Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Вирус предлагает активировать Windows XP через Яндекс.Деньги


Рекомендуемые сообщения

hi~

как-то в инете на глаза попалась статья о том, что появился такой вирус-лохотрон, который при загрузке выдает сообщение о том, что винда хр не лицензионная и что система нуждается в активации, иначе комп будет заблокирован. активацию нужно произвести по средствам перечисления электронного платежа при помощи терминалов быстрой оплаты через яндекс-деньги за символическую сумму в размере 300 р, причем код активации будет распечатан на чеке, сразу после оплаты. посмеялся в душе, восхитился находчивости лохотронщиков и забыл. а вот сегодня столкнулся с этой проблемой лично. что делать - хз. вроде бы нашел маленькую инструкцию по устранению заразы

Если заразились:

— грузимся в безопасном режиме (консоль именно!)

— в консоли набираем (regedit)

— regedit

— по адресу

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NTCurrent\Version\Winlogon]

ключ "Shell"="Explorer.exe" < — если не такой а подобие ( …system\32drivers\Vinlogon.exe ) то это вирус, замените на ключ "explorer.exe"

— сканим регистр на наличие "driversVinlogon.exe" и мочим наглухо

— рестарт ( через консоль должно работать C:\WINDOWS\system32\shutdown.exe )

— грузим в нормальном режиме и проходим полный скан Антивирусом.

но возникла другая проблема - не могу загрузиться в безопасном режиме, комп самостоятельно делает ребут. тогда попробовал загрузиться с диска с установленной вин хр (windows live cd), прошелся антивирусником (вначеле каспер 5.0, затем др.веб), но из-за устаревших антивирусных баз обеих авп вируса обнаружено не было. сканирование ad-aware выявило подозрительный ключ реестра (связанный с Explorer.exe и winlogon.exe, дословно не помню). удаление этого ключа никак не отразилось на последующей загрузке системы, сообщение о надобности липовой активации выскочило снова. ежели кто сталкивался с такой проблемой, посоветуйте, что нужно сделать, чтобы избавиться от этого виря, желательно чтобы без переустановки системы.

62f450b2c3c08e104577f73f66c3c409.jpg

Ссылка на комментарий
Поделиться на другие сайты

Создайте загрузочный диск, типа WinPe, запишите на него свжую версиюCureIT и, загрузившись с диске, запустите полную проверку всех дисков.

Если комп сможет загрузится в нормальный режим:

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

Я ловил подобный троян, кучу прог перепробовал, в том числе и вышеупомянутые, помогла http://www.superantispyware.com/?tag=SUPERANTISPYWARE, попробуй........

Ссылка на комментарий
Поделиться на другие сайты

удалось завалить вирус! (и вообще, вирус ли это?!)

свежая версия cureit (сам иногда пользуюсь - удобная вещь кстати!) не помогла, полное сканирование ничего не выявило.

после многочисленных попыток, кое-как все же удалось загрузиться в безопасном режиме. сканирование SUPERAntiSpyware тоже не помогло (было найдено несколько подозрительных ключей реестра, но их удаление ничего не дало). скачал еще одну похожую прогу spybot - search & destroy (v1.5.1.19). в папке windows\drivers\ был обнаружен подозрительный файл svchost.exe - завалил! а потом по средствам обычного поиска нашел файл winlogon.exe по адресу windows\system32\dllcache, а как известно файл winlogon.exe всегда расположен в Windows\System32. завалил дубликат. ребут. все. так мы победили сырость.

2Professor, Pili

спасибо, что откликнулись

Ссылка на комментарий
Поделиться на другие сайты

misfits: сделайте доброе дело, отошлите пожалуйста эти файлы сюда, не знаю детектит эти зловреды или нет касперский с дрвебом, можете ещё на newvirus@kaspersky.com и сюда

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты

  • 9 месяцев спустя...

Сегодня у клиента снял такую хрень, скопировал на флэху, она прописывается в реестре и грузится вместо Explorer.exe... Как попадает на комп не понял... ("Усовершенствованная" модель предлогает отправить SMS стоящую 10$) Программеры кто хочет разобрать пишите скину, самому интересно че куда шлет...

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

удалось завалить вирус! 2 (новая модификация)

в моём случае winlogon создан не был, вирус находился в файле svchost.exe. %windows%\drivers\

при удалении (winlogon - переставала грузиться ОС, т.к. удалял правильный файл, не вирус)

Самое трудно было допереть, как запустить "Выполнение" из Диспетчера задач, для правки реестра. ;-) (справка диспетчера помогла)

Ссылка на комментарий
Поделиться на другие сайты

  • 3 месяца спустя...

У меня подобное случилось на ноутбуке.. Черный экран и безполезная загрузка в безопасном режиме, все это не давало результата. Помогло: Тупо оставляем сидюк открытым, страница повисит немного с сбрасывается. Имя этой погани tel.xls ищем вручную и бьем его, у меня avast его нашел и убил из бутсектора

Ссылка на комментарий
Поделиться на другие сайты

WindowsSMS_7202490_202110.jpg

Сегодня словил. Не знаю, что делать.

Перезагрузил, вошёл в BIOS, поменял дату на завтра- Брандмауэр повреждён.

Откатил на 16 дней назад- порядок, интернет коннектится.

Авирой проверил- чисто.

WindowsSMS_7202490_202110.jpg

WindowsSMS.jpg

post-82377-1240089215_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Как подметил тов. Eugen.mgn в 90%, а может и более, случаев помогает бутовый диск - http://www.freedrweb.com/livecd/

Я им уже пользовался, когда 3-5 раз лечил компы знакомых.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...