Компьютер заблокирован! Новый вариант вымогателей

Июнь, 21st 2011
Рубрика: Безопасность. Вирусы
Подписаться на комментарии по RSS

Компьютер заблокирован

Ваш компьютер заблокирован за посмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер Билайн 8-909-151-56-52. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала буде напечатан код разблокировки. Его нужно ввести в поле в нижней чати окна и нажать кнопку "Разблокировать". После снятия блокироки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Буквально за пару дней поступило несколько пациентов с подобыми симптомами. С Первого взгляда ничего особенного - обычный блокиратор, уже не раз писал о них в разделе вирусология. Однако этот тип немного отличается от описанных ранее, например Internet Security и отличие это поганенькое.

Данный вымогатель заменяет собой системый файл userinit.exe, находящийся в каталоге C:\WINDOWS\system32\, чего не замечалось за его предшественниками.

По доброй традиции, для лечения понадобится загрузочный диск или флешка. Получив доступ к системе, после загрузки с диска или флешки выполните следующие действия:

  1. В каталоге C:\Documents and Settings\All Users\Application Data\ удаляем файл с названием 22CC6C32.exe
  2. В каталоге C:\WINDOWS\system32\ удаляем файл userinit.exe
  3. В этом же каталоге находим и переименовываем файл 03014D3F.exe в userinit.exe
  4. Для Windows XP проверяем размер файла userinit.exe в каталоге C:\WINDOWS\system32\dllcache\ с тем, который мы только что сделали. Если размер не совпадает, заменяем его переименованным файлом.
  5. Подключаем реестр больной системы, как это сделать вручную читаем тут. Заходим в следующую ветку реестра:
  6. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Параметру Shell прописываем его исходное значение explorer.exe

    Параметр Userinit исправляем на C:\WINDOWS\system32\userinit.exe, (всё лишнее убрать)

    работа с реестром Windows

  7. Поиском в реестре находим и удаляем все записи, где содержится 22CC6C32.exe
  8. Перезагружаем компьютер
  9. Если вы считаете статью полезной,
    не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 29

  1. 2011-06-28 в 00:34:55 | Елена

    Спасибо, помогло. Уже хотела компьютер в ремонт отдавать. А каким диском вы сами пользуетесь для восстановления?

  2. 2011-06-29 в 09:51:26 | Ната

    Спасибо! Были в шоке! Попробуем!

  3. 2011-07-01 в 21:33:41 | Сергей

    Благодарю за инструкцию ! Только файла 03014D3F.exe в system32 у меня не оказалось, пришлось взять userinit.exe со второго компа. Теперь система здорова и чувствует себя хорошо )

  4. 2011-07-02 в 17:44:38 | Комментатор 10]]>avatar]]>

    Спасибо))) полчаса мучалась)) а тут сразу за пару минут сделала))

  5. 2011-07-07 в 20:34:06 | Дмитрий

    Сделал все по инструкции,перезагрузил и теперь нет рабочего стола. картинка только есть и курсор мышки,ничего больше нету)

  6. 2011-07-07 в 21:31:24 | Дмитрий

    Извините,сам намутил с реестром, огромное спасибо.

  7. 2011-07-20 в 10:21:37 | Татьяна

    У меня тоже синий баннер. Компьютер заблокирован телефон 89117062264 ничего не помагает нет ни пуска ни диспетчера задач в безопасном режиме все равно высвечивается синий экран ПОМОГИТЕ ПОЖАЛУЙСТА.

  8. 2011-07-25 в 10:13:49 | роман

    проблема нет рабочего стола

  9. 2011-07-25 в 10:16:38 | роман

    какие там замуты в реестре

  10. 2011-07-28 в 12:44:10 | Саныч

    Вариант, который я изучал, имеет размер файла 22016 байт, датирован 15.05.2011. Использует для сокрытия своего кода внутренний алгоритм шифрования, поверх сжат утилитой компрессии UPX версии 3.03, а поверх всего этого ещё обработан какой-то специальной утилитой модификации UPX-паковщика (в результате, если снять UPX-компрессию, файл оказывается нерабочим).

    При запуске вирус копирует свой файл в 5-ть мест (названия копий на всех компьютерах всегда одни и те же):

    \Documents and Settings\All Users\Application Data\22CC6C32.exe

    \WINDOWS\System32\userinit.exe

    \WINDOWS\System32\taskmgr.exe

    \WINDOWS\System32\dllcache\userinit.exe

    \WINDOWS\System32\ dllcache\taskmgr.exe

    Оригинальные системные файлы userinit.exe и taskmgr.exe, изначально расположенные в указанных папках, являются, соответственно, программами авторизации пользователя при входе в систему и Диспетчером задач, поэтому вирус перезаписывает их своими копиями. При этом, чтобы сохранить возможность корректного запуска системы, вирус оставляет копию оригинального файла userinit.exe в подкаталоге \System32\, переименовывая его в 03014D3F.exe

    Чтобы пользователь ничего не узнал о подмене этих системных программ, вирус, на время их перезаписи, отключает службу мониторинга изменений системных файлов, перезаписывает обе программы своим кодом и запускает службу снова – т.о., система не только не выдаёт никаких предупредительных сообщений, но и воспринимает уже вредоносные файлы как свои родные системные.

    Также вирус модифицирует оригинальное значение параметра “Shell” в нижеприведенном разделе ключей системного реестра на следующее:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "Shell"="[системный диск]:\\Documents and Settings\\All Users\\Application Data\\22CC6C32.exe"

    Т.о., вирус одновременно получает и возможность запуска с двух мест при старте системы – вместо оригинальных программ userinit.exe и интерфейсной оболочки Виндовс - explorer.exe. Кроме того, изменение местоположения объекта в записи параметра “Shell” приводит к автоматической блокировке командной строки, сервиса просмотра объектов автозагрузки и списка запущенных служб и некоторых других вещей. Также в системе более нет службы Диспетчера задач, посокльку его файл – taskmgr.exe – перезаписан копией вируса. В довершение всего, вирус становится как бы связующим звеном между моментами запуска системы и её полной загрузкой: сначала управление получает вредоносный userinit.exe, который запускает копию системного авторизатора пользователя из файла 03014D3F.exe, затем управление получает вредоносный 22CC6C32.exe, который запускает интерфейсную оболочку системы – explorer.exe. При отсутствии любой из этих двух копий вируса система просто-напросто не сможет нормально загрузиться.

    Для того, чтобы не создавать повторно копию системного файла userinit.exe как 03014D3F.exe, любая копия вируса, получив управление, сопоставляет себя файлу userinit.exe – если они идентичны, значит система уже инфицирована и повторно копировать этот файл не нужно (по понятной причине).

    Учитывая тот факт, что окно зловреда с требованием заплатить вымогателям закрывает большую часть экрана и висит поверх остальных окон как в обычном, так и в Безопасном режимах работы ОС, рекомендую следующий способ удаления вируса и восстановления системного реестра:

    1. Перезагружаем компьютер, заходим в настройки БИОС и устанавливаем первую загрузку с привода чтения компакт-дисков

    2. Вставляем в дисковод загрузочный диск с, например, Windows PE

    3. Загрузившись с диска, удаляем вручную следующие файлы:

    \Documents and Settings\All Users\Application Data\22CC6C32.exe

    \WINDOWS\System32\userinit.exe

    \WINDOWS\System32\taskmgr.exe

    \WINDOWS\System32\dllcache\userinit.exe

    \WINDOWS\System32\ dllcache\taskmgr.exe

    4. Файл \WINDOWS\System32\03014D3F.exe переименовываем в userinit.exe и дополнительно копируем его в каталог \WINDOWS\System32\dllcache\

    5. Копируем файл \WINDOWS\explorer.exe в подкаталог \Documents and Settings\All Users\Application Data\ и переименовываем в 22CC6C32.exe

    6. Перезагружаем компьютер (диск извлекаем из дисковода)

    7. При запуске системы мы пока получили доступ только к окну Проводника Windows; создаём текстовый файл, в который записываем следующий текст (смотри между полосами из звёздочек – сами полоски копировать в файл не нужно):

    **************************************************************************

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "Shell"="Explorer.exe"

    **************************************************************************

    8. Созданный текстовый файл запоминаем, после чего заменяем у него расширение TXT на REG, а затем запускаем этот файл на выполнение и разрешаем системе внести записанные в нём данные в ключи реестра;

    9. Перезагружаем компьютер – всё работает!

    Файл \Documents and Settings\All Users\Application Data\22CC6C32.exe теперь можно удалить, а файл с программой taskmgr.exe берём с компакт-диска дистрибутива Виндовс и копируем как

    \WINDOWS\System32\taskmgr.exe

    и

    \WINDOWS\System32\ dllcache\taskmgr.exe

    При этом, на запрос системы “Системные файлы были изменены, вставьте диск с дистрибутивом Винды” жмём “Отмена”, а на предупреждение “Вы действительно хотите сохранить эти нераспознанные копии файлов?” жмём “Да”

  11. 2011-07-31 в 14:57:02 | Аноним

    У меня такая же проблема как и у Сергея, нет файла 03014D3F.exe Как этот файл вставить со здороваго кампа

  12. 2011-08-01 в 15:54:35 | Аноним

    Спасибо за инструкцию, все получилось сразу. Интересно, куда в таком случае смотрит лицензионный NOD?

  13. 2011-08-10 в 11:37:14 | Юльчик

    у меня проблема, не могу запустить загрузочный диск на зараженном компе, и через биос не получается это сделать((( помогите пожалуйста!!!!

  14. 2011-08-17 в 01:28:12 | dre@mer]]>avatar]]>

    В чем именно проблема? Вирус никак не может помешать загрузиться с диска. Так что либо диск не загрузочный, либо что-то не так делаете.

  15. 2011-08-22 в 17:24:06 | Алексей

    У меня немного другая проблема, тоже просит положить денежку на счет, но userinit и explorer стоят оригинальные файлы, в реестре все пути к ним правильные, но эта гадость все равно блокирует систему, снимал жесткий провирял каспером, кое что удалил, но гадость как была, так и осталась. Может кто нибудь помочь? userinit и explorer заменил на всякий случай на оригинал, тоже не помогло.

  16. 2011-08-23 в 17:38:33 | dre@mer]]>avatar]]>

    картинка именно такая как в начале статьи?

  17. 2011-09-08 в 12:24:44 | Алекс

    сотрудница в офисе словила подобный вирус, огромное спасибо за мануал. помогло

  18. 2011-09-25 в 17:07:15 | Аноним

    Спасибо!!!! Хороший совет, помог на сто процентов!!!!!!

  19. 2012-02-21 в 20:48:29 | кот

    Добрый день здесть есть кто нибудь кто может помочь?

  20. 2012-07-08 в 15:42:40 | Михаил

    Словил этот вирус, поправил реестр, а после загрузки винды вирус вновь вылазит, грозясь через 12 часов уничтожить весь комп. Скажите какова вероятность того, что все унижтожиться через 12 часов????

  21. 2012-07-08 в 18:54:36 | dre@mer]]>avatar]]>

    Вероятность практически нулевая. Не для того этот вирус создавался :) Что-то не дочистили значит - должен уйти.

    Почитайте другие статьи в блоге по этой теме - все вирусы подобного плана ведут себя практически одинаково.

  22. 2012-08-11 в 13:13:37 | Аноним

    помагите мне

  23. 2013-01-18 в 12:40:01 | Евгения

    Если в кратце вирус создал диск "X:" и все, что обычно с "С:" изменено на тот же путь в "Х:"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "Shell"= не "Explorer.exe", а что-то другое (...\... не помню)

    В место "С:\WINDOWS\System32\winlogon.exe" стоит "Х:\WINDOWS\System32\winlogon.exe"

    Удалить его не получается, т.к. он используется, как процесс в Диспетчере, если его работу завершить - то комп долго грузится, затем просит имя и пароль домена! (с этим проблема - хозяйка его не помнит -_-), думаю если бы помнила - это бы не помогло...

    Вопрос: как убрать эту заразу, может надо что-то отключить... или с диском "Х:" что-то сделать...?

  24. 2013-01-18 в 21:46:58 | dre@mer]]>avatar]]>

    Для начала давайте разберемся как вы попали в систему. Наверняка грузились не с флешки или CD, потому вирус вам и не дает изменять значения в реестре.

    Я писал в блоге как сделать загрузочную флешку SonyaPE.

    Специально привел скриншот, что должно быть указано в параметрах shell и userinit. Пробуйте и все получится.

  25. 2013-01-20 в 11:59:37 | Евгения

    в дисководе диск "Shell Swapper", включаю комп и когда идет загрузка диска (об этом "говорит" соответствующее сообщение) нажимаю Enter ()если ничего не делать - идет обычная загрузка...

    И попадаем в меню "Shell Swapper" "Восстановление W-S'7х86" не подходит, т.к. была переустановка на ХР... я пользуюсь "W-S PE" там есть доступ и к реестру и к тоталкоммандеру и к диспетчеру...

    параметры shell и userinit после перезагрузки возвращают свои прежние значения cmd.exe / k start cdm.exe и "Х:\WINDOWS\System32\userinit.exe," соответственно!

    Все системные процессы ссылаются не на диск С а на Х!!!

    При обычной загрузке, вызывая диспетчер (на заднем плане картинки баннера) смоuла увидеть название запущенного приложения - "LokoMoTo", но сделать от туда с ним ничего не получается...

  26. 2013-01-31 в 08:51:45 | Pro_100_DemoN]]>avatar]]>

    Появился модифицированный вирус этой проблемы.

    Быстро исправляем проблему самостоятельно. Четыре способа.

    Читаем здесь Fixtoolz.ru

  27. 2013-02-08 в 09:02:41 | Олег

    Все, что написанно выше не как не помогает. Вирус, у меня он как LoKoMoTo. Не дает возможности загрузиться с диска с флешки и с помощью безопасного запуска тоже смысла нет. Система пишет, что ваш комп подвержен вирусу, сначала устраните вирус, а потом заходите. Видимо производитель поработал над вирусом и теперь вытащить его реальная проблема.

  28. 2013-02-08 в 10:17:18 | dre@mer]]>avatar]]>

    Какие-то мистические свойства вы вирусу приписали, такое может быть возможно, только в случае модификации BIOS. Сильно сомневаюсь, что все именно так, как вы пишете.

    Загрузка с флешки или диска не затрагивает вашу установленную систему, потому и писать сообщение о вирусе не может (при учете что ваши загрузочные диски/флешки сами не заражены).

    Почитайте, с блоге я писал как сделать флешку восстановления.

  29. 2013-02-11 в 13:09:39 | Pro_100_DemoN]]>avatar]]>

    Trojan.Winlock.6999 или 6613 в диспетчере задач висит приложение LokoMoTO (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)

    Сам лично друзям вылечил недуг!!!

    Быстро исправляем проблему самостоятельно, в два шага

    1. команда rstrui

    2. команда cleanmgr

    Кому не понятно читаем здесь http://fixtoolz.ru

comments powered by HyperComments
Без регистрации
ваш комментарий будет опубликован после проверки
Регистрация на сайте

На указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.