  448-018-956
Карта сайта
Карта сайта
Прямые ссылки скачать последние версии Adobe Flash, Кодеки, Google Chrome и другие популярные программы  
Компьютерная графика и вычислительная геометрия: