3 1 1 1 1 1 1 1 1 1 1 Rating 3.00 (1 Vote)

Ко мне попал компьютер, на котором поселился SMS вымогатель блокирующий операционную систему, предлагающий отправить СМС иначе все данные будут уничножены, включая даже данные BIOS :). Сообщение появляется при входе в систему, при этом блокируются различные сочетания клавиш, explorer, диспетчер задач, аналогичная ситуация в безопасном режиме, антивирусами не обнаруживается (на данный момент CureIt, AVZ, Nod32).

В данном случае пришлось загружаться с LiveCD. После кратковременного анализа, в системы были обнаружены подозрительные файлы - userinit.exe и taskmgr.exe, так же в папке All Users файл с именем из набора букв и цифр - 22СС6С32.exe. Логический вывод - заменить данные файлы, оригинальными файлами из дистрибутива операционной системы, удалить файл 22СС6С32.exe, проверить паметр Run и Winlogon в реестре.

Итак реестр, необходимо проверить ключи:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Из ветки Run удалить все подозрительное, предварительно сэкспортировав значения данной ветки в файл.

В ветке Winlogon проверить значение ключа shell,  которое должно соотвествовать - explorer.exe, если отличается или ключ отсутсвует то его необходимо создать (тип ключа - строковый) со значением explorer.exe.

Оригинальные файлы можно найти на диске с операционной системой, либо найти в Интернете.

Полезно инфо

 

Комментарии  

Guest
0 # Guest 18.10.2012 11:19
Здравствуйте!
Был подобный случай, когда на компьютер попал СМС-вирус, справился с ним следующим образом.
При старте ОС нажимал Ctrl+Alt+Delete тем самым вызывая Диспетчер Задач, и искал в процессах "лишние" процессы, обнаружил такой процесс 83.exe, завершил, баннер сразу не открылся, но не на долго, через пару минут он снова запустился. Дальше перешел в Мой Компьютер - Диск С - Documents and Settings - Пользователь - Application Data. И там обнаружил этот самый ехе файл, проверил в Диспетчере Задач запущен ли процесс с таким именем, после чего удалил его из директории. Затем проверил компьютер на вирусы, и очистил все что можно. Банер исчез, но это не гарантия того что он не попадёт в ваш ПК опять. Так что следует следить за обновлением своего антивируса во избежание таких проблем.
Ответить | Ответить с цитатой | Цитировать

Сейчас 427 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз