• Некоторые компульсии по поводу околокомпьютерных обсессий.

    Sunday, September 4, 2011

    пришлите СМС-ку и мы разблокируем ваш компьютер.

    За прошедшую неделю один пользователь поймал троян - блокировщик.
    Вроде известная гадость, полез на сайт Касперского, но там для этого номера кода нет, на dr.Web тоже такого номера нет. Скачал cureit, записал на диск, загрузился, просканировал - пишет что обнаружило, но при загрузке компа опять экран блокировщика "Ваш компьютер был заблокирован за просмотр, копирование тра-ля-ля....".

    Что ж делать, пришлось чистить ручками.
    Загрузился с LiveCD, отредактировал реестр:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    было:
    shell = "C:\Documents and Settings\All users\Application Data\22998866.exe"
    надо :
    shell = "Explorer.exe"  
    Файл    C:\Documents and Settings\All users\Application Data\22998866.exe естественно нужно удалить.  Имя файла может быть другое. В этом каталоге кроме скрытого файла "desktop.ini" и кучи других каталогов не должно быть ничего. Он может прятаться и на папку выше.
    Далее. Этот зверь еще подменил C:\Windows\system32\userinit.exe
    У нормального  userinit.exe размер 26 кб (на той версии  Windows XP), у подмененного - точно такой же, как и у того файла, который удалили (22998866.exe). Этот userinit.exe нужно будет удалить. Чем его заменить? Если есть дистрибутив этой версии Windows, то оттуда вытащить, можно из папки "System Volume Information". Найти последнее резервирование системных файлов (папка вида RPxxx, где xxx - порядковый номер сохранения), найти в этой папке файл типа "Aхххххх.exe" размером 26 кб и посмотреть свойства файла. На вкладке "Версия" должно быть "Приложение Userinit для входа в систему", "© Корпорация Майкрософт. Все права и т.п."
    Копируем этот файл в   C:\Windows\system32\userinit.exe. Не забываем удалить  C:\Windows\system32\dllcache\userinit.exe  .
    Все, можно перегружаться.


    Сегодня с утра была такая же ситуация у другого пользователя, только надо прислать деньги на WMU кошелек. Я уж не стал искать на сайтах код стал сразу лечить.

    Post a Comment