DDDDDDDTTT.exe, 22CC6C32.exe, опять 25, очередной вымогатель, смс баннер, порнуха на экране, порно, зоофилия, УК РФ, статья, распространение - Статьи - Каталог статей - Ремонт Компьютеров и Ноутбуков на дому и офисе Белгород
Воскресенье, 20.05.2012, 08:22
Приветствую Вас Гость | Регистрация | Вход

Ремонт компьютера за час на дому и офисе

Каталог статей

Главная » Статьи » Статьи
DDDDDDDTTT.exe, 22CC6C32.exe, опять 25, очередной вымогатель, смс баннер, порнуха на экране, порно, зоофилия, УК РФ, статья, распространение

Разблокировка компьютера от баннера с номером 8-911-291-76-49

Создаю эту тему на этом форуме, потому что гуглил по данной проблеме лично и нигде не нашёл ответа, хотя вопрос этот задавался неоднократно. Этот форум прекрасно кэшируется поисковиками, и люди без проблем найдут решение.

В общем за последние 2 дня у четырёх моих клиентов появился баннер с просьбой положить деньги на номер 8-911-291-76-49. Впервые я впал в ступор, бился у клиента с этим баннером целый час и так и не понял, как эта зараза появляется вновь и вновь на компьютере, несмотря на её удаление и замену параметров в реестре значений Shell и Explorer (эта зараза меняет Шел на себя). В общем пришлось переставлять Винду, а дома уже рабираться. Скачав эту дрянь себе на комп и запустив у себя спустя час наконец-то дошло; рассказываю:

Эта дрянь не только кидает свой баннер с именем 22CC6C32.exe по пути c:\Documents and Settings\All Users\Application Data\, но и изменяет файл userinit.exe, который находится по пути c:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же userinit.exe, только который является резервным для восстановления системы и лежит по пути c:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл 22CC6C32.exe по указанному выше пути. В общем замкнутый круг получается.
Хочу отметить то, что есть одна небольшая "родинка" у файла userinit.exe, который лежит по пути c:\WINDOWS\system32\dllcache\ - у него не стандартная иконка, а квадрат серого цвета, что выдаёт его с потрохами.

В общем итоговое решение для тех, кто в танке и каске:
загружаемся через Live-CD, грохаем файл c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
заменяем инцифированные файлы c:\WINDOWS\system32\userinit.exe и c:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл userinit.exe (прикреплю к сообщению)
заходим в реестр Вашей винды и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (а было это значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe")
переа\загружаемся и хлопаем в ладоши

P.S.: отдельный привет хотелось бы передать Сибирскому городу Бердску, да восславится имя его!


Источник: http://www.servicebel.ru
Категория: Статьи | Добавил: ipsyedinmk (17.07.2011) | Автор: servicebel
Просмотров: 481
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
RSS

Форма входа

E-mail:
Пароль:
Создать сайт бесплатно