Jump to content
СофтФорум - всё о компьютерах и не только

Вирус-вымогатель

Varyag
 Share

Recommended Posts

Varyag

Varyag

Posted
Posted

Вот такая напасть на одном из рабочих компьютеров. Вчера вечером появился вирус требует отправить смс на номер 3381.

Появляется и в безопасном режиме. Откат системы и regedit он отключил. При запуске HijackThis или AVZ компьютер выключается (пробовал переименовывать файлы - не помогает), а другие программы (SpyDLLRemover, Runscanner) не запускаются. Но каким-то чудом можно запустить jv16 PowerTools 2006. В этой версии нет менеджера реестра (т.е. подобного regedit), но по крайней мере есть поиск по реестру.

Проверил ключ Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Он имеет стандартное значение "C:\Windows\system32\userinit.exe".

В ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs оказалось вот такое заковыристое значение "C:\WINDOWS\system32\c_874.nls:c5AKakzfOA" Что бы это могло значить? И куда теперь копать? Прошу помощи в избавлении от заразы.

Link to comment
Share on other sites
Varyag

Varyag

Posted
  • Author
Posted

Прошу прощения, что долго не отвечал и спасибо всем посодействовавшим.

Yezhishe: я, конечно же, выполнил те рекомендации, но безрезультатно. Причем я особо и не надеялся. Я уже 4 раза сталкивался с подобными вирусами и ни разу данные сервисы не были полезными.

шпилька: вирус оказался один в один похож на мой, за исключением текста отправления. Единственным возможным средством борьбы с этим вырусом была правка реестра из ERD Commander. Но очищение значения ключа AppInit_DLLs, как советовали в той теме, ничего не дало.

Итогом всего было указание просто переустановить систему, так как компьютер был нужен срочно.

После этих мытарств у меня сформировалось пожелание - создать тему в которой были бы перечислены все (или хотя бы основные) ключи реестра, отвечающие за автозагрузку и в которых особенно часто прописываются вирусы. Прочитав несколько тем на форуме я узнал, несколько таких (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows) но информация о них была разрознена и собирать ее было очень затратно по времени. А ведь есть еще и другие. И было бы здорово, чтобы информацию о них была вынесена в отдельную тему, там же можно было бы прописать основы приемы работы с ERD Commander в случае вирусного заражения.

Link to comment
Share on other sites
thyrex

thyrex

Posted
Posted

Но очищение значения ключа AppInit_DLLs, как советовали в той теме, ничего не дало.

Очистка значеня параметра и переименование файла должны были позволить приступить к выполнению правил ;)
Link to comment
Share on other sites
Varyag

Varyag

Posted
  • Author
Posted

Переименование?! А вот это я упустил :sm(100): Ладно, в следующий раз постараюсь быть внимательнее. Хотя надеюсь, что такого "следующего раза" не будет :bye1:

Link to comment
Share on other sites
  • 4 weeks later...
mesir

mesir

Posted
Posted (edited)

Вот такая напасть на одном из рабочих компьютеров. Вчера вечером появился вирус требует отправить смс на номер 3381.

Появляется и в безопасном режиме. Откат системы и regedit он отключил. При запуске HijackThis или AVZ компьютер выключается (пробовал переименовывать файлы - не помогает), а другие программы (SpyDLLRemover, Runscanner) не запускаются. Но каким-то чудом можно запустить jv16 PowerTools 2006. В этой версии нет менеджера реестра (т.е. подобного regedit), но по крайней мере есть поиск по реестру.

Проверил ключ Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Он имеет стандартное значение "C:\Windows\system32\userinit.exe".

В ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows в параметре AppInit_DLLs оказалось вот такое заковыристое значение "C:\WINDOWS\system32\c_874.nls:c5AKakzfOA" Что бы это могло значить? И куда теперь копать? Прошу помощи в избавлении от заразы.

Есть такая чудная прога RansomHide, дает ответ на многие вопросы. Ответ на <censored> - текст <censored>! . И все танцы с бубнами в реестре отпадают. Удачи!

Edited by Yezhishe
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...