Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] SMS-вымогатель по активации Windows (ничего не помогает)

Ответить
Настройки темы
[решено] SMS-вымогатель по активации Windows (ничего не помогает)

Новый участник


Сообщения: 48
Благодарности: 0

Профиль | Отправить PM | Цитировать


У друга известная проблема, вирус не дает зайти в операционную систему, требуя отправить SMS на короткий номер. Дело в том, что буквально вчера я скачал DrWeb LiveCD с официального сайта и полностью проверил все диски на его компе. Были найдены несколько файлов, содержащих вредоносный код, которые мы удалили (среди них помню такие, как riodrv.exe, twex.exe). Но окно SMS-вымогателя так и осталось.

Больше всего меня удивляет то, что даже при ПОЛНОЙ проверке с ПОСЛЕДНИМИ базами из ЧИСТОЙ (LiveCD) среды и последующем удалении вредоносного ПО, вирус остается в системе. Как такое возможно?

Также хочу отметить отличие этого вируса от всех подобных тем, что этот позволяет войти в безопасный режим. Его цветовое оформление очень схоже с этим — http://forum.oszone.net/attachment.p...5&d=1244365863. Отличие в том, что в моем экран черный, а текст — красный.

Чуть позже я зашел в реестр его винды из безопасного режима. В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в параметре Userinit после userinit.exe стояло следующее: C:\WINDOWS\system32\sdra64.exe. И этот файл действительно лежал по указанному пути, антивирус прошел мимо него. Переименовать мне его не удалось («Файл используется другим приложением»). Удалил соответсвующую лишнюю запись, оставив только userinit.exe. Загрузившись с виндовского LiveCD, я переименовал сам файл в sdra64.exe.bak. Но проблема так и осталась…

Сегодня, при разговоре с ним, я попросил его проверить параметр Shell. Там все в порядке: explorer.exe. Далее, я сказал ему попробовать выставить полный путь к файлу userinit.exe — C:\WINDOWS\system32\userinit.exe, (с запятой на конце). В итоге Windows приобрела странное поведение — из его колонок до моего телефона доносились периодически повторяющиеся звуки загрузки и завершения Windows. По его словам, Windows пыталась завершить работу, а потом снова загрузиться, потом снова завершить и так бесконечно большой период времени. Попытка войти в безопасный режим после данных манипуляций окончилась провалом…

Помогите нам, пожалуйста, уважаемые люди, проблема стоит очень остро для моего друга. Прошу большое прощение за отсутствие каких-либо логов, друг живет на другом конце города, а у меня в данный период времени весьма и весьма мало… Не удаляйте эту тему, вы — наша последняя надежда на спасение. Операционная система: Windows XP SP3 (лицензия).

Отправлено: 17:32, 07-06-2009

 

Аватара для stan7307

Inventor


Сообщения: 421
Благодарности: 56

Профиль | Отправить PM | Цитировать


HatoL, а вот этим не пробовали пользоваться?http://news.drweb.com/show/?i=304&c=5&p=0

-------
To be or not to be: that is the question? To be....


Отправлено: 18:04, 07-06-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 48
Благодарности: 0

Профиль | Отправить PM | Цитировать


Не пробовали… Теперь надо как-то привести систему в действо, ибо даже в безопасный не получается зайти. Как можно отредактировать реестр убитой винды? На виндовском LiveCD пробовал заходить в regedit — открывается реестр этой, загруженной с диска в память системы.

Отправлено: 18:12, 07-06-2009 | #3


Аватара для stan7307

Inventor


Сообщения: 421
Благодарности: 56

Профиль | Отправить PM | Цитировать


HatoL, Попробуйте через ERD Commander. Там нужно выбрать директорию, где находится папка Windows именно вашей системы. После этого сможете редактировать реестр. ERD->Start->Administrative Tools->Registry Editor. Удачи!

-------
To be or not to be: that is the question? To be....


Последний раз редактировалось stan7307, 07-06-2009 в 18:38. Причина: Добавление


Отправлено: 18:16, 07-06-2009 | #4


Аватара для Vitac_Black

Старожил


Сообщения: 431
Благодарности: 45

Профиль | Отправить PM | Цитировать


HatoL, Вообщето нужны логи.
Без логов советую: попробуйте методом залипания клавиш добраться до проводника и запустить AVZ
http://virusnet.info/forum/showthread.php?t=1231
http://stopvirus.ru/winlock/
Удачи.

-------
А если тебе не по сердцу мой путь,
Выбери свой или выбери с кем.
А мне по барабану вся эта муть,
Я не червонец, что бы нравиться всем!
(гр.Алиса)


Отправлено: 18:25, 07-06-2009 | #5


Аватара для Котяра

Ветеран


Сообщения: 2907
Благодарности: 331

Профиль | Отправить PM | Цитировать


Цитата HatoL:
В итоге Windows приобрела странное поведение — из его колонок до моего телефона доносились периодически повторяющиеся звуки загрузки и завершения Windows. По его словам, Windows пыталась завершить работу, а потом снова загрузиться, потом снова завершить и так бесконечно большой период времени. Попытка войти в безопасный режим после данных манипуляций окончилась провалом… »
С параметром Userinit напортачили, попробуйте без пути написать...
Поищите в system32 файл userinit.exe, если его нет, то скопируйте с другого ПК.
Как восстановите ПК, делайте логи.

Отправлено: 21:16, 07-06-2009 | #6


Аватара для akok

Ветеран


Консультант


Сообщения: 764
Благодарности: 202

Профиль | Сайт | Отправить PM | Цитировать


А если есть, то необходимо править реестр.

-------


Отправлено: 01:33, 08-06-2009 | #7


ИО Капитана Очевидности


Contributor


Сообщения: 5387
Благодарности: 1105

Профиль | Отправить PM | Цитировать


Цитата HatoL:
Больше всего меня удивляет то, что даже при ПОЛНОЙ проверке с ПОСЛЕДНИМИ базами из ЧИСТОЙ (LiveCD) среды и последующем удалении вредоносного ПО, вирус остается в системе. Как такое возможно? »
1. Вирус очень новый, чтобы отследить его по сигнатурам (их ещё в базу не добавили)
2а. Данный файл не содержит функции размножения (она была в удалённых файлах) и других специфичных для вируса/трояна операций
2б. Не был включен "эвристический анализ"

И, в довершении, drweb не проверяет ресстр и не восстанавливает пути

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.


Отправлено: 09:13, 08-06-2009 | #8


Новый участник


Сообщения: 48
Благодарности: 0

Профиль | Отправить PM | Цитировать


Через ERD Commander полностью очистил следующие папки: C:\WINDOWS\Prefetch и C:\WINDOWS\Temp. Также поудалял неизвестные файлы в подпапках папки C:\Document and Settings. В итоге система загрузилась, но…

Наблюдается некоторая странность. Дело в том, что у друга есть ADSL LAN-модем. Если этот модем держать выключенным (т. е. сетевая карта не видит его), то все в порядке. Если же его включить, а потом попытаться вызвать диспетчер задач, то вылетит BSOD с ошибкой PAGE_FAULT_IN_NONPAGED_AREA и кодом 0x000000050 без указания имени файла. При этом, перед BSOD я пробовал заходить на сайты. Opera не может зайти ни на один сайт, а у IE с этим проблем нет (именно поэтому я начал искать причину этой неполадки, вызвав в первую очередь диспетчер задач).

Если оставить модем включенным перед загрузкой, то BSOD возникает сам по себе через какое-то время или при выполнении некоторой операции (просмотр свойств файла, кликанье правой кнопкой мыши по файлу и т. п.). В безопасном режиме все работает гладко.

Путешествие по журналу событий и службам результатов не дало, за исключением одного «но». В списке служб я заподозрил одну из них, имеющую очень странное имя: oigwazxua. Но данная служба запускает вполне безобидный процесс: svchost.exe -k … (здесь не помню, что было). Также странными мне показались две службы с именами PnkBstrA и PnkBstrB, запускающими файлы C:\WINDOWS\system32\PnkBstrA.exe и C:\WINDOWS\system32\PnkBstrB.exe соответственно. Все эти службы я отключил, но результатов не было.

Также я попробовал восстановить все файлы, которые удалил из папки C:\WINDOWS\Temp (уж больно она много занимала — 1 ГБайт). Окно вируса не появлялось, но проблема осталась.

Вирусов на компьютере нет.

Вполне естественно возникает один из самых резонных вопросов: что делать?

Отправлено: 18:40, 08-06-2009 | #9


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5718
Благодарности: 1115

Профиль | Отправить PM | Цитировать


Цитата HatoL:
Также странными мне показались две службы с именами PnkBstrA и PnkBstrB, запускающими файлы C:\WINDOWS\system32\PnkBstrA.exe и C:\WINDOWS\system32\PnkBstrB.exe соответственно. Все эти службы я отключил, но результатов не было. »

Цитата:
PunkBuster - автоматически самообновляющаяся система программного обеспечения античитерства на сервере. Это означает, что за игроком в процессе игры устанавливается наблюдение PunkBusterом, которое отсылает на сервер все нарушения конкретного игрока. Система PunkBuster разработана, для того чтобы все игроки были ответственны за свои поступки в онлайн играх, при использовании читерских команд. PunkBuster не изменяет никаких файлов или функции настройки на вашем компьютере, даже если и обнаруживается некоторые типы нарушений во время игры у данного игрока, а просто выводит сообщение ему о нарушениях допущенных им и кикает (удаляет) игрока с сервера или же банит. Admin сервера в праве включать на сервере или не включать PunkBuster, всё зависит только от его желания. Вы можете в настройках игры отключить PunkBuster, но при этом у вас будет уже ограниченный список серверов, на которых тоже PunkBuster будет отключён. PunkBuster не является вирусной программой и создан для честной игры на сервере. Дополнительно, PunkBuster не передает ваши частные данные на любой другой компьютер, не содержет собственных баз данных в которых описаны ваши персональные данные. PunkBuster в основном только ищет не стандартные действия в процессе вашей игры.
Игры имеете ?

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 18:46, 08-06-2009 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] SMS-вымогатель по активации Windows (ничего не помогает)

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разблокировка WinLock (SMS-вымогатель,смс-вымогатель,порнобаннер) ispolin Лечение систем от вредоносных программ 6 17-05-2011 20:57
Как убрать sms-вымогатель? Torbin Лечение систем от вредоносных программ 3 30-12-2009 17:05
Ничего не помогает!Все игры тормозят!УЖАС Fordsierra Непонятные проблемы с Железом 27 06-05-2008 14:21
SP-2 Висит всё!!! Не помогает ничего! prov666 Microsoft Windows 2000/XP 10 05-08-2005 20:02




 
Переход