Разблокировка компьютера от sms баннеров

Дмитрий-Нск

Разблокировка компьютера от баннера с номером 8-911-291-76-49

Разблокировка компьютера от баннера с номером 89671473953
________________________________________________________________________________ _________

Разблокировка компьютера от баннера с номером 8-911-291-76-49

Создаю эту тему на этом форуме, потому что гуглил по данной проблеме лично и нигде не нашёл ответа, хотя вопрос этот задавался неоднократно. Этот форум прекрасно кэшируется поисковиками, и люди без проблем найдут решение.

В общем за последние 2 дня у четырёх моих клиентов появился баннер с просьбой положить деньги на номер 8-911-291-76-49. Впервые я впал в ступор, бился у клиента с этим баннером целый час и так и не понял, как эта зараза появляется вновь и вновь на компьютере, несмотря на её удаление и замену параметров в реестре значений Shell и Explorer (эта зараза меняет Шел на себя). В общем пришлось переставлять Винду, а дома уже рабираться. Скачав эту дрянь себе на комп и запустив у себя спустя час наконец-то дошло; рассказываю:

Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. В общем замкнутый круг получается.
Хочу отметить то, что есть одна небольшая "родинка" у файла userinit.exe, который лежит по пути c:\WINDOWS\system32\dllcache\ - у него не стандартная иконка, а квадрат серого цвета, что выдаёт его с потрохами.

В общем итоговое решение для тех, кто в танке и каске:
загружаемся через Live-CD, грохаем файл c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл userinit.exe (прикреплю к сообщению)
заходим в реестр Вашей винды и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
переа\загружаемся и хлопаем в ладоши

P.S.: отдельный привет хотелось бы передать Сибирскому городу Бердску, да восславится имя его!

Миниатюры

 

Вложения

userinit.rar (11.9 Кб, 7675 просмотров)

eurysthenes

Также кроме указанного в шапке темы номера телефона возможен и такой вариант - 89112885653 (8-911-288-56-53). Принцип действия тот же, поэтому и действовать как описал автор темы в первом посте. Удачи.

Дмитрий-Нск

я смотрю, тема набрала за 3 недели почти 3 тысячи просмотров, видимо актуальна.
кому интересно, вот юзериниты, которая эта нечисть закидывает на комп:
userinit1.rar - по пути C:\Windows\System32\userinit.exe - отвечает за содание файла в следующей директории
userinit2.rar - по пути C:\Windows\System32\dllcache\userinit.exe - отвечает за создание баннера и прописку его в реестре.

	Комментарий модератора Katharsis
	кому интересно, обращаемся лично к ТС

Евгений С.

Добавлю по сабжу для Windows 7:
загружаемся через Live-CD, грохаем файл c:\Program Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\taskmngr.exe на здорове
заходим в реестр Вашей винды и меняем значение параметра Shell на "Explorer.exe", userinit на "C:\Windows\system32\userinit.exe,"(внимание, запятая важна!) которые находятся в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Program Data\22CC6C32.exe").
Для пущеё необходимости был ещё заменен explorer.exe. Да, и userinit нужен от конкретной версии 7-ки - у меня отказался запускаться от про пока не вложил оригинал от ультимата. Удачи!
PS: Дмитрию респект, сработал пооперативнее Жени Касперского))

Дмитрий-Нск

по поводу диспетчера задач - после восстановления параметров системы утилитой AVZ всегда проверяю taskmgr и проблем у клиентов с ним не было. но, видимо, есть модификации, заменяющие его, буду иметь ввиду, спасибо
кстати, прикрепляю к сообщению несколько вариаций системных файлов
P.S.: вчера у клиента увидел новый баннер с белым фоном. поленился сфотографировать. так вот теперича с после новых баннеров всегда проверяю шелл и юзеринит - на всякий пожарный

Вложения

	explorer7.rar (968.3 Кб, 941 просмотров)
	explorerSP3.rar (336.3 Кб, 905 просмотров)
	explorerZVER.rar (532.5 Кб, 683 просмотров)
	TASKMANxp.rar (7.2 Кб, 923 просмотров)
	userinit7.rar (12.8 Кб, 703 просмотров)
	userinitXP.rar (11.9 Кб, 991 просмотров)
	winlogonXP.rar (113.7 Кб, 931 просмотров)

Дмитрий-Нск

Разблокировка компьютера от баннера с номером 89671473953

продолжая эпопею борьбы с раными видами баннеров...
сегодня впервые попался баннер с номером 89671473953. на этот раз разработчик порадовал нас новым способом внедрения баннера через MBR-область
бороться с ним большого ума не требуется, но необходим специальный софт
можно использовать LIVE-CD ZVER DVD. в нём есть софтина называемая "восстановления MBR" (или как-то аналогично). запускаете её, выбираете жёсткий диск (если один, то drive 0), выставляете операционную систему (например, Windows XP) и жмёте "старт".
перезагружаетесь и хлопаете в ладоши

Миниатюры

   

Katharsis

Обсуждение темы и вопросы: Способы разблокировки компьютера от sms баннеров. Делимся опытом.

Дмитрий-Нск

не редко баннеры, попадающие на компьютеры, прописываются всего лишь в автозагрузке. для таких случаев для восстановления системы можно обойтись и "безопасным режимом". но вот тут очень часто случается так, что при загрузке "безопасного режима" вылазит "синий экран смерти" (BSOD) - его, как правило, отрубает вирусня, поганя реестр в параметрах загрузки безопасного режима. в таких случаях помогает альтернатива "безопасному режиму" - "режим восстановления службы каталогов"

Дмитрий-Нск

в сообщении №6 есть скрин баннера. там описан способ, как победить этот баннер на Windows XP. так вот забыл дописать о том, как побеждать этот баннер на Windows 7.

1. загружаетесь с Live-CD (ERD или любой другой под оболочкой Win32)
2. запускаете утилиту Dr.Web CureIt!®, останавливаете быструю проверку и выбираете раздел 100 mb, обычно создаваемый при установке Windows 7 / Vista для загрузочной области, там эта утилита сразу же найдёт гадость и удалит. для тех, у кого не была выделена загрузочная область в 100 mb, выбирайте локальный диск С (тот, на котором установлена Windows, как правило) в любом случае он будет первым разделом вашего жёсткого диска и на нём уже утилита так же найдёт эту гадость и удалит
3. после проверки утилитой Dr.Web CureIt!® в целях профилактики и успокоения совести рекоменую проверять разделы автозапуска в реестре, а так же автозагрузку в главном меню (к примеру у меня путь такой: c:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\)


и ещё момент. как легко и быстро находить разделы автозагрузки в реестре? запустив редактор реестра regedit нажимаете Ctrl+F (поиск) и вводите "runonce" (без кавычек), ставите галочки только на "имена разделов", "только строку целиком", жмёте поиск. каждый раз, наткнувшись на раздел "Runonce", проверив этот раздел на наличие левых записей, будете подымать курсор на один пункт выше, это всегда будет пункт "Run", проверив его, жмёте F3 (продолжить поиск) и продолжаете в том же духе, пока ни проверите все разделы автозагрузки

Дмитрий-Нск

об очередном хитром баннере, показанном на скрине
эта зараза удивила меня оригинальным методом проблематичности восстановления Винды после удаления сего баннера. убирается она, как и большинство других баннеров, заменой стандартными значениями веток реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение Userinit должно быть C:\Windows\system32\userinit.exe,
а значение Shell должно быть Explorer.exe

но вот дальше, если вы перезагрузите компьютер, баннер пропадёт, однако вы не сможете войти в свою учётную запись, при выборе которой начнётся и тут же закончится её загрузка.
так вот бились мы с коллегами и один умный человек подсказал, где зарыта собака
после чего я несколько раз на разных системах проверял и он оказался прав. добавить нечего

Миниатюры