Jump to content
СофтФорум - всё о компьютерах и не только

Вирус предлагает активировать Windows XP через Яндекс.Деньги


Recommended Posts

hi~

как-то в инете на глаза попалась статья о том, что появился такой вирус-лохотрон, который при загрузке выдает сообщение о том, что винда хр не лицензионная и что система нуждается в активации, иначе комп будет заблокирован. активацию нужно произвести по средствам перечисления электронного платежа при помощи терминалов быстрой оплаты через яндекс-деньги за символическую сумму в размере 300 р, причем код активации будет распечатан на чеке, сразу после оплаты. посмеялся в душе, восхитился находчивости лохотронщиков и забыл. а вот сегодня столкнулся с этой проблемой лично. что делать - хз. вроде бы нашел маленькую инструкцию по устранению заразы

Если заразились:

— грузимся в безопасном режиме (консоль именно!)

— в консоли набираем (regedit)

— regedit

— по адресу

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NTCurrent\Version\Winlogon]

ключ "Shell"="Explorer.exe" < — если не такой а подобие ( …system\32drivers\Vinlogon.exe ) то это вирус, замените на ключ "explorer.exe"

— сканим регистр на наличие "driversVinlogon.exe" и мочим наглухо

— рестарт ( через консоль должно работать C:\WINDOWS\system32\shutdown.exe )

— грузим в нормальном режиме и проходим полный скан Антивирусом.

но возникла другая проблема - не могу загрузиться в безопасном режиме, комп самостоятельно делает ребут. тогда попробовал загрузиться с диска с установленной вин хр (windows live cd), прошелся антивирусником (вначеле каспер 5.0, затем др.веб), но из-за устаревших антивирусных баз обеих авп вируса обнаружено не было. сканирование ad-aware выявило подозрительный ключ реестра (связанный с Explorer.exe и winlogon.exe, дословно не помню). удаление этого ключа никак не отразилось на последующей загрузке системы, сообщение о надобности липовой активации выскочило снова. ежели кто сталкивался с такой проблемой, посоветуйте, что нужно сделать, чтобы избавиться от этого виря, желательно чтобы без переустановки системы.

62f450b2c3c08e104577f73f66c3c409.jpg

Link to comment
Share on other sites

Создайте загрузочный диск, типа WinPe, запишите на него свжую версиюCureIT и, загрузившись с диске, запустите полную проверку всех дисков.

Если комп сможет загрузится в нормальный режим:

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

  • Upvote 1
Link to comment
Share on other sites

удалось завалить вирус! (и вообще, вирус ли это?!)

свежая версия cureit (сам иногда пользуюсь - удобная вещь кстати!) не помогла, полное сканирование ничего не выявило.

после многочисленных попыток, кое-как все же удалось загрузиться в безопасном режиме. сканирование SUPERAntiSpyware тоже не помогло (было найдено несколько подозрительных ключей реестра, но их удаление ничего не дало). скачал еще одну похожую прогу spybot - search & destroy (v1.5.1.19). в папке windows\drivers\ был обнаружен подозрительный файл svchost.exe - завалил! а потом по средствам обычного поиска нашел файл winlogon.exe по адресу windows\system32\dllcache, а как известно файл winlogon.exe всегда расположен в Windows\System32. завалил дубликат. ребут. все. так мы победили сырость.

2Professor, Pili

спасибо, что откликнулись

Link to comment
Share on other sites

misfits: сделайте доброе дело, отошлите пожалуйста эти файлы сюда, не знаю детектит эти зловреды или нет касперский с дрвебом, можете ещё на newvirus@kaspersky.com и сюда

Спасибо.

Link to comment
Share on other sites

  • 9 months later...

Сегодня у клиента снял такую хрень, скопировал на флэху, она прописывается в реестре и грузится вместо Explorer.exe... Как попадает на комп не понял... ("Усовершенствованная" модель предлогает отправить SMS стоящую 10$) Программеры кто хочет разобрать пишите скину, самому интересно че куда шлет...

Link to comment
Share on other sites

  • 1 month later...

удалось завалить вирус! 2 (новая модификация)

в моём случае winlogon создан не был, вирус находился в файле svchost.exe. %windows%\drivers\

при удалении (winlogon - переставала грузиться ОС, т.к. удалял правильный файл, не вирус)

Самое трудно было допереть, как запустить "Выполнение" из Диспетчера задач, для правки реестра. ;-) (справка диспетчера помогла)

Link to comment
Share on other sites

  • 3 months later...

У меня подобное случилось на ноутбуке.. Черный экран и безполезная загрузка в безопасном режиме, все это не давало результата. Помогло: Тупо оставляем сидюк открытым, страница повисит немного с сбрасывается. Имя этой погани tel.xls ищем вручную и бьем его, у меня avast его нашел и убил из бутсектора

Link to comment
Share on other sites

WindowsSMS_7202490_202110.jpg

Сегодня словил. Не знаю, что делать.

Перезагрузил, вошёл в BIOS, поменял дату на завтра- Брандмауэр повреждён.

Откатил на 16 дней назад- порядок, интернет коннектится.

Авирой проверил- чисто.

WindowsSMS_7202490_202110.jpg

WindowsSMS.jpg

post-82377-1240089215_thumb.jpg

Link to comment
Share on other sites

  • 2 weeks later...

Как подметил тов. Eugen.mgn в 90%, а может и более, случаев помогает бутовый диск - http://www.freedrweb.com/livecd/

Я им уже пользовался, когда 3-5 раз лечил компы знакомых.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...