Вобщем то последнее время часто приходится удалять блокеры и другие вирусы с новыми фишками (например нельзя подобрать код разблокировки или вирус недает грузится с флешки или лайфсиди) ну и пару вирусов скопировал себе для интереса- помучал- базы на них доктор вебер имеет- Куреит их находит!
как лечить расскажу
-Вобщем все кто желает с подобными зверями познакомиться могу прислать в запароленном архиве на вашу почту!

Расскажу всем о баннере который на синем экране и типа пишет, что вас поймали в педафилии и т.д., типа киньте 400 р. на счет 8-981… и в терминале на чеке будет номер разблокировки.У меня друг поймал точно такой же вирус. При чем это не обычный Winlogon, он ничего не меняет в реестре, не позволяет запускаться в безопасном режиме, блокирует диспетчер задач, при попытке просканировать систему с Live CD он блокирует работу всей системы и выдает ошибку на синем экране с ошибкой в модуле памяти (Текст: система самостоятельно вызвала эту ошибку, потому что работа данной программы может нарушить работоспособность системы и если вы понимаете, к чему это может привести, то проверьте свой антивирус еще раз, убедитесь в его работоспособности и после перезагрузки попробуйте еще раз...Потом все снова повторяется) и вот почему... Дело все в том что это вирус заменяет файлы в папке windows\system32 taskmgr.exe (т.е. диспетчер задач, оригинальный размер 136 Кб) и userinit.exe (главный старт оболочки системы, оригинальный размер 26 Кб) своими файлами с такими же именами только вот размер у обоих по 28 Кб., притом оригинальные он удаляет совсем, поэтому вылечить систему не возможно. Краткие свойства этих файлов (только не смейтесь). Описание: Guan, Производитель: Bit Defender, Версия файлов: 3.0.5739.4303, Внутреннее имя: Gn.exe, Исходное имя файла: Guan.exe, Название продукта: Guano, Язык: Казахский. Теперь я думаю вы догадываетесь кто этот … и откуда он.
Теперь рассказываю что происходит дальше. Когда Вы запускаете систему, соответственно система запускает эти файлы (taskmgr & userinit) эти файлы создают две записи (два файла) в библиотеке кэша Windows\system32\dllcache и как вы думаете они называются? Все верно userinit.exe и taskmgr.exe по 28 Кб каждый. Что происходит далее? Далее создаются в учетной записи администратора C:\Documents and Settings\All Users.WINDOWS\Application Data два самозапускающихся файла один из них userinit.exe, второй уже называется 22cc6c32.exe который и является "нашим" баннером(причем даже при запуске файла с Live CD, система блокируется и наджо перезагружаться). Рассказываю теперь как лечить. Запускаетесь с Live CD Windows XP (я пробовал только на ХР, как бороться на других системах сказать не могу). Открываете папку C:\Documents and Settings\All Users.WINDOWS\Application Data, удаляете userinit.exe и 22cc6c32.exe, затем заходите в C:\WINDOWS\system32\dllcache (но ее может правда и не быть, но все равно проверьте), находим и удаляем файлы taskmgr.exe и userinit.exe. Затем предстоит самое трудное. Необходимо скинуть на флэшку с рабочего компа с системой Windows XP(возьмити у друзей, на работе или еще где нибудь, они к стате могут быть на LiveCD, но у меня не было), два оригинальных (незараженных) файла taskmgr.exe и userinit.exe. Затем вставляете флэшку в зараженный комп. Находите на зараженном компе файлы taskmgr.exe и userinit.exe в папке C:\WINDOWS\system32, удаляете их и вставляете вместо них оргинальные файлы, которые у вас на флэшке. Вуаля, если все сделали правильно, то перезагружаете комп и увидите перед собой любимый рабочий стол (возможно и не запустится, если будут голые обои, то запускаете диспетчер задач, затем выполнить, пишете команду regedit,изменяете параметьры системного реестра KEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe,).Перезапускаетес ь еще раз и все good.Затем чистите систему антивиром (обязательно, у меня нашел остатки этого вируса в 18 объектах).


если вам не помогли способы с реестром, куреит не нашел вирусов, а блокировка все так же есть, попробуйте посмотреть в c:/dcoments and settings/, я нашел файл весом в 92 кб с названием чтото типа bitindustries.. удалил - все исчезло.

блокировка включалась не сразу, окно с таймером, и номером 9670958246
Я нашел способ избавиться от вируса, на который еще нет анлока!
Шаг 1) Перед вами окно с требованием заплатить деньги, убрать его никак нельзя, НО нажав Win+U можно вызвать "лупу" (также ее можно вызвать, нажав Ctr+Alt+Del и далее нажав кнопку "Специальные возможности". После того, как вы вызвали лупу, на заднем фоне (за окном вымогателя) появляется страничка помощника Windows. Далее Вам не составит труда зайти в Мой Компьютер и найти там файл "regedit". Ищем HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой!). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра. Можно перезагружать комп, а дальше чистить его (либо Dr.Web CureIt либо, AVPtool). Буду рад,если помог!
Грузимся с win-live, запускаем редактор реестра, смотрим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и поля Shell и Userinit в ней. В первом поле должно быть только Explorer.exe и ничего более. Во втором должно быть Имя_диска:\WINDOWS\system32\userinit.exe, (с запятой!) где Имя_диска – буква C, D, E и так далее, в зависимости от того, на каком диске стоит у вас Windows.
Вырезаем из этих полей всё, что там написано, кроме указанного. Но прежде чем вырезать, смотрим, куда и на какие файлы ведут эти «посторонние» записи. Это-то и есть самое главное, чем винлок выдаёт себя с головой. Находим эти файлы и удаляем. Имена этих файлов всегда выглядят нелепо, вроде 6jgk976.dat или jd9w78djk.exe Но не спешите радоваться – эти файлы могут быть всего лишь отвлекающими внимание, а настоящая подлянка вот в чём:
1.) Скорее всего, системный файл userinit.exe в WINDOWS\system32 подменён, и вместо него под этим именем лежит та программа, которая и показывает вам окно с кнопкой «ввести код». А настоящий userinit.exe переименован в какой-нибудь D6JH86NU.exe и лежит тут же, но может быть и удалён совсем. Причём, размеры оригинала и подделки близки. (В корпоративной Windows XP SP2 настоящий userinit.exe имеет размер 25088 байт.) Опознать настоящий файл легко – при наведении курсора мыши на всплывающей подсказке будет видно его настоящее имя. Если настоящий userinit.exe удалён, то его можно скопировать из соответствующей папки на win-live, предварительно удалив поддельный. Если всего этого не сделать, то редактирование поля Userinit в ветке реестра ничего не даст.
2.) Кроме уже уставившегося винлока, на вашем компьютере где-то есть архив с ним или его даунлодер, и если его не найти, то все труды будут напрасными, потому что всё начнётся сначала. Скачиваете с сайта cureit.exe, запускаете его в win-live и проверяетесь. (Другой вариант – скачать здесь же live-usb / live-cd с антивирусом.)

Кстати, уже установившийся винлок НЕ является вирусом или вредоносной программой, поэтому антивирусы его не видят/не удаляют, они видят троянов, которые пытаются загрузить вам винлок, так что не надо рвать и метать после свершившегося факта, надо вовремя обновляться и уметь выбирать антивирусы.
Ещё один совет – не работайте постоянно на своём компьютере под администраторской учёткой. Это удивительно, но 99% пользователей именно так и делают, не отдавая себе отчёта в том, насколько это опасно, и скольких проблем можно избежать, если этого не делать. Создайте себе для постоянной работы юзерскую учётку с ограниченными правами.
И ещё одно моё ИМХО: может быть есть винлоки, против которых помогают генераторы кодов, но буквально вчера я встретил такого, у которого кнопка «ввести код» не делает ничего, а только нажимается – это пустышка, к которой не привязано никакой функции. Поэтому мне удивительно, что тут какие-то коды предлагают. Мне было не до коллекционирования, поэтому я этот экземпляр просто убил. Если кому-то интересно, то надо было отправить 400 р. на номер 911 291 65 87.
Было требование перечислить 500руб на 89179525547, среди предложенных кодов для разблокировки нашелся подходящий-99885522. Cureit не нашел ничего...В реестре добавилась запись по пути:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon". Там будет много разных надписей, но нас
интересуют только "Shell" и "Userinit".
- параметр Shell должен быть прописан только Explorer.exe, если там написано что-то другое, то это и есть вирус и просто
стираем и пишем Explorer.exe
- параметр Userinit должен выглядеть так "C:\WINDOWS\system32\userinit.exe," (запятая обязательно) и ничего после этого не
должно быть написано, если все-таки там что-то написано, то записываем названия всех экзешников на бумажку (их потом надо
будет удалить с компа), а затем смело удаляем лишнее из строки, кроме "C:\WINDOWS\system32\userinit.exe,"!
перезагружаем комп в обычном режиме и ВУАЛЯ, почти все готово!
Спасибо за помошь!

Самое надежное средство - средство восстановления системы. Мне помогло вылечить уже около десятка машин.

Заходим в безопасном режиме с поддержкой командной строки. В командной строке вводим команду %systemroot%\system32\restore\rstrui.exe и нажмимаем клавишу ENTER.

Если ругнется, что нет такой команды, то пишем cd %systemroot%\system32\restore, тыкаем ENTER, затем набираем rstrui.exe ENTER. Запустится система восстановления. Далее выбираем дату, когда система работала и вперед.

После восстановления полностью проверить систему свежим антивирусом.

Так жэ появился вирус из серии посмотри это ты на видео? вконтакте- шлется с бота со взломанного аккаунта всем контактам сообщение -" посмотри видео" и сцыла на якобы ютуб -хотя на оф ютубе такое видео отсутствует .При попытке просмотра видео пишет - для просмотра данного видео вы должны установить макромедиа флеш плейер 11 и как только вы нажимаете уставить вуаля и вирус у вас в компе !
Что он творит во первых ломает акк вконтакте во вторых полностью удаляет антивирус и в трее пишет что антивирус работает в усиленном режиме но значек в трее несколько изменён!прописывает кучу экзешников в автозагрузку обычно названия с цифрами типа 33456222. exeнедает нормально работать интернету и грузит проц на 100 проц!сидит в виндовс темп -маскируется под svhost -выглядит как установщик макромедиа флеш плейер неудаляется ничем даже анлокером (антивирусом Куреитом удаляется)
Вобщем все кто желает с подобными зверями познакомиться могу прислать в запароленном архиве на вашу почту! [Ответ]

ram777, http://bvf.ru/forum/showthread.php?t=743851 [Ответ]

Труд хороший, но имхо ни кому он ненужен, кто понимает и так знает, а кто не понимает - или сразу позовет понимающего, или сначала доломает, а потом все таки позовет понимающего. [Ответ]

Andrei_ra, Вобщетм то да пару раз разблокировал подобные винлоки причём у хозяина компа на столе лежала подробная инструкция по удалению с копаниями в реестре - но неосилил видно да и лайвсиди у них небыло!Всерано мож мануал кому поможет! [Ответ]

ram777, о боже! :LOL:. *рука закрывает глаза. [Ответ]

Сообщение от ram777:
Всерано мож мануал кому поможет!

+100500... [Ответ]

Сообщение от ram777:
или вирус недает грузится с флешки или лайфсиди)

это, простите, как? в биос свой код внедряет?

p.s. иногда мне кажется что стрелок и рам - один и тот же человек. ну очень почерки похожи [Ответ]

Сообщение от Катя.:
это, простите, как? в биос свой код внедряет?

А для вас это новость? Вы не знали, чё раньше не было дисков (hdd), а bios был частью OS? [Ответ]

Сообщение от Hip-Hop:
раньше не было дисков (hdd), а bios был частью OS?

раньше - это когда? лет 40 назад? криокамера потекла? на дворе уже 2011 год! [Ответ]

Катя., ЖЖот как всегда!!Как недает грузится с сидирома?а ОЧЕНЬ ПРОСТО ПРИ ПОПЫТКЕ ЗАГРУЗИТСЯ ВЫКИДЫВАЕТ В СИНЬКУ!!зНАКОМО ТАКОЕ? [Ответ]

Перезагрузится в безопасном режиме, найти все экзешники на диске с датой создания менее чем неделя до сегодняшнего дня, найти их в реестре, убрать из реестра, удалить с shift с диска. Перезагрузиться в нормальном режиме.
Если совсем всё плохо, сделать восстановление системы с диска.
К чему СТОКА букф?))) [Ответ]

Сообщение от ram777:
Как недает грузится с сидирома?а ОЧЕНЬ ПРОСТО ПРИ ПОПЫТКЕ ЗАГРУЗИТСЯ ВЫКИДЫВАЕТ В СИНЬКУ!!зНАКОМО ТАКОЕ?

Улыбнуло) И часто он так не даёт загрузиться? 0_о
Так и вижу - гружу лайвсд убунты, а тут синька вместо кернель паника [Ответ]

Сообщение от VitohA:
Так и вижу - гружу лайвсд убунты, а тут синька вместо кернель паника

Ну, oops (kernel panic etc) просто так не бывают и очень информативно описаны. Эт вам не синие экраны, где ещё попробуй расшифруй в чем дело

Сообщение от Катя.:
раньше - это когда? лет 40 назад? криокамера потекла? на дворе уже 2011 год!

Ну, слепок bios можно сделать из os (win?) Внести изменения и опять записать на место? [Ответ]

Сообщение от VitohA:
Так и вижу - гружу лайвсд убунты

а в реестр винды можно с неё залезть? [Ответ]

Сообщение от mishel13:
а в реестр винды можно с неё залезть?

Можно, но проще пользоваться erd commander'ом - тож в синьку не выкидывает))) Да и файлы на оригинальность он умеет проверять. [Ответ]

Spectator, Буквы затем чтоб их читать а вот если внимательно почитать то что вверху написано то будет понятно что в безопасном режиме все новые блокеры недают грузится и так жэ с поддержкой командной строки так что ваши простые методы тут неподходят Ибо цитата '' Дело все в том что это вирус заменяет файлы в папке windows\system32 taskmgr.exe (т.е. диспетчер задач, оригинальный размер 136 Кб) и userinit.exe (главный старт оболочки системы, оригинальный размер 26 Кб) своими файлами с такими же именами только вот размер у обоих по 28 Кб., притом оригинальные он удаляет совсем, поэтому вылечить систему не возможно"

VitohA, убунту непользую может и зря конечно но обычные лайвсиди от Вебера и Каспера нормально работают мне нравится а синька лечится загрузкой с флешки! [Ответ]

Сообщение от ram777:
'' Дело все в том что это вирус заменяет файлы в папке windows\system32 taskmgr.exe (т.е. диспетчер задач, оригинальный размер 136 Кб) и userinit.exe (главный старт оболочки системы, оригинальный размер 26 Кб) своими файлами с такими же именами только вот размер у обоих по 28 Кб., притом оригинальные он удаляет совсем, поэтому вылечить систему не возможно"

Попробуй erd - он и реестр поправит и системные файлы восстановит - и ненужные грохнет - всё-в-одном да и за бесплатно. А батником можно эти операции автоматизировать. Из под него же можно запустить avz для поиска заражённых файлов. И не нужно такого большого количества действий)))

P.S.: и откат по точкам восстановления в нём есть.
ИМХО: лайвсд от каспера и веба не нужны, ибо они не настолько универсальны. [Ответ]

Сообщение от ram777:
поэтому вылечить систему не возможно

файлы taskmgr.exe и userinit.exe не уникальны. их можно найти на установочном диске. [Ответ]

Сообщение от ram777:
Spectator, Буквы затем чтоб их читать а вот если внимательно почитать то что вверху написано то будет понятно что в безопасном режиме все новые блокеры недают грузится и так жэ с поддержкой командной строки так что ваши простые методы тут неподходят Ибо цитата '' Дело все в том что это вирус заменяет файлы в папке windows\system32 taskmgr.exe (т.е. диспетчер задач, оригинальный размер 136 Кб) и userinit.exe (главный старт оболочки системы, оригинальный размер 26 Кб) своими файлами с такими же именами только вот размер у обоих по 28 Кб., притом оригинальные он удаляет совсем, поэтому вылечить систему не возможно"

Ну тогда загрузиться с Live CD, или даже просто с дистрибутива винды, и если так, то запустить восстановление системы. [Ответ]

Сообщение от VitohA:
Можно,

эт не для меня .стоит с ХР убунта на одном винте,так я даже подмонтировать разделы не могу нтфсные [Ответ]

Сообщение от ram777:
Катя., ЖЖот как всегда!!

жжошь как как раз ты.

Сообщение от Hip-Hop:
Ну, слепок bios можно сделать из os (win?) Внести изменения и опять записать на место?

обновить биос из под винды? изменить какие-то его параметры - да (помню одна мамка предлагала мне из-под винды залепить на заставку другое изображение), но поменять его код... это разве возможно?

Сообщение от mishel13:
я даже подмонтировать разделы не могу нтфсные

еще один epic fail. [Ответ]

Сообщение от Катя.:
обновить биос из под винды? изменить какие-то его параметры - да (помню одна мамка предлагала мне из-под винды залепить на заставку другое изображение), но поменять его код... это разве возможно?

Ну, если по аналогии.. , то возможно. Вот из linux можно получить бинарных слепок bios. Произвести изменения в hex-редакторе над образом (или ещё как-то) (если знать чё менять) и записать всё на место. Если можно всё это.. чё нельзя остальное? В bios встречаются разного рода защиты от вирусов. От записи кода в бутблок и порчи перезаписываемой энергозависимой памити (где bios лежит). [Ответ]

Сообщение от Катя.:
обновить биос из под винды? изменить какие-то его параметры - да

вполне возможно. Asus Update к примеру. [Ответ]

сегодня у клиента видел первый раз баннер в mbr. Лечится программой fix mbr, с загрузочного alkid live cd. [Ответ]

Сообщение от atlas:
сегодня у клиента видел первый раз баннер в mbr. Лечится программой fix mbr, с загрузочного alkid live cd.

Копирнули, сюда бы образ выложили... в 512 байт баннер поместить. Простой текст? И какая же версия винды и какой антивирус допустили это? Интересно.
З.Ы.: И что там писали? Куда смс слать и куда ответ вводить? Реально интересно, никогда не встречался с таким. [Ответ]

просто текст. появлялся сразу после иннициализации биоса (до появления логотипа Windows). Текст дословно не помню. Винда - Зверь (XP SP3 надо полагать), анитивирус - nod32 (возможно истекший). Где и как поймали клиент не знает. [Ответ]

Сообщение от VitohA:
Интересно.

http://habrahabr.ru/company/kaspersky/blog/120964/
это какая-то новая волна. появились ну совсем недавно. [Ответ]

да, это он и был [Ответ]

Сообщение от atlas:
да, это он и был

Этот пару раз встречался, убирал из консоли восстановления командой fixmbr. Достаточно установочного диска. [Ответ]

Сообщение от ram777:
Spectator, Буквы затем чтоб их читать а вот если внимательно почитать то что вверху написано то будет понятно что в безопасном режиме все новые блокеры недают грузится и так жэ с поддержкой командной строки так что ваши простые методы тут неподходят Ибо цитата '' Дело все в том что это вирус заменяет файлы в папке windows\system32 taskmgr.exe (т.е. диспетчер задач, оригинальный размер 136 Кб) и userinit.exe

пАнимаете в чем проблема, я "чуть" лучше понимаю архитектуру ОС Windows. И прекрасно знаю какие файлы в какой момент загружаются.
Хотя и сам виноват - нужно было указать конкретнее что загружаться нужно в безопасном режиме с поддержкой командной строки, ДО того как дело дойдет до taskmgr.exe и userinit.exe. Ну и файлы искать, соответственно, не через проводник, а через командную строку, если уж так всё плохо. [Ответ]