Default Green Orange
Gemini_13's Blog
Блокнот полезных вещей
Home
    • Карта сайта
    • Обо мне
RSS

Как побороть более сложный SMS-вымогатель

Windows Add comments

В инете появились более новые и хитрые смс-вымогатели, блокирующие компьютор и требованием отправить смс с кодом или перечислить деньги на какой-то номер. Вот один из более-менее популярных таких усовершенствованных вирусов. Номер может отличатся, но текст останется тот же. Как победить обычный SMS-вымогатель и как они работают расписано в другой статье — Вирус «Отправте SMS на номер…», а тут мы поговорим о новой версии этого вируса.

Вот так выглядит это окно.
Для чистки компьютора от этого вируса нам понадобится:

  • любой LiveCD с Windows на борту
  • оригинальные файлы taskmgr.exe и userinit.exe

Ну-с, начнем…

  1. Запускаем Windows с LiveCD
  2. Пуск — Выполнить (Win + R) — regedit
  3. В открывшейся программе выбираем HKEY_LOCAL_MACHINE
  4. Нажимаем Файл -> Загрузить куст. И выбираем файл, который мы хотим открыть Х:\WINDOWS\system32\config\software
    На запрос как назвать ветку пишем Soft
  5. Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Windows находим параметр AppInit_DLLs – его значение должно быть пустое. Если там что-то написано – необходимо открыть этот ключ и почистить.
  6. Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр Userinit должно быть нечто похожее на C:\WINDOWS\system32\userinit.exe и больше ничего. Также смотрим на параметр Shell, в котором должно быть прописан только explorer.exe. Должна быть такая картина:
    Shell => explorer.exe
    Userinit => C:\WINDOWS\system32\userinit.exe
  7. Все, с реестром закончили. Нажимаем на раздел Soft, потом Файл -> Выгрузить куст.
  8. Открываем фаловый менеджер (проводник или что-то другое) и удаляем такие файлы:
    Х:\Documents and Settings\All Users\Application Data\22CC6C32.exe
    Х:\WINDOWS\System32\userinit.exe
    Х:\WINDOWS\System32\taskmgr.exe
    Х:\WINDOWS\System32\03014D3F.exe
    Х:\WINDOWS\System32\dllcache\userinit.exe
    Х:\WINDOWS\System32\dllcache\taskmgr.exe
  9. Теперь можно смело закинуть подготовленные нами оригинальные файлы userinit.exe и taskmgr.exe в такие папки:
    Х:\WINDOWS\System32\userinit.exe
    Х:\WINDOWS\System32\taskmgr.exe
    Х:\WINDOWS\System32\dllcache\userinit.exe
    Х:\WINDOWS\System32\dllcache\taskmgr.exe
  10. Перезагрузите компьютор и разботайте спокойно дальше 🙂

24 сентября, 2012  
Tags: sms, windows, вирус, вымогатель, удаление

3 комментария to “Как побороть более сложный SMS-вымогатель”

  1. Александр
    18 сентября, 2013 at 10:46 дп

    >> Пуск — Выполнить (Win + R) — regedit
    то есть с liveCD откроется реестр той винды, что на винте?
    Насколько я знаю, нужна специализированная утилита на liveCD, которая сможет открыть реестр по указанному пути.

    Если честно, до этого поста за последние лет 5 я почистил много таких скрин-локов. И только один раз не смог, видимо был случай как в вашем посте. Все остальные случаи лечились удалением из автозапуска непонятных *.exe и удалением их с винта.


  2. Александр
    18 сентября, 2013 at 10:48 дп

    Ааа. Понял. Я не дочитал. С кустами так не заморачивался.


  3. Gemini_13
    19 сентября, 2013 at 1:24 дп

    🙂


Leave a Reply

  • Рубрики

    • FreeBSD (20)
    • Linux (46)
    • MySQL (11)
    • Windows (14)
    • Железо (3)
    • Мои моды к TorrentPier II (16)
    • Настройка сервера (49)
    • Разное (33)
    • Скрипты (30)
  • Свежие записи

    • Поля форм на Yii2: textInput(), passwordInput() и hiddenInput()
    • Поля форм на Yii2: CheckboxList()
    • SpeedTest датацентров Digital Ocean
    • Патчим Gearman на Debian
    • nginx + Apache 2.4 и REMOTE_ADDR (решение проблемы)
    • Создание и подключение swap-файла в Debian
    • Запуск PhpStorm 9 x64 на Windows
    • Рекурсивная замена прав доступа для папок и файлов в Linux
    • VirtualBox 5 + phpVirtualBox на Debian 8.2 (jessie)
    • Обработка сессий PHP с помощью Redis + phpredis на Debian 7.8
  • Ссылки

    • My GitHub
  • Архивы

    • Июнь 2016 (2)
    • Март 2016 (2)
    • Январь 2016 (3)
    • Ноябрь 2015 (2)
    • Август 2015 (1)
    • Февраль 2015 (1)
    • Январь 2015 (7)
    • Октябрь 2014 (1)
    • Июнь 2014 (1)
    • Май 2014 (1)
    • Апрель 2014 (7)
    • Февраль 2014 (9)
    • Январь 2014 (5)
    • Декабрь 2013 (7)
    • Ноябрь 2013 (1)
    • Октябрь 2013 (3)
    • Август 2013 (4)
    • Июль 2013 (4)
    • Июнь 2013 (3)
    • Апрель 2013 (2)
    • Март 2013 (2)
    • Февраль 2013 (6)
    • Январь 2013 (2)
    • Декабрь 2012 (1)
    • Ноябрь 2012 (2)
    • Октябрь 2012 (7)
    • Сентябрь 2012 (22)
Все права защищены © 2012 Gemini_13's Blog
G13.org.ua