Вирус предлагает активировать Windows XP через Яндекс.Деньги

[misfits]

hi~

как-то в инете на глаза попалась статья о том, что появился такой вирус-лохотрон, который при загрузке выдает сообщение о том, что винда хр не лицензионная и что система нуждается в активации, иначе комп будет заблокирован. активацию нужно произвести по средствам перечисления электронного платежа при помощи терминалов быстрой оплаты через яндекс-деньги за символическую сумму в размере 300 р, причем код активации будет распечатан на чеке, сразу после оплаты. посмеялся в душе, восхитился находчивости лохотронщиков и забыл. а вот сегодня столкнулся с этой проблемой лично. что делать - хз. вроде бы нашел маленькую инструкцию по устранению заразы

Если заразились:

— грузимся в безопасном режиме (консоль именно!)

— в консоли набираем (regedit)

— regedit

— по адресу

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NTCurrent\Version\Winlogon]

ключ "Shell"="Explorer.exe" < — если не такой а подобие ( …system\32drivers\Vinlogon.exe ) то это вирус, замените на ключ "explorer.exe"

— сканим регистр на наличие "driversVinlogon.exe" и мочим наглухо

— рестарт ( через консоль должно работать C:\WINDOWS\system32\shutdown.exe )

— грузим в нормальном режиме и проходим полный скан Антивирусом.

но возникла другая проблема - не могу загрузиться в безопасном режиме, комп самостоятельно делает ребут. тогда попробовал загрузиться с диска с установленной вин хр (windows live cd), прошелся антивирусником (вначеле каспер 5.0, затем др.веб), но из-за устаревших антивирусных баз обеих авп вируса обнаружено не было. сканирование ad-aware выявило подозрительный ключ реестра (связанный с Explorer.exe и winlogon.exe, дословно не помню). удаление этого ключа никак не отразилось на последующей загрузке системы, сообщение о надобности липовой активации выскочило снова. ежели кто сталкивался с такой проблемой, посоветуйте, что нужно сделать, чтобы избавиться от этого виря, желательно чтобы без переустановки системы.

[Pili]

Создайте загрузочный диск, типа WinPe, запишите на него свжую версиюCureIT и, загрузившись с диске, запустите полную проверку всех дисков.

Если комп сможет загрузится в нормальный режим:

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[Professor]

Я ловил подобный троян, кучу прог перепробовал, в том числе и вышеупомянутые, помогла http://www.superantispyware.com/?tag=SUPERANTISPYWARE, попробуй........

[misfits]

удалось завалить вирус! (и вообще, вирус ли это?!)

свежая версия cureit (сам иногда пользуюсь - удобная вещь кстати!) не помогла, полное сканирование ничего не выявило.

после многочисленных попыток, кое-как все же удалось загрузиться в безопасном режиме. сканирование SUPERAntiSpyware тоже не помогло (было найдено несколько подозрительных ключей реестра, но их удаление ничего не дало). скачал еще одну похожую прогу spybot - search & destroy (v1.5.1.19). в папке windows\drivers\ был обнаружен подозрительный файл svchost.exe - завалил! а потом по средствам обычного поиска нашел файл winlogon.exe по адресу windows\system32\dllcache, а как известно файл winlogon.exe всегда расположен в Windows\System32. завалил дубликат. ребут. все. так мы победили сырость.

2Professor, Pili

спасибо, что откликнулись

[Pili]

misfits: сделайте доброе дело, отошлите пожалуйста эти файлы сюда, не знаю детектит эти зловреды или нет касперский с дрвебом, можете ещё на newvirus@kaspersky.com и сюда

Спасибо.

[OleGRiK]

Сегодня у клиента снял такую хрень, скопировал на флэху, она прописывается в реестре и грузится вместо Explorer.exe... Как попадает на комп не понял... ("Усовершенствованная" модель предлогает отправить SMS стоящую 10$) Программеры кто хочет разобрать пишите скину, самому интересно че куда шлет...

[518]

удалось завалить вирус! 2 (новая модификация)

в моём случае winlogon создан не был, вирус находился в файле svchost.exe. %windows%\drivers\

при удалении (winlogon - переставала грузиться ОС, т.к. удалял правильный файл, не вирус)

Самое трудно было допереть, как запустить "Выполнение" из Диспетчера задач, для правки реестра. ;-) (справка диспетчера помогла)

[trootootoo]

У меня подобное случилось на ноутбуке.. Черный экран и безполезная загрузка в безопасном режиме, все это не давало результата. Помогло: Тупо оставляем сидюк открытым, страница повисит немного с сбрасывается. Имя этой погани tel.xls ищем вручную и бьем его, у меня avast его нашел и убил из бутсектора

[kpblc]

Сегодня словил. Не знаю, что делать.

Перезагрузил, вошёл в BIOS, поменял дату на завтра- Брандмауэр повреждён.

Откатил на 16 дней назад- порядок, интернет коннектится.

Авирой проверил- чисто.

[Eugen.mgn]

Мне помог DrWeb LiveCD !!! И нет проблем)))

[Форматцевт]

Как подметил тов. Eugen.mgn в 90%, а может и более, случаев помогает бутовый диск - http://www.freedrweb.com/livecd/

Я им уже пользовался, когда 3-5 раз лечил компы знакомых.