Борьба с блокером U383593510183, U252494517837

09.09.2011 15:37 Администратор
Печать

U383593510183Блокер-вымогатель. Блок за просмотр якобы запрещенного видео. Предлагает перечислит 200 грн в качестве штрафа на кошелек WebMoney U383593510183. Сервисы по снятию блокеров от Касперского и др. Веб не помогли. Безопасный режим так же не решил проблему. Очистка темпов, анализ system32 - не помогло.

Решение проблемы : сохранение личных данных: фотографий, документов, музыки. format c и переустановка системы.

 Продолжение истории: 26.10.2011 и снова наш старый знакомый блокер-вымогатель. Изображение и содержание окна один в один с уже опубликованным только теперь это 250 грн на кошелек WebMoney U252494517837:

 

 

U252494517837"КОМПЬЮТЕР ЗАБЛОКИРОВАН!

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 250 гривен в WebMoney кошелек U252494517837. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать" После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 301 ч.2 УК УКР"

Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления"

 

Хотя в комментариях  написано, что любой блокер можно удалить за 15 минут - такой факт вызывает сомнения. С указанным зловредом не помог Kaspersky Rescue Disk, Kaspersky Windows Unlocker.

Зловред прописывается в значение Shell реестра а сам физически находится тут: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Правка реестра, удаление тела не приносит результатов. После перезагрузки ситуация повторяется. Удаленный файл и исправленный реестр восстанавливаются в исходное состояние. Прогон диска С KIS10 с последними обновлениями ничего не дает. Опытным путем установлено, что в этой ситуации, ко всему прочему подменены оригинальные файлы explorer.exe и userinit.exe в папках windows и windows\system32 соответственно.

Таким образом решение проблемы: грузимся с бутового диска с ERD Commander на борту или подобным софтом для редактирования реестра установленной ОС. Восстанавливаем  корректные значения для [HKLM\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe". Файловым менеджером удаляем  22CC6C32.exe. Заменяем файлы explorer.exe и userinit.exe на те, что приложены в архиве. Перезагружаем компьютер.

Единственное, что не было сделано - не сохранены фейковые  explorer.exe и userinit.exe, не проверены www.virustotal.com, и не разосланы экземпляры по антивирусным лабораториям. У кого будет подобная ситуация - сделайте это пожалуйста!

Обновлено 05.07.2012 14:06