Xyecoc.net и другие

Сегодня речь пойдет о популярных нынче вирусах, которые размещают на рабочем столе порно-баннер или порно сайт в браузере, при этом блокируя всё рабочее пространство. Причем, что самое необычное, на всех компах, зараженных этими вирусами, независимо от модификаций, на баннерах были изображены гомосеки, тыкающие друг в друга своими пиписьками.

Одно дело, когда у тебя на рабочем столе расположились прекрасные барышни (у многих они и без вирусов там находятся), но совсем другое, когда на том же месте находятся эти заднеприводные… Стыдно и перед женами и перед детьми)) Привозя мне комп с таким вирусом, народ стыдливо прятал глаза и неохотно объяснял в чем суть поломки. Так что, вирусостроители опять попали в точку – гомосеки однозначно приносят больший доход нежели классическое двуполое порно))

Но на одних гомосеках отличия от аналогичных вирусов не заканчиваются. Если с предыдущими модификациями можно было бороться с помощью залипания клавиши Shift или комбинации клавиш Win+U и последующей чистки автозагрузки, то в этот раз все подобные махинации ни к чему не приводят. Диспетчер задач по-прежнему заблокирован, но баннер имеет наивысший приоритет и располагается поверх любых окон, независимо от их приоритета. Пуск как бы есть, но на нажатия не реагирует. К тому же заблокирован безопасный режим. В общем, попа, причем попа мужская…

Представлю Вам 2 модификации подобных вирусов, которые мне удалось запечатлеть.

Первый вариант представляет сайт xyecoc.net, о содержимом которого понятно по названию домена. Сайт открывается в браузере. Кроме гомофоток, содержится следующий текст:

«Просматривая порно видео гомосексуального характера [гей видео], и вступая [регистрируясь] в общество скрытых гомосексуалистов [геев], Вы согласились с нашими правилами. Данный модуль носит рекламный характер, устанавливая данный модуль, Вы согласились с тем, что модуль будет располагаться на Вашем компьютере в течении ХХ суток с момента акцептирования договора и установки рекламного модуля. В случае если, по каким либо причинам, Вы захотите покинуть общество скрытых гомосексуалистов [геев], и удалить рекламный модуль раньше времени, согласно акцептированного ранее соглашения, Вам необходимо совершить следующие действия. Пополнить счет абонента БИЛАЙН № +7ХХХХХХХ на сумму ХХХ рублей. После оплаты, на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле расположенное ниже. После ввода кода модуль удалится автоматически»

В общем, записали нас в общество скрытых гомосеков, причем якобы мы сами согласились на посвящение в пидоры, да и расписали на совесть – неужто юриста специально нанимали.

Выложу скриншот, только не ругайтесь – снимал на мобилу))

Вторая модификация выполнена в виде баннера. Текст следующий:

«ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течении трех часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить через терминал экспресс-оплаты счёт абонента Билайн ХХХХХХХ на сумму ХХХ руб. После оплаты на квитанции Вы найдете код активации. Введите его в поле ниже и нажмите Enter»

Забавно, насколько вежливо к нам обращаются в обоих случаях — на Вы, с большой буквы. Да и Билайн в обоих случаях светится неспроста – с Билайна можно свободно снимать деньги наличными или перевести на счет в банке.

Ну и скриншот, как полагается, мутный… зато пидорасиков в углу можно разглядеть))

Теперь о том, как с этой гадостью бороться. Для асов хватит одной строчки – залезть в мертвый реестр и исправить параметры Userinit и Shell. Теперь для нормальных)))

Нам понадобится LiveCD с Windows XP на борту. Сейчас такие имеются практически на всех реаниматорах. Скачайте с Интернета или приобретите в магазинчике. Можно также использовать ERD Commander, но особой разницы не имеется, к тому ж, ERD не всегда грузится.

В общем, загружаемся с LiveCD. Лишний раз напомню как это сделать – после включения компьютера долбите по клавише F8, перед этим засунув диск в привод. Комп либо сразу загрузится с диска, либо покажет меню для выбора источника загрузки. Выбирайте тот источник, в котором содержится DVD (это так, на пальцах). Если удалость стартануть с диска – перед Вами появится меню реаниматора, в котором надо тыкнуть строку, содержащую LiveCD. Если же F8 не помогает – лезьте в BIOS (клавиша Del или F2 после включения компьютера) и ищите по всем меню строку со словом Boot, где выставляйте ваш DVD на первый план.

Ну вот, с высшей математикой разобрались)) После загрузки с LiveCD мы увидим ту же Windows, только малость упрощенную. Запускаем редактор реестра (Пуск – Выполнить – regedit). В левой части редактора реестра нажимаем на раздел HKEY_LOCAL_MACHINE, после чего в верхнем меню выбираем «Файл» — «Загрузить куст…». Откроется окошко обзора, в котором переходим по следующему пути: C:\WINDOWS\system32\config. В Вашем случае не обязательно будет диск C, может быть D или E, в зависимости от того, в какой раздел установлена операционная система.

Добравшись до папки config, щелкаем дважды на файле SOFTWARE. Редактор реестра предложить ввести имя для нового раздела – вводим что угодно, например 123. Раздел загружен, увидеть его Вы сможете в левой части окна редактора реестра. Теперь переходим в этой же левой части к следующей ветке раздела — HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.

Из этих параметров нас интересует 2:

Shell – должен содержать значение Explorer.exe

Userinit – значение C:\WINDOWS\system32\userinit.exe,

Если у Вас не так – исправьте, дважды щелкнув на нужном параметре. Обычно, путь к файлу с вирусом находится в параметре Userinit. Перед его исправлением, запомните этот путь и, перейдя по нему в проводнике, удалите файл с вирусом. К примеру, у меня это был файл wlock.exe, находящийся по адресу C:\Documents and Settings\UserXP\wlock.

Все, можно перезагружать компьютер и радоваться вернувшейся Винде))

Сисадминский анекдот:

 

Один программист любил компьютеры. Пока его за этим делом не застукали…

Поделиться в соц. сетях

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники



13 комментария(-ев) к статье “Xyecoc.net и другие”

  • Цитировать

    отличненько! хорошее описание того, как избавляться от локеров. утащу к себе =)

    ЗЫ: достаточно интересный психологический год у вирусописателей, действительно люди куда охотней будут отсылать смс =)

  • SpLaSh:
    Цитировать

    Спасибо вам большое!!!!!Избавился от этого!!!Уродского банера!))))))))Описание просто супер!))))))

  • admin:
    Цитировать

    Спасибо вам большое!!!!!Избавился от этого!!!Уродского банера!))))))))Описание просто супер!))))))

    Не за что) Рад, что кому-то помогло сие чтиво))

  • Vitokhv:
    Цитировать

    код DNITEMS (вводить код нужно медленно иначе символы не пропечатаются)

  • ZWER:
    Цитировать

    Хотел бы поделится инфой …

    На случай когда у человека проблемы с LiveCD …

    «Для асов хватит одной строчки – залезть в мертвый реестр » … есть такой способ … вызвать Диспетчер Задач и снять задачу с вирусом … ДЗ заблокирована вирусом .. но тем не менее она умеет «моргать» если не отжимая жать Ctrl+Alt+Del … как писалось выше — вирус имеет приоритетное значение и стоит первым в списке на отключение) … в данном случае пока моргает ДЗ мышкой пытаемся нажать кнопку «Снять задачу» … оная снимается! … далее по схеме — «Выполнить» — «cmd» — «regedit» — «HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.
    Из этих параметров нас интересует 2:
    Shell – должен содержать значение Explorer.exe
    Userinit – значение C:\WINDOWS\system32\userinit.exe» …

    з.ы.: … в Win7 комбинацию Ctrl+Alt+Del заменит Ctrl+Shift+Esc …

    Но … буквально сегодня столкнулся с иной формой вируса) … суть та же, но он не выпускает курсор мышки за пределы рамочки с кодом! о_О … т.е. нажатие заветной кнопочки стало невозможным …
    Решил проблему => … загрузился в безопасном режиме … рамочка стала пошире, ввиду иного разрешения экрана, тем не менее в поле попал лишь краешек кнопки «Снять задачу» ) … в итоге все получилось — вирус уничтожен)

    з.ы.: ИМХО этот способ легче, чем возня с LiveCD…)

  • admin:
    Цитировать

    ZWER, спасибо за инфу, учтем)) В ХР Ctrl+Shift+Esc также является аналогом Ctrl+Alt+Del. С LiveCD совсем не сложно работать, достаточно один раз сделать и запомнишь на всю жизнь)) К тому же, очень часто безопасной режим бывает заблокирован, т.е. компьютер просто перезагружается вместо того, чтобы войти в безопасный режим.

    На все равно спасибо большое! Будем знать, что можно задрочить Ctrl+Shift+Esc))

  • Иван:
    Цитировать

    Спасибо ща проверю

  • Лекса:
    Цитировать

    Админу респект!!:) на понятном человеческом языке написал, и настроение поднялось несмотря на «заднеприводных» на экране=) помогло, СПАСИБО!!!

  • Лэн:
    Цитировать

    Подниму тему, ибо в нете мало инфы по конкректному случаю…

    А случай такой. Сосед словил банер. Пригласил меня на посиделки с пивом, ну и типа между делом удалим зловреда. Блокировано все. И безопасный режим тоже.Системные часы подвинутьне помогло. Сам всегда пользовался выше описанным способом (а у меня по долгу службы частенько случай представляется знаниями блестнуть)…
    Откуда про данные параметры реестра узнал не помню..Всегда помогало!!
    НО не в этот раз.
    Параметр Userinit был в поряде..
    Параметр Shell содержал нехорошую запись, которая была исправлена на Explorer.exe .
    Прошел по пути нехорошей записи, удалил тело вируса. Казалось бы все — живи и радуйся. Ага, хрен там было. Перезагружаем комп — тот же милый телефонный номер на экране. И опять денег хочет.

    Ладно, думаю я. Опять «оживляющий диск», опять исправления (а все вернулось на круги своя, и тело, ипараметр реестра). Почистил временные папки и все, что еще возможно.
    Попроболвал опять перегрузить машину — хер там было.
    Опять диск — все зловреды на месте.

    После долгих размышлений за бутылкой «жигулей» осенила идея — а нет ли потдельного Userinit? или Explorer?
    Оказалось очень даже есть. И не потдельный, а полностью подмененный файл Userinit.exe. И еще дублера нашел с помощью поиска.

    В общем проблема решилась очередной правкой выше описанного, удаления тела, прописанного вместо эксплорер экзе (я так понял — это отвлекающий маневр писателей зловреда), удалением потдельных Userinit и добавлением оригинального в папкe Систем32. Оригинальный скопировал со своей машины и перенкес на флэхе. Только флешку втыкивать нужно до загрузки Live CD, чтобы она определилась.

    И ведь что выбесило. Подмена файлов произведена была безвозвратная. Значит никакие коды, никакое лечение 100% не сработало бы. И СМС в том числе бесполезно отправлять. Тоесть господа полностью гробят систему (для не очень продвинутых пользователей это приговор).

    Вот такая вот хрень……

  • admin:
    Цитировать

    Лэн, спасибо за объемный коммент и полезный опыт. Я тоже с недавнего времени стал встречаться с такими винлоками. Как правило, идет подмена userinit.exe, explorer.exe и taskmgr.exe (т.е. диспетчер задач). В твоем случае винлок может снова вылезти если запустить диспетчер задач, но опять же 50 на 50. Если в системе включена функция восстановления, то файлы не удаляются безвозвратно — перед их подменой происходит создание точки отката. Так что если восстановление включено, то я гружусь через ERD Commander и делаю откат. Больше ничего не требуется. Ну а если восстановление отключено, то остается только искать систему такой же версии сборки и восстанавливать файлы с нее.

  • Цитировать

    [...] с ней (и воспользоваться) Вы можете в статье Xyecoc.net и другие. Но виросостроители не стоят на месте и современные [...]

  • александр:
    Цитировать

    Всё эт хорошо но время идёт и вирусы усовершенствовали. Вводить всякие коды в рекламные банеры бесполезно, в реестре менять что то бесполезно, avz и типа таких анивиров беспомощны. Как написал выше Лэн есть подмена файлов….эт ещё не всё….в разных местах разбросаны были установщики, да ещё и скрытые которые при запуски винды снова подменяли файлик Userinit.exe. Четыре установщика я удалил и только потом у меня запустилась винда но почему то вентилятор закрутился на процессоре с бешеной скорость…пришлось вырубить системник

Оставить комментарий

Реклама
Подписка

 

Опрос

Как Вы относитесь к компьютерному пиратству?

Посмотреть результаты

Loading ... Loading ...
Облачко
Вас посчитали: