M21720009 на номер 8353
 

Давеча, от второго числа, принесли два системника с одинаковой проблемой. Просит смс с текстом M21720009 на номер 8353.
Похоже на "свежачок". Единственное, что успел разглядеть под занавес рабочего дня, подцепив куст с LiveCD, что в реестре "Shell"="Explorer.exe", а вместо "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," типа такого пути - C:\Program Files\Internet Explorer\Iexplore.exe.......(примерно)scnsvhst.dll

К сожалению, не успел проверить. Завтра буду пытать.
На DrWEB не ссылаться. Там пока этого варианта нет.
Мне само окно убрать не проблема, правда до следующего перезапуска :)
Если уже кто-то сталкивался с это бякой, опишите ваши действия. Правильные или нет, не важно. Просто наступать второй раз на одни и те же грабли не хочется.

Самый простой случай, над которым я экспериментировал. Загрузился с BarPE, подгрузил реестр, В значении ключа "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," был другой файл - C:\WINDOWS\system32\user.exe - файл удаляем, пишем правильное значение в к ключах Shell и Userinit. Всё.

Знаю есть варианты, когда нужно было ещё очистить папки Temp и в том числе находящиеся в Documents and Setting\_name_profile_

Здесь можно найти некоторые варианты рецептов против sms-вымогателя

А что мешает сделать в этот момент логи утилитой AVZ ? :) Нет возможности?

Да просто блокировано всё напрочь. Замена расширения на *.COM и другие, не прокатила.
В любом случае, системники нужно отдавать и полюбому что-то придумывать.
Завтра днём или вечером отпишусь.

МБАМ пробовал ? Она не плохо чистит реестр от неправильных ключей ко всему прочему..


Попробуйте код 10555811 или 561139

и попробуйте перевести время на пару месяцев назад и если запустится нормально, проверить курейтом.

Был ещё случай недавно, когда обе версии AVZ - обычная и полиморфная не запускались, смена расширений не помогла, потому что имя у них было avz, помогло простое переименование файла в 111.ехе. Возможно в теле вируса прописан запрет на запуск AVZ по имени avz. Попробуй полиморфную версию AVZ, и смени у неё имя с avz.exe, на 123.exe. По идее должно сработать.

Drongo, да я же говорю, блокируется всё напрочь. Сейчас возьмус за сказанное мной выше. Отпишусь.

Раз уж лазаете ручками в реестре, тогда смотреть ветку
и в параметре AppInit_DLLs убирать вредную dll-ку

Перезагружаемся и после этого сможете сделать логи

Не помогло ничего. Мутить это дело небыло времени, просто переустановил. Такая ботва.
Вопрос всё ещё актуален

Может попробовать отследить все файлы, которые были созданы в течении 1-го месяца?

• Скачать RSIT или отсюда. Запустить, выберать проверку файлов за последний месяц (1 Month) и нажать -Продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Смотрим в log.txt Логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

А там по списку посмотреть на подозретильные...

По указанному мной в сообщении №7 пути в реестре попасть сумел?

А почему бы я не смог? :)
Не помогло.
Ну и будет их с пару тысяч? Тогда чего? А за програмку спасибо.

Проанализировав найдете вредный файл и удалите.

Да хотя бы сюда прикрепить оба лога. :) на самом деле, при стандартных просьбах логов, запрашивается сделать проверку новых файлов в течении 3 месяцев, и попадают туда в список далеко не пару тысяч, а на порядок меньше.