Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Удаление sms-вымогателей (блокировшиков, баннеров) без помощи ERDCommander

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Bern
    Bern
    Bern вне форума

    Супер-модератор
    Регистрация
    22.03.2011
    Сообщений
    288
    Поблагодарил(а)
    122
    Благодарностей
    84

    Удаление sms-вымогателей (блокировшиков, баннеров) без помощи ERDCommander

    Сразу оговорюсь, если заблокирован безопасный режим, данный метод не сработает!
    Недавно мне прислали два вымогателя. Обычно при данном типе заражения ПК, испльзуем ERDCommander и смотрим параметры реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    userinit
    параметр
    shell
    Однако, один из двух вымогателей вносит ряд дополнительных изменений в реестр, тем самым усложняет процесс лечения.

    Trojan-Ransom.Win32.PornoBlocker.dfg
    Этот зловред более "продвинутый". Его особенность в том, что он вносит изменения в реестр кроме параметра shell, еще несколько параметров.
    И, если исправить параметр shell с помощью, например, ERDCommander, то ПК загрузится и будет видно только фоновый рисунок рабочего стола.
    При запуске arakrnl.exe копирует себя в %Windir%, создает файл с атрибутом "скрытый" armedkrnl.exe и порядка 85 файлов вида 1MIHANSj (случайные символы) размер 1Kb
    Вносит изменения в реестр:
    - блокировка редактора реестра
    - блокировка диспетчера задач
    - блокировка панели управления
    - включено сокрытие всех элементов на рабочем столе
    - модифицирован ключ запуска проводника
    - отключено контекстное меню панели задач
    - заблокировано изменение свойств экрана

    Trojan-Ransom.Win32.PornoCodec.bh
    При первом запуске копирует себя nvcvc32.exe (атрибут "скрытый") в %Windir%
    Создает в папке %Windir% батник RUNDLL.BAT с атрибутом "скрытый", в котором одна запись--start nvcvc32.exe
    Модифицирует ключ запуска проводника
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    shell Explorer.exe, %Windir%\RUNDLL.BAT

    Лечение:
    Если Вы не знаете как работать с реестром, нет под рукой ERDCommander и не можете найти файлы вымогателя, тогда выполните следующее:
    загружаем ПК в безопасном режиме с поддержкой командной строки. Вводим команду Explorer.exe и открывается проводник. Запускаем AVZ--Файл--Мастер поиска и устранения проблем--Категория проблемы-выбрать Системные проблемы, Степень опасности-выбрать Проблемы средней тяжести. Нажать Пуск. Отметить все найденные проблемы и нажать Исправить отмеченные проблемы. Перезагружаем ПК--в командной строке вводим команду shutdown -r
    Затем просканировать компьютер антивирусом со свежими антивирусными базами.

    Продолжение.
    Trojan-Ransom.Win32.PornoBlocker.dro
    Попал ко мне очередной вымогатель. Он интересен тем, что тот способ лечения, который был описан в первом посте не поможет.
    И вот почему: зловред создает в соответствующей ветке реестра следующий параметр--
    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"
    ="путь_к_файлу"
    AVZ это не умеет фиксить. Утилита конечно найдет проблемы:
    7. Эвристичеcкая проверка системы
    >>> Обратите внимание - заблокирован диспетчер задач
    Нестандартный ключ Winlogon\Shell: "путь_к_файлу"
    Опасно - отладчик процесса "taskmgr.exe" = "calc.exe"
    9. Мастер поиска и устранения проблем

    >> Блокировка диспетчера задач
    >> Модифицирован ключ запуска проводника
    >> Обнаружен отладчик системного процесса
    но исправить не сможет.
    Лечение.
    Загружаемся в безопасный режим с поддержкой командной строки, запускаем редактор реестра (набрать regedit и нажать Enter) находим
    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"
    ="путь_к_файлу"
    и удаляем параметр Shell
    Затем ищем [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"
    ="путь_к_файлу"
    и изменяем параметр на Explorer.exe
    Перезагружаем ПК (в командной строке набираем shutdown -r) в обычный режим и с помощью Мастер поиска и устранения проблем в AVZ фиксим оставшийся проблемы.

    Важно! При редактировании реестра внимательно смотреть какой параметр Shell удалять, а какой править!


    Источник


  2. 1 пользователь сказал cпасибо Bern за это полезное сообщение:

    Александр (19.10.2011)

 

 

Похожие темы

  1. ЛК: анализ работы троянцев-вымогателей
    от Ксения в разделе Kaspersky
    Ответов: 0
    Последнее сообщение: 12.12.2011, 23:24
  2. Лечимся от баннеров - инструкция uVS
    от Александр в разделе Боремся с баннерами на рабочем столе - Trojan.WinLock
    Ответов: 0
    Последнее сообщение: 16.10.2011, 03:12
  3. Лечение с помощью ERDCommander.
    от Александр в разделе Боремся с баннерами на рабочем столе - Trojan.WinLock
    Ответов: 0
    Последнее сообщение: 16.07.2011, 03:06

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •