KeyWeb
31111111111Rating 3.00 (1 Vote)

Ко мне попал компьютер, на котором поселился SMS вымогатель блокирующий операционную систему, предлагающий отправить СМС иначе все данные будут уничножены, включая даже данные BIOS :). Сообщение появляется при входе в систему, при этом блокируются различные сочетания клавиш, explorer, диспетчер задач, аналогичная ситуация в безопасном режиме, антивирусами не обнаруживается (на данный момент CureIt, AVZ, Nod32).

В данном случае пришлось загружаться с LiveCD. После кратковременного анализа, в системы были обнаружены подозрительные файлы - userinit.exe и taskmgr.exe, так же в папке All Users файл с именем из набора букв и цифр - 22СС6С32.exe. Логический вывод - заменить данные файлы, оригинальными файлами из дистрибутива операционной системы, удалить файл 22СС6С32.exe, проверить паметр Run и Winlogon в реестре.

Итак реестр, необходимо проверить ключи:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Из ветки Run удалить все подозрительное, предварительно сэкспортировав значения данной ветки в файл.

В ветке Winlogon проверить значение ключа shell,  которое должно соотвествовать - explorer.exe, если отличается или ключ отсутсвует то его необходимо создать (тип ключа - строковый) со значением explorer.exe.

Оригинальные файлы можно найти на диске с операционной системой, либо найти в Интернете.

Полезно инфо

 

Добавить комментарий


Обновить
Защитный код

KeyWeb

Сейчас 458 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз