категории | RSS

Удаление баннера SMS вымогателя

Всем DimonVideo привет!

В виду участившихся случаев, ну и частого применения различных приемов по реанимации Windows от SMS баннера-вымогателя, блокирующего доступ к основной рабочей среде, в частности блокировка выполнения системных команд: Диспетчер задач, Regedit, загрузка Безопасного режима, Отката времени, запуск exe, reg), так же когда не помогают различные генераторы кодов, например после ввода неверного ответа, баннер оттягивает тайм-аут на 30 минут вперед smile
Скопипастил более эффективный прием, которым частенько пользуюсь.

Симптомы:
На экране по центру размещается окно с различным содержимым в котором просят отправить сообщение на платный номер для разблокировки работы компьютера.
Заблокированы средства редактирования реестра regedit, а так же не доступен диспетчер задач.
Не работают или полностью заблокированы антивирусы. Попытки запуска или поиска антивирусных программ приводят к перезагрузке компьютера или "пропаданию" всех значков на рабочем столе
Комментарии к способам лечения вирусов.

Если Вам повезло и вы нашли или подобрали коды деактивации, или поменяли время на месяц или два назад тем самым отключили сообщение на экране это еще не значит, что вы "побороли" вирус.
Настоятельно рекомендуем выполнить лечение т.к. вирус самостоятельно скачивается из интернет (недели через две) и история повторяется...
Принцип работы вируса "отправить СМС на номер"

Принцип работы вируса простой - вирус использует две части, работающие в тандеме. Первая загружает вирус с сети интернет (sdra64.exe или другой файл), вторая показывает сообщение и блокирует программы.

Для работы вируса используется средства автоматического запуска программ и, если пользователь обладает правами администратора, ключ реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs.

Все библиотеки, указанные в этом ключе, автоматически загружаются в адресное пространство всех запускаемых процессов, использующих библиотеку User32.dll. В этом параметре может хранится список из нескольких DLL, разделённых пробелом или запятой. Если DLL лежит в системном каталоге Windows (например, C:WindowsSystem32), то достаточно указать только имя файла.

После перезагрузки компьютера (на Windows NT 4) или завершения сеанса (на Windows 2000 и старше) система сохраняет изменения. Теперь при проецировании библиотеки User32.dll на адресное пространство любого нового процесса, она последовательно вызовет LoadLibrary для каждой библиотеки из списка, что, в свою очередь, приведёт к загрузке этих библиотек.

Другими словами если Вы запускаете любую программу, автоматически активируется вирус, который имеет возможность контролировать запущеную Вами программу. Именно по этой причине Вы не можете загрузить антивирус или использовать существующие утилиты для борьбы с вирусом.
Вылечить вирус отправьте SMS на номер просто

Способ 1 Лечение вируса отправьте SMS на номер

Если у Вы работаете под учетной записью без прав администратора лечение вируса отправьте SMS на номер является достаточно простой процедурой:
Перезагрузите компьютер в безопасном режиме или просто перезагрузите (не важно)
Войдите в систему под учетной записью имеющей права администратора
Настройте проводник на отображение скрытых и системных файлов (Вид/Свойства папки)
Удалите два каталога в "зараженном" профиле:
C:Documents and SettingsloginLocal SettingsTemp
C:Documents and SettingsloginLocal SettingsTemporary Internet Files
Необходимо проверить, что в зараженном профиле не осталось "лишних" файлов в перечисленных каталогах НЕ должно быть исполняемых файлов. Если они есть - удалите:
C:Documents and SettingsloginLocal SettingsApplication Data
C:Documents and SettingsloginApplication Data
Открываем программу regedit (Пуск ->Выполнить -> regedit)
В открывшейся программе выбираем HKEY_LOCAL_MACHINE
Нажимаем Файл->Загрузить куст. И выбираем файл, который мы хотим открыть Х:Documents and SettingsИМЯ ПОЛЬЗОВАТЕЛЯNTUSER.DAT (возможно Вам прийдется предварительно включить отображение "скрытых" и "системных" файлов. Проводник Сервис - Свойства папки )
На запрос как назвать ветку пишем USER
Открываем ветку реестра HKEY_LOCAL_MACHINEUSERSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Если есть параметр Shell в нем должно быть explorer.exe. Если написано что-то другое - Файл прописаный в параметре необходимо переименовать, а сам параметр Shell удалить из реестра
Перезагрузите компьютер и войдите под "зараженной" учетной записью
Запустите программу AVZ ( Бесплатные антивирусные утилиты) и откройте меню Файл -> Восстановление системы и выполните все скрипты, кроме 14 15 18
Перезагрузите компьютер
Обновите антивирусные программы, просканируйте систему при помощи AVZ и антивируса
Перезагрузите компьютер и можете работать

Способ 2 Лечение вируса отправьте SMS на номер

Если Вы все же работаете как истинный хакер под учетной записью с правами администратора лечение вируса отправьте SMS на номер процедура не такая простая, как хотелось бы:
В процессе лечения помните - ненадо работать с правами администратора!
Запустить компьютер с LiveCD содержащего средства работы с реестром. (думаю google и запрос "LiveCD winPE скачать" вам помогут)
Если предыдущий пункт Выполнить не удалось - можно снять винчестер с компьютера и подключить его к другому. Главное иметь возможность удалять файлы и редактировать реестр.
Итак, мы загрузились с LiveCD и нам доступен зараженный диск. Начинаем удалять:
X:Documents and Settings\Local SettingsTemp
X:Documents and Settings\Local SettingsTemporary Internet Files
X:windowssystem32sdra64.exe
Открываем программу regedit (Пуск ->Выполнить -> regedit)
В открывшейся программе выбираем HKEY_LOCAL_MACHINE
Нажимаем Файл->Загрузить куст. И выбираем файл, который мы хотим открыть Х:WINDOWSsystem32configsoftware
На запрос как назвать ветку пишем Soft
Открываем ветку реестра HKEY_LOCAL_MACHINESoftMicrosoftWindows NTCurrentVersionWindows находим параметр AppInit_DLLs - его значение должно быть пустое. Если там что-то написано - необходимо открыть этот ключ и почистить.
Открываем ветку реестра HKEY_LOCAL_MACHINESoftMicrosoftWindows NTCurrentVersionWinlogon находим параметр Userinit должно быть нечто похожее на C:WINDOWSsystem32userinit.exe и больше ничего!!!
После этого компьютер можно выключать, если вынимался винчестер вставляем его обратно в компьютер и запускаемся.
Запустите программу AVZ и выполните Восстановление системы - все скрипты, кроме 14 15 18
Перезапустите компьютер и сканируйте его на вирусы
Можно работать

Спасибо за внимание! Делимся, более интересными приемами.



Источник новости: rent-it.net.ua

DimonVideo
2010-02-01T15:55:01Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 21

#11   Ivil19    

ох парни, хорошо перешел полностью на линьsmile а то бы до сих пор мучился с этими вирусами....


0 ответить

#11   T3012    

Да, а еще есть модификация. Названием das xxx, где xxx это могут быть быть разные цифры. Лечение простое. Как в описаных выше способах. Ток через поиск винды или тотал командер. В поиске вбиваем слово das и ищем. Всего 6 файлов. 3 в корзине и 3 в интернет ресурсах. Всем удачи, в борьбе. Да, кстати эта вся шняга как правило попадает к нам с порносайтов. Или под видом флешплейра, типа 10, 11 версии.




0 ответить

#11   dsh74    

Около месяца назад при включении компьютера обнаружил на рабочем столе SMS баннер.За 2 часа испробовал несколько рекомендаций по данной проблеме которые нашел в интернете.Ничего не помогало... Решение оказалось довольно простое.Запустив Process Explorer обнаружил запущенный plugin.exe, который находился в Program Files.
Удалить себя он не давал, поэтому был переименован в plugin.jpg.Банер пропал, а plugin.jpg я удалил Unlockerом.После просканировал Spybot - Search & Destroy и удалил остатки гадости.


0 ответить

#11   inkognito09    

Убивал такую бяку на двух компах. Помог последний ESET.
Еще можно убить загрузочным диском антивируса.


0 ответить

#11   rustemka    

другу месяц назад вторым способом помог удалить эту каку через реестр.
хорошо если все будут знать как справиться с этим, а то многие тупо переустанваливают винду


* редактировал(а) rustemka 09:55 2 фев 2010

0 ответить

#11   Vinogradof    

Sandboxie... Ню-ню... winkedПочитай про нее побольше чуток, это детские шалости и вырваться из нее вирусу очень просто.
А вот истинные хакеры имеют кучу бакапов системы и сидят под никсами + вайн! smile
Кстати, shadowdefender в этом плане понадежнее будет.


0 ответить

#11   inframe    

omichara,
Напоминаю все важные системные функции связанные с rundll32.exe, попросту блокируются и выгружаются с памяти, порой вообще доводят до полного зависания системы, также подтираются все папки SystemVolumeInformation особенно в случае заражения Internet Security, так что надежда на откат до исправной точки безнадежен.
Нашел решение как работать без боязни, раз известные Антивирусы не в состоянии помочь. Решение, запускать браузер в защищенной области с применением программы песочницы Sandboxie. - маленькая утилита (меньше мегабайта), которая позволяет запускать приложения в отдельном замкнутом дисковом и виртуальном пространстве. Программа запущенная через утилиту Sandboxie, как бы выполняется в своем виртуальном пространстве. Для нее создается своя копия реестра, свои временные файлы и т.д. При инсталляции создается папка Sandboxie, которая для запущенного приложения является диском С: со своим реестром, своими временными файлами и т.д.
Идея такова, что запущенная программа, например, браузер работает в этом замкнутом пространстве. То есть для приложения запущенного в “песочнице” - диском С: будет на самом деле папка С:\\\\\\\\Sandboxie. Если вдруг через браузер проникает вирус, и он начинает изменять реестр, то это будет виртуальный реестр (файлик RegHive в папке C:\\\\\\\\Sandboxie\\\\\\\\имя пользователя\\\\\\\\DefaultBox), если начнет копировать себя в папку С:\\\\\\\\windows\\\\\\\\system32, то на самом деле это будет папка C:\\\\\\\\Sandbox\\\\\\\\имя пользователя\\\\\\\\DefaultBox\\\\\\\\drive\\\\\\\\C\\\\\\\\Windows\\\\\\\\System32\\\\\\\\ и т.д. smile Работаем уверенно с полным чувством безопасности smile Чуть позже попытаюсь выложить саму софтину.


* редактировал(а) inframe 00:53 2 фев 2010

0 ответить

#11   omichara    

Мне 2 раза помогал более простой способ: Пуск-все программы-стандартные-служебные-восстановление системы-восстановление более раннего состояния системы. Выбираем дату на пару дней раньше от текущей.


0 ответить

#11   Ahad    

Автор молодец. Но, как же так что подобные вирусы не лечатся антивирусами.? Куда только смотрит лаборатория касперкого...., .


0 ответить

#11   inframe    

Давненько хотел уж оформить статейку, уж больно зачастила это гадость просто ..Причем с каждым днем модофицируясь


0 ответить

Яндекс.Метрика