Троян-вымогатель Download Manager

[igorgri]

Приходу позавчера домой с работы - опаньки - на флэшке папка Recycled появилась с файлами (никогда в корзину не удаляю) и на корне autorun.bat файлик. Ну дома у меня автозагрузка с флэшек и CD отключена, на днях убил NOD32 - поставил Avast!, куча программулек нашло в NOD32 два вредоносных файла в корневой папке программы (видно поэтому и не отлавливал, хотя обновлялся), думается домашние - все чисто, а значит надо рабочий смотреть.

 

Протестил с утра свежим Cureit и AVZ - нашло мелочь пузатую, типа файла подбора пароля, программы удаленного доступа. Ну ладно... Вставляю еще раз флэшку - опять появляются файлы левые.

 

Ну что, чистим темпы и перегружаем банку... И тут началось!!!

 

 

Выскакивает окно - типа вы нарушили лицензионное соглашение программы Download Manager, у вас 3 часа на оплату. Для этого отправьте SMS с кодом K********* на номер **** и введите полученный код...

 

Троян блокирует диспечер задач, msconfig тоже не запускается, проги типа World и Excel не запускаются (раньше можно было с помощью их гасить троян).

 

Проверял двумя дисками alkid CD, последний за 21.12.09, всем, что там было - нефига... Там Cureit и AVZ новые - тоже не лечат. Послали образцы вируса с флэшки в антивирусные лаборатории.

 

Утром дома скачал обновления - пошел на работу - не ловят... А вот Касперский следствия ловит - dll обозначает, как вирусняк... Но не прибивает причину появления.

 

Надоедло в конце концов - и пошел в рукопашную: Запустился с alkid, нашел все файлы, размером с зараженные библиотеки, переместил их в другие папки. А теперь внимание - заходим в Windows? набираем пароль входа, жмем Enter и быстро выдергиваем шнур ЛВС. Комп заходит, но новый вирус не закачивает и можно работать.

 

Жду новые версии баз антивирусов.

 

Да - не путать с "IMax Download Manager"

Изменено 30 декабря, 2009 пользователем igorgri

[lexa]

format c:

 

linux + виртуальная машина винды ))

[Ктулху]

На основании всего сказанного в этой теме, какой антивирусник лучше?

 

Лучший антивирусник - не работать под администраторской учетной записью. Тогда ни в какие папки windows файлы не пишутся. А можно вообще позакрывать доступ на большинство папок. Я себе так и сделал - работаю под ограниченной учеткой, устававливаю проги из-под админской. Антивирь уже давно не верещит (обновляется каждый день)

[MrFirst]

linux + виртуальная машина винды ))

 

 

виндоус 7 ультимэйт + ХР мод )))

[Design_Nick]

Кстати DrWeb 23-го декабря выпустил версии для 64-битных ОС

 

Выпуск однопользовательских решений Dr.Web с поддержкой 64-битных версий Windows

 

23 декабря 2009 года

 

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – сообщает о выпуске однопользовательских решений Dr.Web для Windows с поддержкой 64-битных систем. Это стало возможным благодаря радикальному обновлению антивирусного монитора SpIDer Guard. Вместе с этим антивирус Dr.Web был оснащен дополнительными функциональными возможностями и получил новый графический интерфейс.

 

Обновленный SpIDer Guard позволил антивирусным решениям Dr.Web Security Space и Антивирусу Dr.Web для Windows поддерживать все функциональные особенности современных операционных систем от Microsoft. Технология минифильтров, использованная в антивирусном мониторе, обеспечила лучшую совместимость с операционной системой и избавила монитор от различных конфликтов как с ОС, так и со сторонними приложениями. Благодаря значительному улучшению взаимодействия «сторожа» с антивирусным ядром существенно возросла эффективность проверки, а также серьезно повысилась устойчивость SpIDer Guard.

 

Были усовершенствованы и другие компоненты антивируса.

[lexa]

Лучший антивирусник - не работать под администраторской учетной записью. Тогда ни в какие папки windows файлы не пишутся. А можно вообще позакрывать доступ на большинство папок. Я себе так и сделал - работаю под ограниченной учеткой, устававливаю проги из-под админской. Антивирь уже давно не верещит (обновляется каждый день)

 

если через дыры лезет с сети - пролезет и под ограниченной учеткой

 

Кстати DrWeb 23-го декабря выпустил версии для 64-битных ОС

 

не нравится вебер как постоянный сканер... как второй - больше нравится )) особенно если поднимать комп с флешки

[Design_Nick]

не нравится вебер как постоянный сканер..

 

А "первый" - каспер?

[lexa]

А "первый" - каспер?

 

kis, nod32

себе всегда ставлю чего говорил выше ))

 

из распространенных вариантов пожалуй лучше kis

[Stitch]

еще 2 компа с Download Master

поеду восстанавливать

[igorgri]

http://nnm.ru/blogs/softpir/kak_izbavitsya_ot_sms_troyancev/#cut

Как избавится от смс троянцев

 

http://img15.nnm.ru/3/e/e/e/d/f9e420ee93e884df48c448495ea.png

 

Кошелек или жизнь

 

Эволюция "фабрики вымогателей", последний квартал 2009 года

 

Наступил Новый, 2010 год. Во всем мире праздничное затишье: офисы и магазины закрыты, на улицах почти никого. Все отдыхают после главного праздника и готовятся отмечать новые. Но не везде ситуация так спокойна и благополучна: русский сектор Интернета все еще лихорадит после масштабной эпидемии, которую устроили в конце уходящего года многообразные троянские вымогатели.

 

Для справки: троянский вымогатель (Trojan-Ransom) — вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

 

Мы употребили здесь слово "многообразные", но, пожалуй, в этом случае было бы правильнее сказать "однообразные": работа злоумышленников, постоянно изготавливавших все новые и новые вредоносные продукты, напоминала работу на конвейере. С завидной периодичностью (примерно раз в две недели) "фабрика вымогателей" выпускала очередной образец вредоносной программы, с однотипным названием, скроенным по одному лекалу и составленным из одних и тех же слов, и с одной и той же схемой работы: баннер-окно высокого приоритета, которое нельзя ни закрыть, ни свернуть, с текстом о якобы нарушенном лицензионном соглашении и требованием отправить платное SMS-сообщение на особый номер, чтобы получить код разблокирования.

 

Надо, однако, признать, что функционал вредоносных программ все время совершенствовался, от версии к версии становясь все более изощренным. В этой статье мы и поговорим о том, как развивались вредоносные продукты, сходившие с конвейера "фабрики вымогателей", на основе сведений из информационных бюллетеней VirusInfo (см. раздел Инфекция дня).

 

1. "Get Accelerator" (Trojan-Ransom.Win32.Agent.gc)

 

Первым образцом троянских вымогателей, вызвавших масштабную эпидемию, был вредоносный продукт под самоназванием "Get Accelerator". Он был занесен в базу данных "Лаборатории Касперского" как "Trojan-Ransom.Win32.Agent.gc", антивирусные продукты Dr. Web называют его "Trojan.Winlock.366", а BitDefender эвристически определил его как "Gen:Trojan.Heur.Hype.cy4@aSUBebjk".

 

Первые случаи заражения этой программой мы увидели примерно в середине октября минувшего года. К началу третьей декады произошел резкий всплеск инфекции, который, к слову сказать, повторился ближе к концу года; эпидемические всплески отчетливо видны на суммарном графике поисковых запросов, составленном по данным аналитического сервиса LiveInternet.

 

http://img11.nnm.ru/9/a/2/5/8/14875d0bbe0ffeb30aa8f43da69.png

 

Рис.1. Количество поисковых запросов определенного типа, суммарное

"Get Accelerator" был, в сущности, одним из примитивных представителей продукции "фабрики вымогателей". Пользователю отображалось обычное окно приложения без элементов управления, какое относительно просто изготовить в визуальной среде программирования, с парой угрожающих надписей и таймером; при этом нарушалась корректная работа сетевого подключения, что не позволяло пользователю выходить в сеть Интернет.

 

http://img11.nnm.ru/6/b/b/d/2/83d74ffeaee4743e153baf8c02d.jpg

 

Рис.2. Снимок экрана компьютера, пораженного "Get Accelerator"

Вредоносная программа состояла из двух компонентов — драйвера %WinDir%\dmgr134.sys и внедряемой динамической библиотеки %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll; оба компонента были отчетливо видны в результатах исследования системы AVZ, имена их были фиксированными, что позволяло составить стандартные рекомендации по их удалению:

 

***

Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

 

<div style="margin:20px; margin-top:5px">

<div class="smallfont" style="margin-bottom:2px">Код:

<pre class="alt2" dir="ltr" style="

margin: 0px;

padding: 6px;

border: 1px inset;

width: 640px;

height: 210px;

text-align: left;

overflow: auto">begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

QuarantineFile('%WinDir%\dmgr134.sys','');

QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');

DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');

DeleteFile('%WinDir%\dmgr134.sys');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.</pre>

Операционная система перезагрузится.

 

***

"Get Accelerator" был актуален в течение 1-2 недель, после чего злоумышленники запустили в производство новую версию.

 

2. "uFast Download Manager" (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)

 

Вторым представителем семейства стал т.н. "uFast Download Manager", получивший наименования "Trojan-Ransom.Win32.SMSer.qm" и "Trojan.Win32.Agent.dapb" в базах данных "Лаборатории Касперского" и "Trojan.Botnetlog.11" — по классификации Dr. Web; BitDefender вновь определил вредоносную программу эвристически, назвав ее "BehavesLike:Trojan.UserStartup".

 

Атака этой вредоносной программы пришлась на начало ноября, когда первая волна "Get Accelerator" была уже погашена. На графике поисковых запросов вновь отчетливо виден эпидемический всплеск, хотя он был и не таким мощным, как у предыдущего образца.

 

http://img11.nnm.ru/5/5/a/3/a/8bd57982b8c3aab5a8d96fa0660.png

 

Рис.3. Количество поисковых запросов определенного типа, суммарное

 

В сравнении с "Get Accelerator" "uFast Download Manager" был устроен немного сложнее с точки зрения интерфейса и несколько проще в том, что касается реализации. Окно, отображавшееся пользователю, приобрело "полупрозрачный" вид, исчезла и рамка окна, характерная для "Get Accelerator"; надписи и требования, однако, остались все теми же. Основание для вымогательства также не изменилось: программа нарушала работу сетевого подключения. Иногда от пользователей поступали сообщения и о блокировке Диспетчера задач.

 

http://img15.nnm.ru/2/5/3/4/7/7a165d7eb92af26d3f6f8ef5fe9.jpg

Рис.4. Снимок экрана компьютера, пораженного "uFast Download Manager"

 

Вредоносный продукт на этот раз пытался имитировать "настоящий" менеджер загрузок — создавал свою папку в каталоге %UserProfile%\Application Data. Основной компонент на сей раз был один — исполняемый файл с опять же фиксированным именем типа %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe; он по-прежнему был отчетливо виден в протоколах AVZ и мог быть удален вместе с иногда застревавшим в системе дроппером при помощи стандартных рекомендаций:

 

***

Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

 

<div style="margin:20px; margin-top:5px">

<div class="smallfont" style="margin-bottom:2px">Код:

<pre class="alt2" dir="ltr" style="

margin: 0px;

padding: 6px;

border: 1px inset;

width: 640px;

height: 274px;

text-align: left;

overflow: auto">var

SP: string;

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');

QuarantineFile(SP+'\zavupd32.exe','');

QuarantineFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe','');

DeleteFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe');

DeleteFile(SP+'\zavupd32.exe');

BC_ImportALL;

ExecuteSysClean;

ExecuteRepair(11);

BC_Activate;

RebootWindows(true);

end.</pre>

Операционная система перезагрузится.

 

Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:

1. В диспетчере устройств Windows удалите сетевой адаптер

2. Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.

 

***

Просуществовав несколько недель, "uFast Download Manager" был вскоре сменен обновленной версией "Get Accelerator".

 

3. "Get Accelerator" — 2

 

После падения "uFast Download Manager" злоумышленники вернулись к "брэнду" "Get Accelerator". Под старым именем вышла новая модификация вредоносной программы, остававшаяся актуальной почти месяц.

 

В сравнении с предыдущими версиями авторы "продукта" сделали шаг вперед: предприняли попытку защитить свое творение от антивирусных консультантов и их инструментов. Во-первых, появилось случайное имя вредоносного драйвера, а, во-вторых, этот же драйвер занялся маскировкой внедряемой библиотеки aekgoprn.dll, подставляя вместо пути набор цифр. Впоследствии авторы вообще отказались от особого драйвера и вместо этого стали модифицировать системные драйвера, усложняя тем самым процедуру лечения. С этого момента "фабрика вымогателей" уже не выпускала образцов, для которых можно было бы предложить стандартный скрипт AVZ.

 

Однако, как выяснилось, все это были еще цветочки. Гром грянул позже, в начале декабря.

 

4. "iMax Download Manager" (Packed.Win32.Krap.w)

 

Удар, нанесенный этим вредоносным продуктом, пришелся на 8-9 декабря. "iMax Download Manager" в разы превзошел всех своих предшественников как по масштабам эпидемии, так и по вредоносному функционалу. На момент атаки определить его были способны только продукты "Лаборатории Касперского", да и то эвристически — по подозрительному упаковщику файла.

 

В том, что касается масштабов эпидемии, достаточно привести несколько цифр:

 

- 9 декабря на лечебном сервисе VirusInfo были побиты рекорд одновременного присутствия (без малого 1 000 человек онлайн одновременно) и рекорд суточной посещаемости (впервые в истории портала он превысил 20 000 уникальных посетителей в сутки),

— информационный бюллетень о вредоносной программе "iMax Download Manager" за два дня был просмотрен порядка 10 000 раз,

— суммарное количество поисковых запросов (на графике) превысило 10 000 — в 2 раза больше, чем предел для "Get Accelerator", и в 4 раза больше, чем для "uFast Download Manager".

 

http://img15.nnm.ru/f/5/d/b/0/ff23a8422cc5816d460cdef6fdd.png

 

Рис.5. Количество поисковых запросов определенного типа, суммарное

 

В области вредоносного функционала авторы также продемонстрировали большой "прогресс". "iMax Download Manager", помимо традиционного вымогательства, оказался способен:

 

- мешать запуску и работе антивирусных инструментов и сканирующих утилит,

— блокировать Диспетчер задач и Редактор реестра,

— препятствовать загрузке Windows в безопасном режиме,

— выключать Восстановление системы Windows.

 

http://img12.nnm.ru/3/0/f/4/c/a0c5cbf79aa56344f24bca30e89.jpg

 

Рис.6. Снимок экрана компьютера, пораженного "iMax Download Manager"

 

Само собой, что о стандартных скриптах для антивирусных инструментов речь здесь уже не шла. Усилия антивирусных консультантов сосредоточились на двух способах решения проблемы — загрузке в обход операционной системы или поиску способов подбора т.н. "кода активации".

 

Не успела погаснуть волна этого вредоносного ПО, как последовала еще одна — более слабая, сопоставимая с масштабами волны "uFast Download Manager".

 

4. "iLite Net Accelerator" (Packed.Win32.Krap.w)

 

Вредоносный продукт под названием "iLite Net Accelerator" — это в сущности тот же "iMax Download Manager", выпущенный под другим именем. Для него даже не потребовался отдельный бюллетень в разделе "Инфекция дня". Отличия его от "старшего брата" незначительны и состоят скорее в типе цифрового кода для отправки в SMS-сообщении и собственно номере для отправки. Волна инфекции, однако, вышла вполне ощутимой.

 

http://img11.nnm.ru/a/2/9/1/b/eb625b3f616155a61ad3e7c7f28.png

 

Рис.7. Количество поисковых запросов определенного типа, суммарное

 

Для "iMax Download Manager" и "iLite Net Accelerator" в настоящее время существуют, как было уже сказано, два основных типа лечения. Первый разработан специалистами VirusInfo и состоит в использовании загрузочного диска, содержащего антивирусную сканирующую утилиту:

 

***

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: support.kaspersky.ru/viruse..., ссылка для загрузки );

2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: virusinfo.info/showthread.p... ), или попытаться войти в пораженную ОС при помощи другой учетной записи;

3) Запустить утилиту AVPTool и провести полное сканирование ПК;

4) Перезагрузить компьютер.

 

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

 

***

Однако данный способ требует от пользователя определенных навыков и к тому же не всегда применим (в частности, нередко вредоносный продукт поражает нетбуки, которые не снабжены CD-приводом). Если первый способ не подходит, остается другой — подбор "кода разблокировки" вместо отправки SMS-сообщения. Получить код вы можете одним из двух вариантов:

 

1) Использовать сервис разблокировки, любезно предоставленный нам "Лабораторией Касперского":

 

>>> virusinfo.info/deblocker/

 

2) Обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.

 

Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:

 

а) выполнять требования злоумышленников и выплачивать им "выкуп",

б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" — гарантированный способ умертвить Windows).

 

Помимо перечисленных нами образцов, существует еще некоторое количество более мелких представителей этой группы — "File Downloader", "Toget Access" и им подобные.

 

И в заключение нашей статьи приведем любопытный график — объединенные данные по эпидемическим всплескам вымогателей:

 

http://img12.nnm.ru/b/e/a/a/c/b3f7fff08278416583e6d1737ca.png

 

Рис.8. Общие данные по активности вымогателей

 

Эпидемия продолжается. Выводы делать вам...

 

[Stitch]

еще +1

как то уже заколебало

[Leonid]

Последняя версия локера, с которой вчера столкнулся, сложнее предыдущих. Заблокированы редактирование реестра, диспетчер задач, редактор групповой политики, cmd. Отладчики в реестре не дают запускать никакие исполняемые файлы - хоть AVZ, хоть Cureit, в том числе и в безопасном режиме. Умнеют.

[igorgri]

у меня попроще было, можно было скинуть окно трояна, но вот не запускалось практически ничего. Ну ладно, никто не отменял загрузку с CD-DVD или загрузочной флэшки.

[SLON]

Где то читал, что такие черви в компе живут около 2 часов, если с компом ничего не делать,якобы через 2 часа он сам себя удаляет.

А вообще самое простое находим свооего вымогателя на этой страничке Dr.Web'a http://news.drweb.com/show/?i=304 и генерируем пароль без СМС. Вем удачи.

[Nazarich]

тоже друг словил сегодня

с Live CD завтра буду убивать.

если получится...

[Grax]

тоже друг словил сегодня

с Live CD завтра буду убивать.

если получится...

 

А откуда словил?

[Nazarich]

да на баннер какой то нажал, тот ему предложил Flash обновить

вот он и обновил

[German]

Где то читал, что такие черви в компе живут около 2 часов, если с компом ничего не делать,якобы через 2 часа он сам себя удаляет.

А вообще самое простое находим свооего вымогателя на этой страничке Dr.Web'a http://news.drweb.com/show/?i=304 и генерируем пароль без СМС. Вем удачи.

 

Через три часа (по таймеру на баннере), окно закрывается, но любые попытки запустить какую-либо программу или интернет, вгоняют комп в ребут. После чего окно снова появляется. Не знаю как сейчас, но на 30ое декабря ни один код с сайта Dr.Web не помогал. CureIt на тот момент тоже не работал (даже не запускался). На НГ было бы скучновато остаться без музыки и игр, поэтому винда была снесена и поставлен православный Ubuntu

[Nazarich]

с выданной выше ссылки был сгенериров код который сразу подошел.

спасибо SLON.

[RaZZboyNiK]

Вчера воевал у знакомог ос такой фишкой... тока там реклама какихто фалло эмитаторов блин вылазит и чтоб мол закрылось нада смс выслать или 1000 раз будет вылазить продолжительностью около 1 мин. при загрузке...

Убил Доктор вебом и касперски рековери СД... Все окей работат... ) Словил пройдя по ссылке в почте. там типа - было написано "не узнаешь никого на фото?" И вот ))) Такая во тфигня...

[Nazarich]

"не узнаешь никого на фото?"

 

мне такая хрень от лебеди белой приходила, аккурат после фестиваля...

тоже лечился потом

[igorgri]

Через три часа (по таймеру на баннере), окно закрывается, но любые попытки запустить какую-либо программу или интернет, вгоняют комп в ребут. После чего окно снова появляется. Не знаю как сейчас, но на 30ое декабря ни один код с сайта Dr.Web не помогал. CureIt на тот момент тоже не работал (даже не запускался). На НГ было бы скучновато остаться без музыки и игр, поэтому винда была снесена и поставлен православный Ubuntu

 

Скорее всего плохо лечил. Касперский эту заразу снес 31 числа. А говорят тебе про то, как генерировать код доступа на основании номера, который ты должен отправить по SMS. YJ код на разные трояны - разный, мне не помогало то, что нашел.

Изменено 15 января, 2010 пользователем igorgri

[igorgri]

Поймал откуда то сегодня вирусятину. Из серии

http://free-pc-help.ru/wp-content/uploads/2009/07/141863.gif

 

Только просто Antivirus Online

 

Вот оптимальное решение

 

Метод удаления:

 

* в окне Kaspersky Lab Antivirus Online введите код 5748839

* откройте папку C:\WINDOWS\SYSTEM32\

* найдите файл USER32.EXE

* переименуйте файл USER32.EXE в файл USER33.EXE

* перезагрузите компьютер

* удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\

* нажмите кнопку Пуск

если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter

если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK

* раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

* удалите ключ реестра DisableTaskMgr

* раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

* найдите и откройте ключ Shell

* удалите значение user32.exe

* нажмите кнопку ОК

* закройте редактор реестра

* если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей

 

Код не вводил с Алкида загрузился, оттуда и вышел в Инет и нашел решение. Оттуда же и правил реестр - там только надо выбрать ветвь при запуске.

[Rus]

Последняя версия локера, с которой вчера столкнулся, сложнее предыдущих. Заблокированы редактирование реестра, диспетчер задач, редактор групповой политики, cmd. Отладчики в реестре не дают запускать никакие исполняемые файлы - хоть AVZ, хоть Cureit, в том числе и в безопасном режиме. Умнеют.

 

закалебал он, винду сношу... есть уже именно от него лекарство ? название заразы не определил ?

[Stitch]

запускай LiveCD

находи в c:\windiws\sysrem32\

находи winlogon.exe

сортируй файлы по дате изменения

все что имеет такю же дату (полностью одинаковые до секунды) как у winlogon.exe даляй

это для начала

потом в реестре все ветки автозапуска

AVZ чтоб рзблоировать диспечер задач и реестр

ну и потом антивирусником се еще раз прогнать с обноленными базами

[Rus]

winlogon оставлять или другой искать ?