Соседа приняли в гей-клуб или как я боролся с смс-вымогателем...
Пару дней назад меня разбудил сосед в 7 утра: - я вчера вечером нажал на ссылку, теперь у меня мужики на экране трахаются.
Ок, забираю ящик к себе и начинаю разбираться.
Вместо загрузки профиля и появления рабочего стола меня поджидало сообщение "...Отправьте 300 с чем-то рублей на номер +79672865841" а под ним ещё одно: "Если вы хотите убрать сообщение немедленно - отправьте 41000<+пара квадратов> на 3381" и это "великолепие" на фоне открытого IE с гей-картинками и адресом xyecoc.net (уж простите, из песни слов не выкинешь).
Работала только клавиатура (даже грызун отвалился), ни на что кроме ввода букв и Enter она не реагировала. При попытке загрузки в безопасный режим - машина уходила в ребут. Никакие рансомхайды включить было невозможно. Попробовал колотить коды разблокировки с сайтов каспера и веббера - не прокатило.
Попытался воспользоваться флехой с LiveCD - соседская материнка наотрез отказалась её воспринимать.
Ладно, вытаскиваю винт и цепляю к своей машине. CureIT находит 3 трояна и благополучно их прибивает. Windows по-прежнему не грузится. Без лишнего сожаления переставляю систему (она там с 2005 года жила и давно нуждалась в обновлении). Сосед радуется жизни...
Вчера утром он мне опять звонит: - "я... это... вопщем... короче... всё снова".
Багровею (на переустановку и всякие там обновления ушли почти сутки...)
Забираю системник, включаю. Да, всё то же самое, только сообщение немного изменилось:
теперь номер: 89031602769 и сумма подросла.
Опять прицепил HDD к своей машине (прицепился как "I"), качнул RegeditPE и стал проверять:
1. Автозагрузка - чисто.
2.
Цитата:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\Windows\system32\userinit.exe,
|
- чисто.
3.
Цитата:
|
В этой же веточке реестра, немного выше есть ключ shell. Его значение должно быть Explorer.exe и никакое другое.
|
- опа, здрасте, вот оно:
меняю значение на explorer.exe и перегружаю машину - усё нормально, система загрузилась.
e_consul, спасибо за статью!
З.Ы. Папку 42Z20HDD зарарил, если кто хочет поковыряться - пишите, вышлю. В ней много картинок
и вот такая ерунда:
