Форум

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум » Ваши статьи по безопасности в сети интернет » вирус просит 100 евро при вкл. ПК


вирус просит 100 евро при вкл. ПК

Сообщений 1 страница 9 из 9

1

Сотрудники компании G Data Software обнаружили вредоносную программу, которая требует у пользователей зараженных систем заплатить 100 евро за активацию Windows.
Пользователю сообщается, что его версия операционной системы не подлинна или не активирована и предлагается расплатиться за нее предоплатным купоном Ukash или Paysafecard. При этом в сообщении отображается логотип и другая атрибутика Microsoft.
При появлении подобного окна ни в коем случае нельзя вводить в него имя, телефон, e-mail, код активации Windows и прочее. Для проверки подлинности текущей версии Windows можно зайти на официальный сервис от Microsoft.
С помощью web-страницы, через которую якобы производится оплата, можно легко определить, что это все подделка. Эта страница не расположена на официальном сайте Microsoft. Также клавиши, которые должны быть ссылками, представляют собой картинки. Корпорация Microsoft никогда не отправит пользователю лицензионный ключ через SMS.
Лаборатория G Data Software определяет этот вирус, как Trojan.Generic.KDV.340157 (Engine A) и Win32:Trojan-gen (Engine cool.gif.

Такая же ситуация случилась и с моим приятелем (нефиг по порно сайтам лазить!). При включении ПК вместо загрузки Windows появляется окно, где просят заплатить 100 евро, в противном случае в течение 24 часов вся информация на ПК будет уничтожена. У него нет ни диска с Windows, ни образа, он знает только что стоит Windows XP, не работает даже F8 (режимы загрузки). Какие способы решения, кроме переустановки Windows Вы предложите? Чем здесь поможет LiveCD? Как можно восстановить поврежденные загрузочные сектора диска в данном случае?

0

2

1.Статья относится к другому разделу Ваши статьи по безопасности в сети интернет она будет перемещена
2.LiveCD здесь не поможет здесь нужна программа AntiVinlocker и то даже он не всегда помогает в Автомотическом режиме.
3.Если Вы впоймали такой вирус Вам надо загрузить из под Биуса AntiVinlocker, вызвать редактор реестра, удалить всё лишние с ветак HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run так же проветить ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon в данной ветке у Вас должно изменится значение Shell ищем его и изменяем на Explorer.exe, после перезагружаем ПК и Ваш комп должен ожить.

P.S: В ближайшии дни хочу свой  AntiVinlocker написать на Delphi7 т.к многие AntiVinlocker-ы в автомотическом режиме не делают свою работу к примеру если Winlock сел в значение Shell то AntiVinlocker в автономном режиме как вы понели не паможет.

0

3

Большое спасибо!
Если я на такое влетел бы, то воспользовался образом Acronis с восстановлением MBR.

В AntiVinlockerLiveCD есть восстановление загрузочной части как для XP, так и для Vista с Win7, надеюсь поможет. Вот только приятель уже сдал комп в ремонт.

Насчет "загрузить из под Биоса AntiVinlocker, вызвать редактор реестра и проверить ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon в данной ветке у Вас должно измениться значение Shell, ищем его и изменяем на Explorer.exe" Там значение Shell стоит cmd.exe, т.к. я загрузился с диска AntiVinlockerLiveCD. Это можно сделать нажав F8 и выбрать Безопасный режим  с поддержкой командной строки, написать regedit и там значение Shell исправить на explorer.exe. Но в данном случае F8 не работает. А если в автоматическом режиме не исправило значение Shell, то в ручном режиме как я могу исправить в редакторе реестра значение Shell, если там стоит и должно стоять cmd.exe?

0

4

krikaved написал(а):

А если в автоматическом режиме не исправило значение Shell, то в ручном режиме как я могу исправить в редакторе реестра значение Shell, если там стоит и должно стоять cmd.exe?

Да можите просто вызвать редактор реестра и в ручную прописать Explorer.exe . У меня дня четыре назад племяшка на ноутбук такой вирус впоймала там в Shell прописывается типа такого cmd.exe /k start cmd.exe меняете это название на Explorer.exe после перезагружаете ПК и он у Вас работает. Так же производите поиск данного вируса на диске C:\ его название должно быть ___911.exe

0

5

Подождите у меня в Shell все нормалек - explorer.exe!
А вот я ради интереса загружаю AntiVinlockerLiveCD, там в shell стоит именно такая строка "cmd.exe /k start cmd.exe". По идее такая строка и должна быть, так как  в данный момент загружен не explore.exe, а AntiVinlockerLiveCD с поддержкой cmd! Но когда заходишь в Windows, тогда значение Shell должно стоять explorer.exe!

0

6

krikaved написал(а):

Подождите у меня в Shell все нормалек - explorer.exe!
А вот я ради интереса загружаю AntiVinlockerLiveCD, там в shell стоит именно такая строка "cmd.exe /k start cmd.exe". По идее такая строка и должна быть, так как  в данный момент загружен не explore.exe, а AntiVinlockerLiveCD с поддержкой cmd! Но когда заходишь в Windows, тогда значение Shell должно стоять explorer.exe!

Я вам повторю если вы впоймали вирус Винлок то надо его удалять через AntiVinlockerLiveCD без подержки CMD, а вызывая через него диспетчер реестра и там в ручную всё смотреть и если у Вас в Shell стоит значение "cmd.exe /k start cmd.exe", а не Explore.exe то его надо заменить.

0

7

Я пользовался AntiVinlockerLiveCD 3.3.
Через AntiVinlockerLiveCD без подержки CMD, вызывая через него редактор реестра и там в Shell стоит значение "cmd.exe /k start cmd.exe", вручную заменил на Explore.exe.
Если повторно загрузить AntiVinlockerLiveCD, вызвать редактор реестра и там в Shell опять стоит значение "cmd.exe /k start cmd.exe". Даже если в AntiVinlockerLiveCD воспользоваться командной строкой и вызвать regedit и посмотреть значение Shell, меняя "cmd.exe /k start cmd.exe" на Explorer.exe, то если повторно загрузить AntiVinlockerLiveCD  опять стоит значение "cmd.exe /k start cmd.exe".
В автоматическом режиме пишет оболочка Winlogon в норме. В ручном режиме выбираю загрузить диск С (на котором стоит система), ниже появляется надписи Explorer.exe, userinit.exe рядом с ними кнопки исправить, нажимаю исправить, и все равно, вызывая через AntiVinlockerLiveCD редактор реестра и там в Shell стоит значение "cmd.exe /k start cmd.exe".

Если через AntiVinlockerLiveCD воспользоваться Free Commander и с него войти в regedit.exe , то выскочет следующее сообщение "Версия этого файла несовместима с используемой версией Windows", у меня стоит 64-х разрядная Windows. Выходит, вызывая редактор реестра, загружается реестр с диска???

В Windows же в значении Shell стоит Explorer.exe

ВОЗМОЖНО, через AntiVinlockerLiveCD в Winlogon используется оболочка с диска, поэтому и стоит в Shell значение "cmd.exe /k start cmd.exe", а не "Explorer.exe".

0

8

krikaved написал(а):

Я пользовался AntiVinlockerLiveCD 3.3.
Через AntiVinlockerLiveCD без подержки CMD, вызывая через него редактор реестра и там в Shell стоит значение "cmd.exe /k start cmd.exe", вручную заменил на Explore.exe.
Если повторно загрузить AntiVinlockerLiveCD, вызвать редактор реестра и там в Shell опять стоит значение "cmd.exe /k start cmd.exe". Даже если в AntiVinlockerLiveCD воспользоваться командной строкой и вызвать regedit и посмотреть значение Shell, меняя "cmd.exe /k start cmd.exe" на Explorer.exe, то если повторно загрузить AntiVinlockerLiveCD  опять стоит значение "cmd.exe /k start cmd.exe".
В автоматическом режиме пишет оболочка Winlogon в норме. В ручном режиме выбираю загрузить диск С (на котором стоит система), ниже появляется надписи Explorer.exe, userinit.exe рядом с ними кнопки исправить, нажимаю исправить, и все равно, вызывая через AntiVinlockerLiveCD редактор реестра и там в Shell стоит значение "cmd.exe /k start cmd.exe".

Если через AntiVinlockerLiveCD воспользоваться Free Commander и с него войти в regedit.exe , то выскочет следующее сообщение "Версия этого файла несовместима с используемой версией Windows", у меня стоит 64-х разрядная Windows. Выходит, вызывая редактор реестра, загружается реестр с диска???

В Windows же в значении Shell стоит Explorer.exe

ВОЗМОЖНО, через AntiVinlockerLiveCD в Winlogon используется оболочка с диска, поэтому и стоит в Shell значение "cmd.exe /k start cmd.exe", а не "Explorer.exe".

Не помню какая у меня версия AntiVinlockerLiveCD но у меня при открытии реестра через AntiVinlockerLiveCD показывает как надо Shell значение как Explorer.exe. Просто у меня племяшка впоймала Винлокер и при удалении его с автозагрузки он не исчез пока я не залез в реестр через AntiVinlockerLiveCD и не изменил это значение cmd.exe /k start cmd.exe на Explorer.exe. Вазможно некоторые Винлокеры маскируются под значение cmd.exe /k start cmd.exe. Завтро я гляну какая у меня версия AntiVinlockerLiveCD и папробую отписатся...

0

9

Admin-Xaker26 написал(а):

Завтро я гляну какая у меня версия AntiVinlockerLiveCD и папробую отписатся...

Как только посмотришь, отпишись. Я попробую твоей версией глянуть.
P.S. Интересно, где можно взять код такого загрузочного вируса, что даже F8 не работает?

0


Вы здесь » Форум » Ваши статьи по безопасности в сети интернет » вирус просит 100 евро при вкл. ПК