И снова вирус просит пополнить счет

10.04.2011 by Константин
Комментировать »
Избавляемся от вируса блокирующего систему

Избавляемся от вируса блокирующего систему

Прогресс не стоит на месте, а с ним в пред движутся и разработчики вирусов смс-блокеров. С методом удаления и лечения одного нового вируса блокирующего компьютер вы сможете ознакомиться в данной статье.

Действия нового вируса блокирующего систему

Новый вирус блокирующий компьютер действует по тому же принципу что и его собратья, т.е. сохраняет свой файл на жесткий диск и перезаписывает параметр реестра shell в ветке HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ на этом сходство со старыми смс-блокерами заканчивается.

Столкнувшись с таким вирусом, я почистил реестр, прописав в параметре shell родное значение explorer.exe, удалил вирусный файл (как это сделать можно посмотреть в статье Удаляем вирус заблокировавший компьютер ) и был очень удивлен, когда при перезагрузке компьютера, с ново появилось окно блокирующего вируса.

Новый вирус блокирующий систему

Новый вирус блокирующий систему

Проверив реестр я обнаружил что измененный мной параметр shell снова указывает на вирусный файл, а сам файл как не вчем не бывало, находится в директории из которой он был недавно удален.

Пришлось поломать голову над тем как это происходит. И вот что я выяснил.

Новый смс-блокер меняет параметры реестра, только для отвода глаз. Основное действие вируса это подмена файла userinit.exe находящегося на системном диске в каталоге Windows\System32\

Восстанавливаем систему после работы нового смс-блокера.

Восстановление системы после рекламмного вируса

Восстановление системы после рекламного вируса

Для восстановления работоспособности системы порежонной данным смс-блокером необходим вызвать диспетчер задач комбинацией клавиш (Ctrl+Shift+Esc) в списке процессов найти процесс с названием userinit.exe и завершить его, нажав кнопку завершить процесс . После этого зараженный файл userinit.exe, расположенный в каталоге C:\Windows\System32\ необходимо заменить файлом с нормальной системы, после этого восстановить параметр реестра Shell

Для тех у кого нет под рукой рабочей системы выкладываю свой файлик:

userinit.rar (WinXP SP3)

Читайте так же:


1 звезда2 звезды3 звезды4 звезды5 звезд (11 голосов, средний: 4.64 из 5)
Загрузка ... Загрузка ...
Распечатать запись Распечатать запись
Реклама

40 комментариев(ия)

  1. Алексей says:

    Константин, это уже старый вирус, у меня ща комп лежит, у которого уже замещается уже не только userinit.exe, но вдабавок ещё и taskmgr.exe. Что делать?

  2. Константин says:

    А почему вы решили что и taskmgr.exe подменен, что выходит вместо него?

  3. Алексей says:

    С помощью ЛайфСиДи я увидел изменнёные эти 2 екзешника от 25.04.2011 (дата поимки вируса), с нестандартным для этих файлов значком.

  4. Константин says:

    Ну если ЛайфСиДи под рукой то проблемы не вижу… сейчас кину свой taskmrg.exe
    Замените файлы на нормальные и почистете реестр

  5. Алексей says:

    Винда загружается до выбора учетной записи, выбираем юзера, мелькает рабочий стол, и винда выходит опять в окно выбора учетной записи, даже в безопасном режиме.

  6. Константин says:

    taskmgr.ex измените расширение на нормальное, замените оба файла и почистите реестр

  7. Константин says:

    Есть еще возможность востановить реестр из бэкап фалов описан в этой статье: http://it-web-log.ru/2010/10/virus-blokiruet-kompyuter/
    третий способ.
    там два файла с которыми можно поэксперементировать это software и system отвечающиее за ветки реестра установленных программ и систему соответственно

  8. Алексей says:

    Спасибо!

  9. Константин says:

    Не за что. Рад был помочь

  10. злой says:

    привет
    а как заменить userinit ?
    Подскажите как это сделать с диска windows)

  11. Даша says:

    Щас только схватила такой же (скрин похож, только номер другой). Пыталась диспетчер – не открывается, зашла под администратором, и там не открывается, но баннера нет и всё вроде работает, перезагрузилась, зашла опять под юзером….нет баннера!!!! ???? Поставила проверку антивирусником, понимаю что смысла в этом мало, но всё же жду щас. Конечно, ничего не нашел.
    Теперь думаю, что дальше делать…. а может и ничего не делать. Всё работает.
    Осталось только инет подключить, может опять оживет?

  12. Даша says:

    Не дождалась появления моего предыдущего комментария….
    В общем почистила браузер перед выходом в инет и всё работает никаких блокировщиков не выскакивает. стоит ли что-нибудь искать?

  13. Константин says:

    Отдельные вирусы удаляються сами, после 2-х – 3-х часов простоя компьютера, какие-то живут два дня… какие то только в ручную

  14. air11 says:

    Правильно ли я понимаю, что можно не изменять значение параметра Shell, а сразу завершать процесс userenit?

  15. air11 says:

    в диспетчере userinit нет, есть taskmgr.exe. его завершать?

  16. Константин says:

    taskmgr.exe это как раз деспечер задач

    Можно поробовать методом тыка, завершать процессы и смотреть когда исчезнет окно вируса.

    А Shell всеравно следует проверить

  17. Ada says:

    Диспетчер задач не запускается. Что делать?

  18. Рика says:

    Все было точно так, как описано выше! Поэтому благодаря вам спасли комп! Действительно были изменены userinit и taskmgr.exe. Одтельное спасибо за предоставленную возможность скачать эти файлы!

  19. Костас says:

    Спасибо за статью, помогло.

  20. Виктор. says:

    Статься помогла, спасибо большое.

  21. Антон says:

    Присоединяюсь к коментариям, еще одна особенность вируса – userinit.exe не удаляется а переименовывается во чтото вроде 249YJ3.exe. Я гружусь с Лива, делаю как описано выше, только востонавливаю оригинальный файл (даже если он переименован и навести на него мышью например в Totale, появится подсказка userinit библиотека для входа в систему). Саме инртересное что ни где не описано явного способа защиты от этой попрошалки. У меня WinXP3 + Нод32 + Opera, все обновлено, но этот вирус уже задолбал (причем у кого такой же комплект похожая проблема). Цепляется в основном на онлайн видео, если не найду действенный способ защиты, уйду на win7 + Каспер + Мозила

  22. nasgool says:

    Всем привет. Поймал этого Константина в июле 2011. Изменяет userinit.exe и taskmgr.exe. Диспетчер задач блокирует, ничего не помогает, ни какое сочитание клавиш. Загрузился с другой ОС. Если нет то поможет LIVE CD. Загрузил ветку реестра зараженной ОС, почистил. Долго думал…. Не помогло. В папке ( у меня это было так -C:\Documents and Settings\All Users.WINDOWS.0) нашел файлик ……exe, удалил его. С старой ОС поменял userinit.exe и taskmgr.exe. Загрузился- весь в артефактах, не знаю, что пошло не так. Но уже стал доступен MSCONFIG, диспетчер задач, и наконец восстановление системы, откатил назад на 2 дня назад, Вот оно счастье.

  23. Константин says:

    to Антон
    У меня XP SP3 + KIS 2010 еще ни разу не поймал на домашнем ПК, а вот DoctorWEB у знакомой такую вещь пропустил

    А userinit я с LiveCD копирую, но все равно спасибо за инфу

  24. Жеко says:

    Спасибо! Сэкономил кучу времени )

  25. nukeleo says:

    Проверьте еще папку windows\system32\dllcache я там тож нашел дубль userinit.exe вирусный

  26. Арсений says:

    У меня та же проблема что и назгула.
    Прихожу с работы и пробегает сестра, мол компу ппц, говорит была только в контакте.
    Полный игнор на любое клацание клавиш. Щас буду качать Live CD, посмотрим.
    Только я тут профан)подскажите, перед тем как начну, куда лезть)

  27. Nadin says:

    Вчера поймали такое же г… Диспетчер задач блокируется. Никакое сочетание клавиш не работает. Загрузились через безопасный режим – таже ерунда… Может присоветуете что… Задачка осложняется тем, что это нетбук и CD привода нет…

  28. Константин says:

    Если нет привода, можно смонтировать загрузочную флешку, принцип действия останется тем же

  29. SK AndGrey says:

    Автору Огромное Спасибо. загрузился с LiveCD, заменил файл, отредактировал реестр, и удалил файлы на которые были ссылки в неправильном реестре. И все заработало. Еще раз Спасибо

  30. carnolio says:

    “оражонной данным смс-блокером” поправь ошибку пожалуйста, статья полезная, но прочитал позже чем разобрался

  31. Юрий says:

    Константин огромное спасибо)!

  32. Krak says:

    Да, повидал этих блокеров немало… Самое интеретсное – он постоянно модифицируется: по началу просто прописывал себя в реестр на место userinit, потом пошёл менять в той же ветке sell – explorer.exe на себя, затем ещё и заменой самого файла userinit, а в последствии и taskmgr…
    Боюсь все эти трансформации происходят именно благодаря вот таким вот открытым статьям… С одной стороны хорошо – можно быстро найти проблему и “полечить” эту заразу, с другой – эти “писатели” тоже сидят в интернете и читают эти же статьи по борьбе с их детищем…
    Одного я непойму – тело-то вроде как не сильно модифицируется! Почему же антивирусописатели так долго спят и дают этой заразе так легко распространяться?
    Но на будущее пострадавшим – чаще всего эта зараза встречается в “якобы видео” файлах в интернете, причём львиная доля приходится именно на “18+”!!! Так что – думайте прежде чем ткнуть в кнопку “Просмотреть п…но бесплатно” ;)

  33. Константин says:

    Вирусы будут меняться, а мы будем писать как от них избавляться – это замкнутый круг и ни куда из него не деться.

  34. Александра says:

    у меня такая же фигня с ноутбуком,в диспетчере userinit.exe нет, у меня Win7, что искать? помогите пожалуйста

  35. Константин says:

    Если диспетчер задач работает, завершайте процессы по одному и обратите внимание, на каком процессе уйдет заставка.

  36. ParaNoir says:

    А если не запускается Диспетчер задач?

  37. Александр says:

    Да за*ли эти попрошайки, мне таскают раза 2-3 в неделю с этой бедой, одно радует колымчик:) товарищи вымогатели мы зарабатываем на ваших долбаных вирусах;)

  38. Мишаня says:

    Спасибо голову всю сломал ))) даж сидиром отрубает гад ))за юзернит отдельное спасибо.!!!!

  39. Sad Cake says:

    У меня в диспетчере задач пишет этот процесс как form1. Завершить-то я его могу, но вот в реестре… Там просто нет параметра Shell, как бы я его не искала. Что делать? Если тут конечно это еще кто-либо прочтет

  40. Константин says:

    Параметр есть, скорее всего что то не так делаете при поиске

Оставить комментарий