Прогресс не стоит на месте, а с ним в пред движутся и разработчики вирусов смс-блокеров. С методом удаления и лечения одного нового вируса блокирующего компьютер вы сможете ознакомиться в данной статье.
Действия нового вируса блокирующего систему
Новый вирус блокирующий компьютер действует по тому же принципу что и его собратья, т.е. сохраняет свой файл на жесткий диск и перезаписывает параметр реестра shell в ветке HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ на этом сходство со старыми смс-блокерами заканчивается.
Столкнувшись с таким вирусом, я почистил реестр, прописав в параметре shell родное значение explorer.exe, удалил вирусный файл (как это сделать можно посмотреть в статье Удаляем вирус заблокировавший компьютер ) и был очень удивлен, когда при перезагрузке компьютера, с ново появилось окно блокирующего вируса.
Проверив реестр я обнаружил что измененный мной параметр shell снова указывает на вирусный файл, а сам файл как не вчем не бывало, находится в директории из которой он был недавно удален.
Пришлось поломать голову над тем как это происходит. И вот что я выяснил.
Новый смс-блокер меняет параметры реестра, только для отвода глаз. Основное действие вируса это подмена файла userinit.exe находящегося на системном диске в каталоге Windows\System32\
Восстанавливаем систему после работы нового смс-блокера.
Для восстановления работоспособности системы порежонной данным смс-блокером необходим вызвать диспетчер задач комбинацией клавиш (Ctrl+Shift+Esc) в списке процессов найти процесс с названием userinit.exe и завершить его, нажав кнопку завершить процесс . После этого зараженный файл userinit.exe, расположенный в каталоге C:\Windows\System32\ необходимо заменить файлом с нормальной системы, после этого восстановить параметр реестра Shell
Для тех у кого нет под рукой рабочей системы выкладываю свой файлик:
Константин, это уже старый вирус, у меня ща комп лежит, у которого уже замещается уже не только userinit.exe, но вдабавок ещё и taskmgr.exe. Что делать?
А почему вы решили что и taskmgr.exe подменен, что выходит вместо него?
С помощью ЛайфСиДи я увидел изменнёные эти 2 екзешника от 25.04.2011 (дата поимки вируса), с нестандартным для этих файлов значком.
Ну если ЛайфСиДи под рукой то проблемы не вижу… сейчас кину свой taskmrg.exe
Замените файлы на нормальные и почистете реестр
Винда загружается до выбора учетной записи, выбираем юзера, мелькает рабочий стол, и винда выходит опять в окно выбора учетной записи, даже в безопасном режиме.
taskmgr.ex измените расширение на нормальное, замените оба файла и почистите реестр
Есть еще возможность востановить реестр из бэкап фалов описан в этой статье: http://it-web-log.ru/2010/10/virus-blokiruet-kompyuter/
третий способ.
там два файла с которыми можно поэксперементировать это software и system отвечающиее за ветки реестра установленных программ и систему соответственно
Спасибо!
Не за что. Рад был помочь
привет
а как заменить userinit ?
Подскажите как это сделать с диска windows)
Щас только схватила такой же (скрин похож, только номер другой). Пыталась диспетчер — не открывается, зашла под администратором, и там не открывается, но баннера нет и всё вроде работает, перезагрузилась, зашла опять под юзером….нет баннера!!!! ???? Поставила проверку антивирусником, понимаю что смысла в этом мало, но всё же жду щас. Конечно, ничего не нашел.
Теперь думаю, что дальше делать…. а может и ничего не делать. Всё работает.
Осталось только инет подключить, может опять оживет?
Не дождалась появления моего предыдущего комментария….
В общем почистила браузер перед выходом в инет и всё работает никаких блокировщиков не выскакивает. стоит ли что-нибудь искать?
Отдельные вирусы удаляються сами, после 2-х — 3-х часов простоя компьютера, какие-то живут два дня… какие то только в ручную
Правильно ли я понимаю, что можно не изменять значение параметра Shell, а сразу завершать процесс userenit?
в диспетчере userinit нет, есть taskmgr.exe. его завершать?
taskmgr.exe это как раз деспечер задач
Можно поробовать методом тыка, завершать процессы и смотреть когда исчезнет окно вируса.
А Shell всеравно следует проверить
Диспетчер задач не запускается. Что делать?
Все было точно так, как описано выше! Поэтому благодаря вам спасли комп! Действительно были изменены userinit и taskmgr.exe. Одтельное спасибо за предоставленную возможность скачать эти файлы!
Спасибо за статью, помогло.
Статься помогла, спасибо большое.
Присоединяюсь к коментариям, еще одна особенность вируса — userinit.exe не удаляется а переименовывается во чтото вроде 249YJ3.exe. Я гружусь с Лива, делаю как описано выше, только востонавливаю оригинальный файл (даже если он переименован и навести на него мышью например в Totale, появится подсказка userinit библиотека для входа в систему). Саме инртересное что ни где не описано явного способа защиты от этой попрошалки. У меня WinXP3 + Нод32 + Opera, все обновлено, но этот вирус уже задолбал (причем у кого такой же комплект похожая проблема). Цепляется в основном на онлайн видео, если не найду действенный способ защиты, уйду на win7 + Каспер + Мозила
Всем привет. Поймал этого Константина в июле 2011. Изменяет userinit.exe и taskmgr.exe. Диспетчер задач блокирует, ничего не помогает, ни какое сочитание клавиш. Загрузился с другой ОС. Если нет то поможет LIVE CD. Загрузил ветку реестра зараженной ОС, почистил. Долго думал…. Не помогло. В папке ( у меня это было так -C:\Documents and Settings\All Users.WINDOWS.0) нашел файлик ……exe, удалил его. С старой ОС поменял userinit.exe и taskmgr.exe. Загрузился- весь в артефактах, не знаю, что пошло не так. Но уже стал доступен MSCONFIG, диспетчер задач, и наконец восстановление системы, откатил назад на 2 дня назад, Вот оно счастье.
to Антон
У меня XP SP3 + KIS 2010 еще ни разу не поймал на домашнем ПК, а вот DoctorWEB у знакомой такую вещь пропустил
А userinit я с LiveCD копирую, но все равно спасибо за инфу
Спасибо! Сэкономил кучу времени )
Проверьте еще папку windows\system32\dllcache я там тож нашел дубль userinit.exe вирусный
У меня та же проблема что и назгула.
Прихожу с работы и пробегает сестра, мол компу ппц, говорит была только в контакте.
Полный игнор на любое клацание клавиш. Щас буду качать Live CD, посмотрим.
Только я тут профан)подскажите, перед тем как начну, куда лезть)
Вчера поймали такое же г… Диспетчер задач блокируется. Никакое сочетание клавиш не работает. Загрузились через безопасный режим — таже ерунда… Может присоветуете что… Задачка осложняется тем, что это нетбук и CD привода нет…
Если нет привода, можно смонтировать загрузочную флешку, принцип действия останется тем же
Автору Огромное Спасибо. загрузился с LiveCD, заменил файл, отредактировал реестр, и удалил файлы на которые были ссылки в неправильном реестре. И все заработало. Еще раз Спасибо
«оражонной данным смс-блокером» поправь ошибку пожалуйста, статья полезная, но прочитал позже чем разобрался
Константин огромное спасибо)!
Да, повидал этих блокеров немало… Самое интеретсное — он постоянно модифицируется: по началу просто прописывал себя в реестр на место userinit, потом пошёл менять в той же ветке sell — explorer.exe на себя, затем ещё и заменой самого файла userinit, а в последствии и taskmgr…
Боюсь все эти трансформации происходят именно благодаря вот таким вот открытым статьям… С одной стороны хорошо — можно быстро найти проблему и «полечить» эту заразу, с другой — эти «писатели» тоже сидят в интернете и читают эти же статьи по борьбе с их детищем…
Одного я непойму — тело-то вроде как не сильно модифицируется! Почему же антивирусописатели так долго спят и дают этой заразе так легко распространяться?
Но на будущее пострадавшим — чаще всего эта зараза встречается в «якобы видео» файлах в интернете, причём львиная доля приходится именно на «18+»!!! Так что — думайте прежде чем ткнуть в кнопку «Просмотреть п…но бесплатно» 😉
Вирусы будут меняться, а мы будем писать как от них избавляться — это замкнутый круг и ни куда из него не деться.
у меня такая же фигня с ноутбуком,в диспетчере userinit.exe нет, у меня Win7, что искать? помогите пожалуйста
Если диспетчер задач работает, завершайте процессы по одному и обратите внимание, на каком процессе уйдет заставка.
А если не запускается Диспетчер задач?
Да за*ли эти попрошайки, мне таскают раза 2-3 в неделю с этой бедой, одно радует колымчик:) товарищи вымогатели мы зарабатываем на ваших долбаных вирусах;)
Спасибо голову всю сломал ))) даж сидиром отрубает гад ))за юзернит отдельное спасибо.!!!!
У меня в диспетчере задач пишет этот процесс как form1. Завершить-то я его могу, но вот в реестре… Там просто нет параметра Shell, как бы я его не искала. Что делать? Если тут конечно это еще кто-либо прочтет
Параметр есть, скорее всего что то не так делаете при поиске