Форум программистов, компьютерный форум, киберфорум
Наши страницы

Компьютерная безопасность

Войти
Регистрация
Восстановить пароль
 
Рейтинг: Рейтинг темы: голосов - 723, средняя оценка - 4.63
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
#1

Разблокировка компьютера от sms баннеров - Безопасность

28.04.2011, 21:25. Просмотров 89819. Ответов 10

Разблокировка компьютера от баннера с номером 8-911-291-76-49

Разблокировка компьютера от баннера с номером 89671473953
_________________________________________________________________________________________

Разблокировка компьютера от баннера с номером 8-911-291-76-49

Создаю эту тему на этом форуме, потому что гуглил по данной проблеме лично и нигде не нашёл ответа, хотя вопрос этот задавался неоднократно. Этот форум прекрасно кэшируется поисковиками, и люди без проблем найдут решение.

В общем за последние 2 дня у четырёх моих клиентов появился баннер с просьбой положить деньги на номер 8-911-291-76-49. Впервые я впал в ступор, бился у клиента с этим баннером целый час и так и не понял, как эта зараза появляется вновь и вновь на компьютере, несмотря на её удаление и замену параметров в реестре значений Shell и Explorer (эта зараза меняет Шел на себя). В общем пришлось переставлять Винду, а дома уже рабираться. Скачав эту дрянь себе на комп и запустив у себя спустя час наконец-то дошло; рассказываю:

Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. В общем замкнутый круг получается.
Хочу отметить то, что есть одна небольшая "родинка" у файла userinit.exe, который лежит по пути c:\WINDOWS\system32\dllcache\ - у него не стандартная иконка, а квадрат серого цвета, что выдаёт его с потрохами.

В общем итоговое решение для тех, кто в танке и каске:
загружаемся через Live-CD, грохаем файл c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл userinit.exe (прикреплю к сообщению)
заходим в реестр Вашей винды и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
переа\загружаемся и хлопаем в ладоши


P.S.: отдельный привет хотелось бы передать Сибирскому городу Бердску, да восславится имя его!
16
Миниатюры
Разблокировка компьютера от sms баннеров  
Вложения
Тип файла: rar userinit.rar (11.9 Кб, 9603 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
28.04.2011, 21:25
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Разблокировка компьютера от sms баннеров (Безопасность):

Разблокировка компьютера от sms банера - Безопасность
Доброва всем дня. Я по поводу разблокировки комп. от sms банера, проделал все манипуляции выше изложенные в форуме, в безопасном режиме...

Способы разблокировки компьютера от sms баннеров. Делимся опытом. - Безопасность
Администацию попрошу правильно назвать эту тему, что бы в поиске яндекса находилось. Сейчас сильно прогресирует Троян.Винлок. Уже даже...

Разблокировка WinLock - Безопасность
Небольшой мануал по разблокировке одного из троянов семейства WinLock удалено]

разблокировка компьютера - Удаление вирусов
При включении картинка рабочего стола загружается и нет ни одной папки, но при нажатии контрл+альт+делет выскакивает калькулятор.Помогите...

Разблокировка компьютера - Удаление вирусов
Добрый вечер! Попросили разблокировать компьютер(нетбук),но код не ввести из-за того,что стоит по умолчанию русская раскладка. Попробовал...

Разблокировка компьютера - Удаление вирусов
При включении компьютера вылетает такая хрень. Что делать? F2,F8 не работает.

10
eurysthenes
0 / 0 / 0
Регистрация: 18.07.2015
09.05.2011, 13:09 #2
Также кроме указанного в шапке темы номера телефона возможен и такой вариант - 89112885653 (8-911-288-56-53). Принцип действия тот же, поэтому и действовать как описал автор темы в первом посте. Удачи.
0
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
19.05.2011, 07:40  [ТС] #3
я смотрю, тема набрала за 3 недели почти 3 тысячи просмотров, видимо актуальна.
кому интересно, вот юзериниты, которая эта нечисть закидывает на комп:
userinit1.rar - по пути C:\Windows\System32\userinit.exe - отвечает за содание файла в следующей директории
userinit2.rar - по пути C:\Windows\System32\dllcache\userinit.exe - отвечает за создание баннера и прописку его в реестре.

 Комментарий модератора 
кому интересно, обращаемся лично к ТС
8
Евгений С.
35 / 34 / 2
Регистрация: 17.11.2009
Сообщений: 248
02.06.2011, 15:24 #4
Добавлю по сабжу для Windows 7:
загружаемся через Live-CD, грохаем файл c:\Program Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\taskmngr.exe на здорове
заходим в реестр Вашей винды и меняем значение параметра Shell на "Explorer.exe", userinit на "C:\Windows\system32\userinit.exe,"(внимание, запятая важна!) которые находятся в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Program Data\22CC6C32.exe").
Для пущеё необходимости был ещё заменен explorer.exe. Да, и userinit нужен от конкретной версии 7-ки - у меня отказался запускаться от про пока не вложил оригинал от ультимата. Удачи!
PS: Дмитрию респект, сработал пооперативнее Жени Касперского))
3
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
03.06.2011, 06:38  [ТС] #5
по поводу диспетчера задач - после восстановления параметров системы утилитой AVZ всегда проверяю taskmgr и проблем у клиентов с ним не было. но, видимо, есть модификации, заменяющие его, буду иметь ввиду, спасибо
кстати, прикрепляю к сообщению несколько вариаций системных файлов
P.S.: вчера у клиента увидел новый баннер с белым фоном. поленился сфотографировать. так вот теперича с после новых баннеров всегда проверяю шелл и юзеринит - на всякий пожарный
0
Вложения
Тип файла: rar explorer7.rar (968.3 Кб, 1292 просмотров)
Тип файла: rar explorerSP3.rar (336.3 Кб, 1080 просмотров)
Тип файла: rar explorerZVER.rar (532.5 Кб, 809 просмотров)
Тип файла: rar TASKMANxp.rar (7.2 Кб, 1060 просмотров)
Тип файла: rar userinit7.rar (12.8 Кб, 902 просмотров)
Тип файла: rar userinitXP.rar (11.9 Кб, 1201 просмотров)
Тип файла: rar winlogonXP.rar (113.7 Кб, 1144 просмотров)
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
14.06.2011, 17:37  [ТС] #6
Разблокировка компьютера от баннера с номером 89671473953

продолжая эпопею борьбы с раными видами баннеров...
сегодня впервые попался баннер с номером 89671473953. на этот раз разработчик порадовал нас новым способом внедрения баннера через MBR-область
бороться с ним большого ума не требуется, но необходим специальный софт
можно использовать LIVE-CD ZVER DVD. в нём есть софтина называемая "восстановления MBR" (или как-то аналогично). запускаете её, выбираете жёсткий диск (если один, то drive 0), выставляете операционную систему (например, Windows XP) и жмёте "старт".
перезагружаетесь и хлопаете в ладоши
2
Миниатюры
Разблокировка компьютера от sms баннеров   Разблокировка компьютера от sms баннеров  
Katharsis
Заблокирован
14.06.2011, 21:59 #7
Обсуждение темы и вопросы: Способы разблокировки компьютера от sms баннеров. Делимся опытом.
0
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
21.09.2011, 13:23  [ТС] #8
не редко баннеры, попадающие на компьютеры, прописываются всего лишь в автозагрузке. для таких случаев для восстановления системы можно обойтись и "безопасным режимом". но вот тут очень часто случается так, что при загрузке "безопасного режима" вылазит "синий экран смерти" (BSOD) - его, как правило, отрубает вирусня, поганя реестр в параметрах загрузки безопасного режима. в таких случаях помогает альтернатива "безопасному режиму" - "режим восстановления службы каталогов"
0
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
24.10.2011, 15:20  [ТС] #9
в сообщении №6 есть скрин баннера. там описан способ, как победить этот баннер на Windows XP. так вот забыл дописать о том, как побеждать этот баннер на Windows 7.

1. загружаетесь с Live-CD (ERD или любой другой под оболочкой Win32)
2. запускаете утилиту Dr.Web CureIt!®, останавливаете быструю проверку и выбираете раздел 100 mb, обычно создаваемый при установке Windows 7 / Vista для загрузочной области, там эта утилита сразу же найдёт гадость и удалит. для тех, у кого не была выделена загрузочная область в 100 mb, выбирайте локальный диск С (тот, на котором установлена Windows, как правило) в любом случае он будет первым разделом вашего жёсткого диска и на нём уже утилита так же найдёт эту гадость и удалит
3. после проверки утилитой Dr.Web CureIt!® в целях профилактики и успокоения совести рекоменую проверять разделы автозапуска в реестре, а так же автозагрузку в главном меню (к примеру у меня путь такой: c:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\)


и ещё момент. как легко и быстро находить разделы автозагрузки в реестре? запустив редактор реестра regedit нажимаете Ctrl+F (поиск) и вводите "runonce" (без кавычек), ставите галочки только на "имена разделов", "только строку целиком", жмёте поиск. каждый раз, наткнувшись на раздел "Runonce", проверив этот раздел на наличие левых записей, будете подымать курсор на один пункт выше, это всегда будет пункт "Run", проверив его, жмёте F3 (продолжить поиск) и продолжаете в том же духе, пока ни проверите все разделы автозагрузки
1
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
24.10.2011, 15:48  [ТС] #10
об очередном хитром баннере, показанном на скрине
эта зараза удивила меня оригинальным методом проблематичности восстановления Винды после удаления сего баннера. убирается она, как и большинство других баннеров, заменой стандартными значениями веток реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение Userinit должно быть C:\Windows\system32\userinit.exe,
а значение Shell должно быть Explorer.exe

но вот дальше, если вы перезагрузите компьютер, баннер пропадёт, однако вы не сможете войти в свою учётную запись, при выборе которой начнётся и тут же закончится её загрузка.
так вот бились мы с коллегами и один умный человек подсказал, где зарыта собака
это скорей всего отладчики , которые сидят здесь:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
в них могут быть параметры "debugger" со значением - какой неть левый файл
удаляются ветки целиком и отдельно файлы
после чего я несколько раз на разных системах проверял и он оказался прав. добавить нечего
3
Миниатюры
Разблокировка компьютера от sms баннеров  
Дмитрий-Нск
белый @ пушистый
2089 / 543 / 16
Регистрация: 13.07.2007
Сообщений: 1,881
16.07.2012, 20:55  [ТС] #11
Последняя линейка баннеров не радует нас своим разнообразием, по сути отличаясь лишь картинкой.
В абсолютном большинстве случаев снять такой баннер не представляет особого труда, причём не используя сторонний софт абсолютно - эти баннеры не заменяют файлы, не блокируют реестр или диспетчер задач и т.д. Они просто прописываются в автозагрузку и убить их можно так:
1. при включении компьютера щёлкаете в истеричном темпе кнопочку F8, пока не появится на чёрном экране список вариантов загрузки Windows.
2. выбираете "Безопасный режим с поддержкой командной строки" и жмёте Enter
3. в появившемся чёрном окне (командная строка) пишите "regedit" и жмёте Enter
4. далее жмёте поиск (F3) и пишите "Runonce", оставляете галочки только на "Имена разделов", "Только строку целиком", жмёте "Найти далее". Каждый раз находя раздел Runonce поднимаете курсор на один раздел выше и смотрите, что в автозагрузке. Как правило эта линейка баннеров имеет имя файла что-то вроде "0.51191919616.exe". Находите этот параметр и запоминаете, где лежит гадость (как правило по пути "c:\Users\<имя пользователя>\" и удаляете этот параметр.
5. Перезагружаетесь через диспетчер задач в обычный режим и удаляете этот файл.
Хлопаете в ладоши, зловред повержен.
1
16.07.2012, 20:55
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.07.2012, 20:55
Привет! Вот еще темы с ответами:

Разблокировка компьютера от баннера - Удаление вирусов
Подскажите пожалуйста! Тоже хватанул эту блокировку компьютера.Все тот же файл 22CC6C32.exe Если его удаляешь, то после перезагрузки с...

разблокировка компьютера от баннера 7 9139112942 - Удаление вирусов
Появился баннер требует отправить 1000 рублей. Напишите в действиях что нужно делать и менять.

Отправка SMS с компьютера на телефон - C++
Я хочу создать программу, которая будет отправлять SMS, написанные на компе на мой мобильный телефон. Можно ли это организовать на С++?...

Бесплатная отправка SMS с компьютера на телефон. - Delphi
Подскажите пожалуйста как сделать программу для бесплатной отправки SMS с компьютера на мобильный телефон?


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Закрытая тема Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru