СМС-вымогательство!

Всем привет!
Произошла значит такая ситуация, мой батя где то подцепил вредоносную программу, которая блокирует вход в систему.
Мол отправьте СМС на указанный номер и т.д. Горячие клавиши и безопасный режим не спасает...
Система Vista SP2 + MSE
Загрузился с WinPE, прошелся KAV(ом) и DrWeb(ом) результат ноль

Так вот вопрос, в каких файлах хранится автозагрузка, службы и т.д. то есть чего можно удалить такого?)

PAV2, запустите из под WinPE/WinRE, Sysinternals Autoruns.

arseny1992, ничего не выйдет, Autoruns работает только с реестром загруженной в данный момент системы. Другое дело можно подключить куст реестра, загрузившись в WinPE и ручками его поковырять...

подключить куст реестра

Можно по подробней?!

Был у меня такой случай. Спасло то, что на компе было 2 ОСи - ХР и 7-ка. ХР поймала эту хрень. Из под семерки KAVом просканировал диск с ХР, удалил вирусы и вуаля - ХР заработала.

PAV2, Редактирование куста реестра образа в конечном устройстве

Библиотека MSDN писал:Правка реестра целевого устройства

1. Загрузите среду предустановки Windows.
2. В командной строке введите команду regedit.
3. Щелкните узел HKEY_LOCAL_MACHINE
4. В меню Файл выберите команду Загрузить куст. Могут появиться несколько окон с сообщениями о том, что не удалось найти папку или что расположение недоступно. Пропустите эти сообщения, нажав кнопку ОК при их появлении. Появится диалоговое окно Загрузить куст.
5. В поле Тип файлов выберите Все файлы.
6. Перейдите в место расположения реестра на целевом устройстве. Например, если образ расположен на диске C, перейдите в папку C:\WINDOWS\system32\config.
7. В папке config выделите куст, который необходимо изменить, и нажмите кнопку ОК.
8. В диалоговом окне Загрузить куст введите имя раздела. Например, TEST_DEVICE. Чтобы загрузить дополнительные кусты, повторите предыдущую последовательность действий.
9. Выберите раздел HKEY_LOCAL_MACHINE, затем выберите созданный новый раздел реестра.
10. Просмотрите или внесите изменения в разделы реестра.
11. После завершения правки разделов реестра выберите раздел HKEY_LOCAL_MACHINE, затем в меню Файл выберите команду Выгрузить куст.

slef, повезло, но на этом компе нету вирусов =(

Это Trojan. Winlock .
Есть способы разблокировки http://www.drweb.com/unlocker/index/?lng=ru

Всё получилось, огромное спасибо!
DrWeb просто молодцы, что подняли такой хороший сервис!

Конкретный пример. Сегодня очередной пациент принёс винт на лечение. Владелец лазил в тырнете, выключил комп, а на следующий день при запуске системы появлялось окно с требованием отправить смс для разблокировки. Всё просто. Подключаем винт больного, сканируем его с помощью MSE и CureIt!, после зачистки вирусов подгружаем куст реестра SOFTWARE и по пути

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

смотрим значение строкового параметра Shell. Вместо дефолтного значения explorer.exe все трояны-вымогатели прописывают туда путь к исполняемому файлу заставки с требованием отравить смс. Вот примерно так:



Вуаля, меняем обратно на explorer.exe, выгружаем куст и срубаем бабло на пиво получаем деньги за устранение проблемы.

Очередной пример, на этот раз немного другой. Клиент попросил переустановить ОС, причину я не спросил. Когда приехал, оказалось, что у него порно-баннер не даёт загрузить рабочий стол. Я предложил не торопиться переустанавливать ОС, а просто удалить этот баннер. С собой было всего 2 диска: вин ХР и вин 7. Загрузившись с диска вин7 дождался появления окна установки, нажал Shift+F10 для вызова окна консоли и командой regedit запустил редактор реестра. В нём загрузил куст SOFTWARE из больной ОС (XP SP3) и в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нашёл изменённый вирусом параметр Userinit:

К строке по умолчанию (C:\Windows\system32\userinit.exe,) вирус дописал ещё C:\Windows\system32\usrinit.exe. То есть, путь к своему телу. Лишнюю строку я удалил, куст выгрузил, перезагрузил комп и он теперь нормально загрузился. Антивирус Avast никак не отреагировал на на файл usrinit.exe в системной папке. Поэтому я его переместил себе на флешку интереса ради . Дома как только открыл флешку MSE сразу же заругался на троян Trojan:Win32/Malagent и удалил этот файл. Вот такая история излечения. Надеюсь, кому-нибудь пригодится.

Johny-electric
Занятная история. Очередной плюс в копилку MSE

Лаборатория Касперского» для борьбы с СМС-блокерами разработала бесплатную мобильную версию сервиса по подбору кода разблокировки компьютера.

Программы-блокеры парализуют работу системы: чтобы убрать баннер с Рабочего стола и разблокировать Windows, необходимо отправить на короткий номер СМС-сообщение по дорогому тарифу. Однако, даже выполнив это условие, в 80 процентах случаев обманутые пользователи оказываются ни с чем. В начале года «Лаборатория Касперского» запустила на своем сайте сервис, который помогает получить необходимый код для восстановления работы компьютера. О востребованности данной услуги свидетельствует тот факт, что за прошедший период на сайте было зарегистрировано свыше 10 млн посещений. Теперь же воспользоваться этим сервисом стало проще — получить код разблокировки можно с любого мобильного устройства, имеющего доступ в Интернет. Для этого нужно пройти по ссылке http://sms.kaspersky.ru/ и указать номер телефона, на который будет выслан необходимый код. С момента своего первого запуска сервис был усовершенствован и дополнен новыми возможностями. К ним относятся, в частности, повышенная оперативность выкладывания кодов, предоставление утилит лечения, а также ссылок на полезные ресурсы. «Несмотря на возбужденные уголовные дела и реальные судебные приговоры, вынесенные злоумышленникам, программы-блокеры продолжают распространяться. Ежедневно тысячи компьютерных пользователей становятся жертвами сетевых вымогателей, — говорит старший вирусный аналитик «Лаборатории Касперского» Иван Татаринов. — Сами вредоносные программы усложняются, а количество сайтов, с которых они могут быть загружены на компьютер, увеличивается. Более того, в последнее время вымогатели стали использовать для перевода денег не только короткие, но и стандартные телефонные номера и сетевые кошельки, а стоимость смс-ки уже не ограничивается суммами в 300-500 рублей». Современные схемы вымогательства в сети становятся все более агрессивными. Чтобы не стать жертвой мошенников, необходимо следовать правилам Интернет-безопасности, открывать подозрительные файлы и запускать приложения только в безопасной среде — «песочнице», но главное не отправлять СМС-сообщения в обмен на коды разблокировки, спонсируя тем самым деятельность хакеров, говорят эксперты.

http://www.cybersecurity.ru/crypto/109545.html

cybercop, да, это хорошо, если троян-вымогатель такого типа (отправь смс блаблабла и получишь в ответ код разблокировки), но если троян как в моём случае, тут эти службы не помогут. Тут вымогатель требует пополнить счёт указанного номера телефона через терминал оплаты и на распечатанном чеке якобы будет указан код разблокировки. Это вообще что-то) А про смс так и у Dr.Web есть подобный сервис.

безусловно. Более того, я сейчас всем знакомым говорю одно и то же. Делайте резервные копии! И не морочьте голову! А в случае чего - восстанавливайтесь