Попался этот блокер еще раз.задача решена. Завтра будет описание решения проблемы
возможны модификации. Перепишете еще файл taskmgr.exe Вашей ХР файлом из этого архива http://yes.km.ua/images/userinit_taskmgr.rar
Обновлено 05.07.2012 14:06
Продолжение истории: 26.10.2011 и снова наш старый знакомый блокер-вымогатель. Изображение и содержание окна один в один с уже опубликованным только теперь это 250 грн на кошелек WebMoney U252494517837: "КОМПЬЮТЕР ЗАБЛОКИРОВАН!Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 250 гривен в WebMoney кошелек U252494517837. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать" После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 301 ч.2 УК УКР"Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления" Хотя в комментариях написано, что любой блокер можно удалить за 15 минут - такой факт вызывает сомнения. С указанным зловредом не помог Kaspersky Rescue Disk, Kaspersky Windows Unlocker.Зловред прописывается в значение Shell реестра а сам физически находится тут: C:\Documents and Settings\All Users\Application Data\22CC6C32.exeПравка реестра, удаление тела не приносит результатов. После перезагрузки ситуация повторяется. Удаленный файл и исправленный реестр восстанавливаются в исходное состояние. Прогон диска С KIS10 с последними обновлениями ничего не дает. Опытным путем установлено, что в этой ситуации, ко всему прочему подменены оригинальные файлы explorer.exe и userinit.exe в папках windows и windows\system32 соответственно.Таким образом решение проблемы: грузимся с бутового диска с ERD Commander на борту или подобным софтом для редактирования реестра установленной ОС. Восстанавливаем корректные значения для [HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe". Файловым менеджером удаляем 22CC6C32.exe. Заменяем файлы на те, что приложены в архиве. Перезагружаем компьютер.Единственное, что не было сделано - не сохранены фейковые explorer.exe и userinit.exe, не проверены www.virustotal.com, и не разосланы экземпляры по антивирусным лабораториям. У кого будет подобная ситуация - сделайте это пожалуйста!
Решение проблемы : сохранение личных данных: фотографий, документов, музыки. format c и переустановка системы.
Блокер-вымогатель. Блок за просмотр якобы запрещенного видео. Предлагает перечислит 200 грн в качестве штрафа на кошелек WebMoney U383593510183. Сервисы по снятию блокеров от Касперского и др. Веб не помогли. Безопасный режим так же не решил проблему. Очистка темпов, анализ system32 - не помогло.
ХудшийЛучший
Рейтинг пользователей: / 0
Борьба с блокером U383593510183, U252494517837
Борьба с блокером U383593510183, U252494517837
Комментариев нет:
Отправить комментарий