Blackmailer

[beard]

недавно мой знакомый подхватил на комп неприятного трояна Blackmailer(шантажист), который требовал деньги за разблокировку компа.
я не придумал ничего лучше, чем откатить систему при помощи Acronis True Image.
может кто знает рецепт лечения(интересно узнать на будущее)

[DM4ik]

Цитата: Сообщение от beard недавно мой знакомый подхватил на комп неприятного трояна Blackmailer(шантажист), который требовал деньги за разблокировку компа. я не придумал ничего лучше, чем откатить систему при помощи Acronis True Image. может кто знает рецепт лечения(интересно узнать на будущее)

Многие знакомые мои попали на данный вид мошенничества, во весь экран окно мол вы смотрели детское порно, это запрещено законом РФ чтобы убрать это окно надо заплатить 200-800 руб через платежный терминал. Раньше было через смс, сказал другу ном на который надо послать смс и текст и все код разблокировки готов. С терминалами сложней.

[beard]

Цитата: Сообщение от DM4ik Цитата: Сообщение от beard недавно мой знакомый подхватил на комп неприятного трояна Blackmailer(шантажист), который требовал деньги за разблокировку компа. я не придумал ничего лучше, чем откатить систему при помощи Acronis True Image. может кто знает рецепт лечения(интересно узнать на будущее) Многие знакомые мои попали на данный вид мошенничества, во весь экран окно мол вы смотрели детское порно, это запрещено законом РФ чтобы убрать это окно надо заплатить 200-800 руб через платежный терминал. Раньше было через смс, сказал другу ном на который надо послать смс и текст и все код разблокировки готов. С терминалами сложней.

оплата не гарантирует разблокировки.
вот сегодня на всякий случай скачал livecd

[Домовой]

Чаще всего вирус затрагивает этот параметр реестра

Цитата: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\Windows\\system32\\userinit.ex e,"

Если Userinit содержит не "Userinit"="C:\\Windows\\system32\\userinit.ex e," то скорее всего ссылка идет на запускной файл вируса. Возврат параметра к эталону решает проблему. Откат системы дело хорошее, но не всегда есть возможность отката системы. Я обычно иду следующим путем, сканирую бесплатной утилитой Доктор Веб весь диск с:, а затем проверяю этот параметр, меняю его на стандартный, если там все в порядке, то меняю сам файл userinit.exe на стандартный. Пока проблем не было... Хотя не следует забывать, что модификаций данного вируса может быть много, я описал самый распространенный...

[beard]

Цитата: Сообщение от Домовой Чаще всего вирус затрагивает этот параметр реестра Цитата: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\Windows\\system32\\userinit.ex e," Если Userinit содержит не "Userinit"="C:\\Windows\\system32\\userinit.ex e," то скорее всего ссылка идет на запускной файл вируса. Возврат параметра к эталону решает проблему. Откат системы дело хорошее, но не всегда есть возможность отката системы. Я обычно иду следующим путем, сканирую бесплатной утилитой Доктор Веб весь диск с:, а затем проверяю этот параметр, меняю его на стандартный, если там все в порядке, то меняю сам файл userinit.exe на стандартный. Пока проблем не было... Хотя не следует забывать, что модификаций данного вируса может быть много, я описал самый распространенный...

Алексей, а чему равняется стандартный параметр ?

[Домовой]

Цитата: Алексей, а чему равняется стандартный параметр ?

C:\\Windows\\system32\\userinit.exe,
А если ссылка на другой файл, то в этом и проблема

[beard]

тогда сразу еще вопрос: как загрузиться, чтобы добраться до редактора реестра ?

[DM4ik]

В реестре подменяет explorer на эту картинку. В реестре ХР это строка находится по адресу Hkey_Local_Machine\software\Microsoft\Windows NT\Current Version\Winlogon. А зайти в систему можно с загрузочного диска admpack

[Домовой]

Цитата: как загрузиться, чтобы добраться до редактора реестра ?

В любом Livcd этот редактор есть, regedit называется, как правило при запуске он запрашивает ту директорию windows, которую надо редактировать.

[Aurora]

Цитата: Сообщение от DM4ik Многие знакомые мои попали на данный вид мошенничества, во весь экран окно мол вы смотрели детское порно, это запрещено законом РФ чтобы убрать это окно надо заплатить 200-800 руб через платежный терминал. Раньше было через смс, сказал другу ном на который надо послать смс и текст и все код разблокировки готов. С терминалами сложней.

Бывало и у меня подобное. Доходило до того, что сама система при загрузке компа просила выслать смс для получения кода разблокировки. Обычно в таких случаях оператор лишь деньги с тел снимает, при чем приличную сумму.(Мой друг так на 2000р влетел.) Поэтому никуда никаких смс не отправляю, а просто переустанавливаю полностью всю систему и ставлю 2 разных антивируса - на случай, если один вирус пропустит, то второй точно засечёт.