Статьи

Міністерство внутрішніх справ України блокує комп'ютери

  1. PS (25.05.2013)

Днями попався черговий зразок вірусу-здирника, який від імені МВС України блокує комп'ютери користувачів

Днями попався черговий зразок вірусу-здирника, який від імені МВС України блокує комп'ютери користувачів. Тема вже неабияк набила оскому і не раз описувалася на цьому сайті , Але є в ньому деяка особливість, про яку я тут хочу розповісти, і, знаючи яку, вам буде легше з ними боротися.

В даний момент цей вірус детектується практично всіма популярними антивірусами ( 32 з 46 за версією virustotal.com ), Але на момент виникнення вірусу, відсоток його проникнення був незрівнянно вище.

Лікується ця зараза стандартно - завантаженням з LiveCD і аналізом процесів автозапуску основної системи. Схожі випадки описані тут і тут і тут :

Схожі випадки описані   тут   і   тут   і   тут   :

Аналізуємо об'єкти автозапуску основної системи за допомогою програми Autoruns (File - Analyse Offline System ...)

Особливістю даного вірусу є те, що він змінює записи в реєстрі Windows, що відповідають за завантаження операційної системи:

Бачимо, що змінені оригінальні значення Userinit і Shell

Що це означає на практиці? Це означає, що просто видаливши вірусний файл (вручну або антивірусом), ми мало чого доб'ємося: вікно з вірусом вже не з'являється, але і виндовс завантажитися до кінця все одно не може. Щоб відновити завантаження нам необхідно виправити ці дві пошкоджені записи:

Для того щоб виправити невірну запис у програмі Autoruns натискаємо правою клавішею на записи і вибираємо пункт Jump to Entry ... після чого переходимо в редактор реєстру

Після чого відкривається редактор реєстру:

Виправляємо редактором реєстру неправильні записи

Оригінальні значення ключів реєстру Shell, UIHost, Userinit:

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit є «c: \ windows \ system32 \ userinit.exe,»

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell є «explorer.exe»

HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ UIHost є «logonui.exe»

(Для Windows XP, Vista, 7 32 і 64 bit)

Перевірити гілку автозавантаження HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run на наявність там значення «1jfuweif.exe«. При наявності такого - видалити його.

Після чого оновлюємо вікно програми «Autoruns» і контролюємо правильність внесених змін:

Оновлюємо вікно програми і контролюємо правильність внесених змін

Обов'язково потрібно видалити сам вірусний файл (в нашому випадку він називається 1jfuweif.exe). Зазвичай він знаходиться в папці тимчасових файлів користувача. Пересканіровать реєстр на наявність інших гілок реєстру із значенням «1jfuweif.exe» і поудалять їх.

Щоб максимально спростити ситуацію скажу, що для того аби позбутися цього вірусу досить почистити тимчасові папки і зробити відновлення системи (за умови якщо воно було включено і не пошкоджено вірусами). Це дасть аналогічний результат і позбавить Вас від непотрібного колупання в реєстрі.

Після цього можна пробувати перевантажуватися вже в нормальному режимі і зрадіти чудесного зцілення (а також економії мінімум 277 грн):

Після цього можна пробувати перевантажуватися вже в нормальному режимі і зрадіти чудесного зцілення (а також економії мінімум 277 грн):

1. Вражає контингент зловмисників. Написанням і поширенням такого типу вірусів зайнялися зовсім вже малолітні задрот (формулювання пропозицій в банері і розташування елементів відповідає їх рівню інтелекту). В інтернеті з'явилася велика кількість конструкторів даного типу вірусів - досить лише внести туди свій текст, якусь картинку і подумати як його ширше розповсюдити.

2. Вражає готовність виробників антивірусів брати з усіх гроші при практично нульовій їх ефективності.

3. Вражають користувачі, які ведуться на ЦЕ і платять зловмисникам (інакше ніхто б цим не займався, або принаймні, воно не досягло б таких масштабів). Ні в якому разі не піддавайтеся на вимагання і не платите їм ніяких грошей! Кодів розблокування не існує!

4. Вражає МВС. Відвертий плювок на їх репутацію і распоясавшаяся кримінальна відповідальність не виробляють на них ніякого враження.

Сумно, панове ...

Дізнатися в будь-який момент часу де знаходиться Ваш транспортний засіб, Вам допоможе gps моніторинг від компанії Саттранс-Навігатор.

PS (25.05.2013)

Ганьба нашого МВС не припиняється:

Ганьба нашого МВС не припиняється:

Новости

Как создать фото из видео
Кризис заставляет искать дополнительные источники дохода. Одним из таких источников может стать торговля на валютном рынке Форекс. Но чтобы не потерять свои деньги необходимо работать с надежным брокером.

Как оформить группу в вконтакте видео
Дано хотел свой магазин в вк, но не знал с чего начать его делать. Так как хотелось не банальный магазин с кучей ссылок и фото, а красиво оформленный. С меню, с аватаркой. После просмотра видео создал

Как оформить диск малыш от рождения до года из фото и видео
Оформить диск "Малыш от рождения до года" из фото и видео можно совершенно разными способами! Кто-то для достижения данной цели идет на шоу-таланты, кто-то пользуется услугами профессионалов, а кто-то