Билайн 8-965-375-26-06 , 8-906-096-86-64 ,  8-906-798-30-76 , 8-964-780-76-19 он же МТС 8-988-503-97-70 , 8-988-503-98-02 , 8-988-503-97-02 , 8-988-503-97-50 , 8-988-503-97-64 , 8-988-503-97-01

На днях столкнутся с очередным вымогателем требующим оплатить штраф в размере 500 рублей (или больше Улыбаюсь) на номер Билайн 8-965-375-26-06 , 8-906-096-86-64 , 8-906-798-30-76 , 8-964-780-76-19 он же МТС 8-988-503-97-70, 8-988-503-98-02, 8-988-503-97-02, 8-988-503-97-50, 8-988-503-97-64, 8-988-503-97-01.

Я так предполагаю, что вирус при подключенном интернете лезет на ресурс хозяина вымогателя и скачивает обновленную версию себя, а за одно и новый номер на который нужно слать деньги.

 

 

 

 

 

 

 

Оплачивать мы не чего не будем и код искать, не будем это просто тратить время зря.

 

Загружаемся с ERDCommanderили Alkid Live CD&USB скачать можно здесь

После загрузки запускаем редактор реестра (как всё это проделать описано данной в статье)

В редакторе реестра открываем ветку реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Мы видим, что параметр Shell у нас не Explorer.exe, а какая-то хрень под названием 22CC6C32.exe которая загружается с профиля предназначенного для всех пользователей "Shell"="С:\Documents and Settings\All Users\Application Data\22CC6C32.exe".

 

Радостные, что мы нашли зловреда, мы исправляем параметр Shell на Explorer.exe, удаляем файл 22CC6C32.exe, перезагружаемся иииииииии….

Счастье не наступает, перед нами всё та же картина предлагающая нам пополнить счет абонента Билайн. Загружаемся опять с ERDCommanderили Alkid Live CD&USB, заходим в реестр и видим, что всё что мы правили вернулось назад, а в папке С:\Documents and Settings\All Users\Application Data\ опять лежит файл 22CC6C32.exe

Проверив все другие параметры загрузки, мы видим, что всё нормально значит, вирус подменил какой-то файл Windows, участвующий в загрузке профиля пользователя.

Сразу проверяем файл C:\WINDOWS\system32\userinit.exe, и надо же какое совпадение, файл имеет дату не 14.04.2008 (18.08.2004) а свежую, размер не 26624 (25088), а 26112.

Находим родной файл userinit.exe на установочном диске, или на том диске с которого вы загрузились, заменяем файл, правим в реестре параметр Shell на Explorer.exe, удаляем файл 22CC6C32.exe, перезагружаемся и всё у нас должно заработать.

P.S. 04.10.2011г.
Прейдя в гости по вызову, что бы убрать баннер, обнаружил знакомую хрень, быстро всё сделал как описано выше, перезагрузился и всё заработало… Но когда я захотел посмотреть запущенные процессы диспетчером задач баннер снова выскочил.
Оказалось, зловредная программа с именем 22CC6C32.exe не только заменила собой файл C:\WINDOWS\system32\userinit.exe но и файл C:\WINDOWS\system32\taskmgr.exe (диспетчер задач) , а так же эти же файлы в папке C:\WINDOWS\system32\dllcache\
На будущее нужно учесть, что файлов, которые можно заменить в Windows очень много, то необходимо провести поиск файлов с таким же размером как файл блокера 22CC6C32.exe = 31744 и с такой же датой.
А вот телефоны на которые предлагают закинуть деньги:
8-965-377-15-06, 8-965-377-35-05, 8-909-155-94-28, 8-909-651-56-79, 8-909-151-28-54 Имя контактного лица Саша, а вот его рабочий телефон 8 495 9847432.

{jcomments on}