Xyecoc.net и другие
Сегодня речь пойдет о популярных нынче вирусах, которые размещают на рабочем столе порно-баннер или порно сайт в браузере, при этом блокируя всё рабочее пространство. Причем, что самое необычное, на всех компах, зараженных этими вирусами, независимо от модификаций, на баннерах были изображены гомосеки, тыкающие друг в друга своими пиписьками.
Одно дело, когда у тебя на рабочем столе расположились прекрасные барышни (у многих они и без вирусов там находятся), но совсем другое, когда на том же месте находятся эти заднеприводные… Стыдно и перед женами и перед детьми)) Привозя мне комп с таким вирусом, народ стыдливо прятал глаза и неохотно объяснял в чем суть поломки. Так что, вирусостроители опять попали в точку – гомосеки однозначно приносят больший доход нежели классическое двуполое порно))
Но на одних гомосеках отличия от аналогичных вирусов не заканчиваются. Если с предыдущими модификациями можно было бороться с помощью залипания клавиши Shift или комбинации клавиш Win+U и последующей чистки автозагрузки, то в этот раз все подобные махинации ни к чему не приводят. Диспетчер задач по-прежнему заблокирован, но баннер имеет наивысший приоритет и располагается поверх любых окон, независимо от их приоритета. Пуск как бы есть, но на нажатия не реагирует. К тому же заблокирован безопасный режим. В общем, попа, причем попа мужская…
Представлю Вам 2 модификации подобных вирусов, которые мне удалось запечатлеть.
Первый вариант представляет сайт xyecoc.net, о содержимом которого понятно по названию домена. Сайт открывается в браузере. Кроме гомофоток, содержится следующий текст:
«Просматривая порно видео гомосексуального характера [гей видео], и вступая [регистрируясь] в общество скрытых гомосексуалистов [геев], Вы согласились с нашими правилами. Данный модуль носит рекламный характер, устанавливая данный модуль, Вы согласились с тем, что модуль будет располагаться на Вашем компьютере в течении ХХ суток с момента акцептирования договора и установки рекламного модуля. В случае если, по каким либо причинам, Вы захотите покинуть общество скрытых гомосексуалистов [геев], и удалить рекламный модуль раньше времени, согласно акцептированного ранее соглашения, Вам необходимо совершить следующие действия. Пополнить счет абонента БИЛАЙН № +7ХХХХХХХ на сумму ХХХ рублей. После оплаты, на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле расположенное ниже. После ввода кода модуль удалится автоматически»
В общем, записали нас в общество скрытых гомосеков, причем якобы мы сами согласились на посвящение в пидоры, да и расписали на совесть – неужто юриста специально нанимали.
Выложу скриншот, только не ругайтесь – снимал на мобилу))
Вторая модификация выполнена в виде баннера. Текст следующий:
«ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течении трех часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить через терминал экспресс-оплаты счёт абонента Билайн ХХХХХХХ на сумму ХХХ руб. После оплаты на квитанции Вы найдете код активации. Введите его в поле ниже и нажмите Enter»
Забавно, насколько вежливо к нам обращаются в обоих случаях — на Вы, с большой буквы. Да и Билайн в обоих случаях светится неспроста – с Билайна можно свободно снимать деньги наличными или перевести на счет в банке.
Ну и скриншот, как полагается, мутный… зато пидорасиков в углу можно разглядеть))
Теперь о том, как с этой гадостью бороться. Для асов хватит одной строчки – залезть в мертвый реестр и исправить параметры Userinit и Shell. Теперь для нормальных)))
Нам понадобится LiveCD с Windows XP на борту. Сейчас такие имеются практически на всех реаниматорах. Скачайте с Интернета или приобретите в магазинчике. Можно также использовать ERD Commander, но особой разницы не имеется, к тому ж, ERD не всегда грузится.
В общем, загружаемся с LiveCD. Лишний раз напомню как это сделать – после включения компьютера долбите по клавише F8, перед этим засунув диск в привод. Комп либо сразу загрузится с диска, либо покажет меню для выбора источника загрузки. Выбирайте тот источник, в котором содержится DVD (это так, на пальцах). Если удалость стартануть с диска – перед Вами появится меню реаниматора, в котором надо тыкнуть строку, содержащую LiveCD. Если же F8 не помогает – лезьте в BIOS (клавиша Del или F2 после включения компьютера) и ищите по всем меню строку со словом Boot, где выставляйте ваш DVD на первый план.
Ну вот, с высшей математикой разобрались)) После загрузки с LiveCD мы увидим ту же Windows, только малость упрощенную. Запускаем редактор реестра (Пуск – Выполнить – regedit). В левой части редактора реестра нажимаем на раздел HKEY_LOCAL_MACHINE, после чего в верхнем меню выбираем «Файл» — «Загрузить куст…». Откроется окошко обзора, в котором переходим по следующему пути: C:\WINDOWS\system32\config. В Вашем случае не обязательно будет диск C, может быть D или E, в зависимости от того, в какой раздел установлена операционная система.
Добравшись до папки config, щелкаем дважды на файле SOFTWARE. Редактор реестра предложить ввести имя для нового раздела – вводим что угодно, например 123. Раздел загружен, увидеть его Вы сможете в левой части окна редактора реестра. Теперь переходим в этой же левой части к следующей ветке раздела — HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.
Из этих параметров нас интересует 2:
Shell – должен содержать значение Explorer.exe
Userinit – значение C:\WINDOWS\system32\userinit.exe,
Если у Вас не так – исправьте, дважды щелкнув на нужном параметре. Обычно, путь к файлу с вирусом находится в параметре Userinit. Перед его исправлением, запомните этот путь и, перейдя по нему в проводнике, удалите файл с вирусом. К примеру, у меня это был файл wlock.exe, находящийся по адресу C:\Documents and Settings\UserXP\wlock.
Все, можно перезагружать компьютер и радоваться вернувшейся Винде))
Сисадминский анекдот:
Один программист любил компьютеры. Пока его за этим делом не застукали…
отличненько! хорошее описание того, как избавляться от локеров. утащу к себе =)
ЗЫ: достаточно интересный психологический год у вирусописателей, действительно люди куда охотней будут отсылать смс =)
[...] Решение подсмотрено тут: http://adminxp.ru/xyecoc-net-i-drugie/comment-page-1/#comment-1840 [...]
Спасибо вам большое!!!!!Избавился от этого!!!Уродского банера!))))))))Описание просто супер!))))))
Не за что) Рад, что кому-то помогло сие чтиво))
код DNITEMS (вводить код нужно медленно иначе символы не пропечатаются)
Хотел бы поделится инфой …
На случай когда у человека проблемы с LiveCD …
«Для асов хватит одной строчки – залезть в мертвый реестр » … есть такой способ … вызвать Диспетчер Задач и снять задачу с вирусом … ДЗ заблокирована вирусом .. но тем не менее она умеет «моргать» если не отжимая жать Ctrl+Alt+Del … как писалось выше — вирус имеет приоритетное значение и стоит первым в списке на отключение) … в данном случае пока моргает ДЗ мышкой пытаемся нажать кнопку «Снять задачу» … оная снимается! … далее по схеме — «Выполнить» — «cmd» — «regedit» — «HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.
Из этих параметров нас интересует 2:
Shell – должен содержать значение Explorer.exe
Userinit – значение C:\WINDOWS\system32\userinit.exe» …
з.ы.: … в Win7 комбинацию Ctrl+Alt+Del заменит Ctrl+Shift+Esc …
Но … буквально сегодня столкнулся с иной формой вируса) … суть та же, но он не выпускает курсор мышки за пределы рамочки с кодом! о_О … т.е. нажатие заветной кнопочки стало невозможным …
Решил проблему => … загрузился в безопасном режиме … рамочка стала пошире, ввиду иного разрешения экрана, тем не менее в поле попал лишь краешек кнопки «Снять задачу» ) … в итоге все получилось — вирус уничтожен)
з.ы.: ИМХО этот способ легче, чем возня с LiveCD…)
ZWER, спасибо за инфу, учтем)) В ХР Ctrl+Shift+Esc также является аналогом Ctrl+Alt+Del. С LiveCD совсем не сложно работать, достаточно один раз сделать и запомнишь на всю жизнь)) К тому же, очень часто безопасной режим бывает заблокирован, т.е. компьютер просто перезагружается вместо того, чтобы войти в безопасный режим.
На все равно спасибо большое! Будем знать, что можно задрочить Ctrl+Shift+Esc))
Спасибо ща проверю
Админу респект!!:) на понятном человеческом языке написал, и настроение поднялось несмотря на «заднеприводных» на экране=) помогло, СПАСИБО!!!
Подниму тему, ибо в нете мало инфы по конкректному случаю…
А случай такой. Сосед словил банер. Пригласил меня на посиделки с пивом, ну и типа между делом удалим зловреда. Блокировано все. И безопасный режим тоже.Системные часы подвинутьне помогло. Сам всегда пользовался выше описанным способом (а у меня по долгу службы частенько случай представляется знаниями блестнуть)…
Откуда про данные параметры реестра узнал не помню..Всегда помогало!!
НО не в этот раз.
Параметр Userinit был в поряде..
Параметр Shell содержал нехорошую запись, которая была исправлена на Explorer.exe .
Прошел по пути нехорошей записи, удалил тело вируса. Казалось бы все — живи и радуйся. Ага, хрен там было. Перезагружаем комп — тот же милый телефонный номер на экране. И опять денег хочет.
Ладно, думаю я. Опять «оживляющий диск», опять исправления (а все вернулось на круги своя, и тело, ипараметр реестра). Почистил временные папки и все, что еще возможно.
Попроболвал опять перегрузить машину — хер там было.
Опять диск — все зловреды на месте.
После долгих размышлений за бутылкой «жигулей» осенила идея — а нет ли потдельного Userinit? или Explorer?
Оказалось очень даже есть. И не потдельный, а полностью подмененный файл Userinit.exe. И еще дублера нашел с помощью поиска.
В общем проблема решилась очередной правкой выше описанного, удаления тела, прописанного вместо эксплорер экзе (я так понял — это отвлекающий маневр писателей зловреда), удалением потдельных Userinit и добавлением оригинального в папкe Систем32. Оригинальный скопировал со своей машины и перенкес на флэхе. Только флешку втыкивать нужно до загрузки Live CD, чтобы она определилась.
И ведь что выбесило. Подмена файлов произведена была безвозвратная. Значит никакие коды, никакое лечение 100% не сработало бы. И СМС в том числе бесполезно отправлять. Тоесть господа полностью гробят систему (для не очень продвинутых пользователей это приговор).
Вот такая вот хрень……
Лэн, спасибо за объемный коммент и полезный опыт. Я тоже с недавнего времени стал встречаться с такими винлоками. Как правило, идет подмена userinit.exe, explorer.exe и taskmgr.exe (т.е. диспетчер задач). В твоем случае винлок может снова вылезти если запустить диспетчер задач, но опять же 50 на 50. Если в системе включена функция восстановления, то файлы не удаляются безвозвратно — перед их подменой происходит создание точки отката. Так что если восстановление включено, то я гружусь через ERD Commander и делаю откат. Больше ничего не требуется. Ну а если восстановление отключено, то остается только искать систему такой же версии сборки и восстанавливать файлы с нее.
[...] с ней (и воспользоваться) Вы можете в статье Xyecoc.net и другие. Но виросостроители не стоят на месте и современные [...]
Всё эт хорошо но время идёт и вирусы усовершенствовали. Вводить всякие коды в рекламные банеры бесполезно, в реестре менять что то бесполезно, avz и типа таких анивиров беспомощны. Как написал выше Лэн есть подмена файлов….эт ещё не всё….в разных местах разбросаны были установщики, да ещё и скрытые которые при запуски винды снова подменяли файлик Userinit.exe. Четыре установщика я удалил и только потом у меня запустилась винда но почему то вентилятор закрутился на процессоре с бешеной скорость…пришлось вырубить системник