Лечение вируса Баннер требующий 200 грн.

08 сентября, 2011 | Автор: El

Столкнулся на этот раз, я,  с другим типом баннера просящего денег на вебмани и предлагающего ввести код разблокировки. С этим пришлось повозиться, не так как в предыдущий раз.

Собственно Windows загружался как обычно, но после экрана приветствия вместо рабочего стола выскакивал этот баннер.

На нем красовался следующий текст:

КОМПЬЮТЕР ЗАБЛОКИРОВАН!

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 200 гривен в WebMoney кошелек U202600457272. В случае оплаты суммы равной штрафу либо превышающей ее на фиксальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 301 ч.2 УК УКР

Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Далее ниже даже приводилась статья из УК.

Комбинации Alt+F4, Alt+TAB его не брали, а Ctrl+Alt+Del запускал копии баннеров. В безопасном режиме этот вирус тоже стартовал вместо explorer.

Удалить его все же удалось, но для этого потребовался диск LiveCD – с виндовсом. Я использовал тот который идет на диске Simplix.

С начала нужно подправить реестр. На этом диске идет стандартный редактор реестра, только нужно выбирать ветку начинающуюся _C_comp_

Так вот:

1. Правим в ветке hklm/software/microsoft/windowsnt/current version/winlogon/
Ключ Shell
c C:/Documents and Settings/All Users/Application Data/22CC6C32.exe
меняем на explorer.exe

2. Удаляем файл прописанный в пути C:/Documents and Settings/All Users/Application Data/22CC6C32.exe

3. В папке C:/WINDOWS/system32 находим 03014D3F.exe или с подобным именем файл который на самом деле является userinit.exe.  Это можно посмотреть в свойствах файла Версия - исходное имя файла. Находим текущий userinit.exe - описание Bang Tango. Удаляем его.
Переименовываем настоящий userinit из 03014D3F.exe в userinit.exe

4. В этой же папке находим taskmgr.exe - в описании тоже BangTango – удаляем его нафиг
C:/WINDOWS/system32/dllcache - тут он тоже подменен
восстанавливаем с другого компа или установочного диска.

После этого я перезагрузился и спокойно попал на рабочий стол.

Вирус был в трех файлах, но он мог остаться еще где то, поэтому обязательно стоит обновить антивирусник и прогнать полную проверку, что я и сделал.

Кстати по данным проверке на http://www.virustotal.com/ за 2011-09-08

Вирус определило 10 из 43 из них

  • NOD32 - модифицированный Win32/Kryptik.SOC троянская программа
  • Kaspersky - Trojan-Ransom.Win32.PornoAsset.azr

Понравилась статья? Жми



 Комментарии:

 
1. Лео :
15 сентября, 2011 | 00:39


рерайт?) http://www.tmnblog.ru/ совпадение с твоей статьей 25%
 
 
2. EL :
15 сентября, 2011 | 19:57


да не Лео. просто вирусняк похож, и скрины, и стиль другой. Я то пишу свой реальный опыт.А там в мае писали, да еще российскими рублями вирусок попрошайничает.
 
 
3. spirit :
23 сентября, 2011 | 12:30


вчера пытался лечить такое у малого на компе, 22CC6C32.exe - этого нашел, остального не нашел, по названиям 03014D3F.exe или чтото подобного не было. Думаю что за месяц они его модифицировали.
а так как свежеобновленного антивируса не было, то переустановил винду, бо после удаления 22CC6C32.exe винда загружалась уже без окна с требованием, до момента когда запрашивало пользователя, и под своим паролем в виндовс не пускало.
 
 
4. EL :
23 сентября, 2011 | 20:12


Spirit можно было попробовать заменить userinit.exe с другого компьютера. Или как вариант сбросить пароль пользователя специальным загрузочным диском.
 
 
5. Set :
06 октября, 2011 | 10:00


Мда инструкция полная и рабочая по устранению данной хрени
 
 
6. ядетотут :
06 октября, 2011 | 14:07


товарищ подхватил такой...выковыривал как тут и описано. как 2 пальца обосфальт. пасиб. все чудно сработало.
 
 
7. Андрей :
14 октября, 2011 | 16:19


а чтобы попасть в реестр какой пункт нужно выбрать?
 
 
8. EL :
14 октября, 2011 | 19:23


ну на картинках это редактор реестра который идет в ливсиди Simplix, он автоматом подключает реестр зараженной винды. если с этого диска загрузиться (пункт 3 загрузка небольшой ОС) то он там на рабочем столе.

А если нет ливсиди то можно в безопасном режиме тоже самое провернуть. http://ellexdev.com/blog/100
 
 
9. Сергей :
17 октября, 2011 | 00:36


я переустановив віндовс, через декілька перезавантажень з нов зявився банер, я завантажив операційну систему з диска запустив касперску(з аптечкики ) і пролічив, допомагло але перестав завантажуватися робочий стіл і учетна запись, і знов переустаговив віндовс, все пішло

 
 
10. EL :
22 октября, 2011 | 01:24


уже есть новая модификация, просит 250 грн: http://ellexdev.com/blog/102
 
 
11. Андрей :
27 января, 2012 | 07:16


Всё поперепробывал, и то что в этой статье написано, ничего не помагало.
Вот ссылка, быстро и без гемора)))
http://kubanparadise.com/windows-zablokirovan-microsoft-security-essentials.html
 
 
12. Роман :
07 ноября, 2012 | 20:45


а что делать если словил такой вирус, но винда вообще не запускается? и диск с виндой не запускается даже если выбрать первое действие с сд рома??? Помогите плиз!!!
 
 
13. EL :
07 ноября, 2012 | 20:50


Судя по вашему описанию непонятно что вы словили именно этот вирус. Если у вас ничего не запускается, и вы не хотите заморачиваться, есть вариант перестановки виндовс.
 
Написать комментарий:

Текст сообщения     

Ваше имя (обязательно)     

Ваша почта (скрыто) (обязательно)     

Если комментарии содержат ссылки они проходят модерацию...
Карта сайта
Карта сайта
Игры:

squares
Игра Squares
Прямые ссылки скачать последние версии Adobe Flash, Кодеки, Google Chrome и другие популярные программы  
Календарь для печати на А4:
calendar.ellexdev.com
Внешний вид календаря

Особенность этого календаря: недели отображаются вертикально, а не горизонтально.
 
Компьютерная графика и вычислительная геометрия: