Убиваем ещё один mailware — HackZona.Ru

Убиваем ещё один mailware

Убиваем ещё один mailware

Тип статьи:
Со старой ХакЗоны.
Источник:
Всем привет!
Сегодня я расскажу о одном вирусе-баннере, который вымогает деньги через СМС. В принципе методов лечения уже много, но до сих пор рассматривались вирусы, которые мало того, что вымогают деньги, так ещё и блокируют Windows. В этой статье пойдёт речь немного о другом вире.

Началось всё с того, что одна девчёнка с параллельного класса попросила меня помочь её с компьютером. Объяснила всё так: «Уехал папа, мама разрешила полазить в инете, в результате схватила вирус». Ну я пришёл, посмотрел, разобрался.

Вот примерный вид этого баннера:
s56.radikal.ru/i152/0911/95/0a381b2be16b.jpg

Набросал на память (всё цвета, положение объектов сохранены). Пытался найти картинку в Интернете нормальную, но безуспешно, а сделать скрин тямы не хватило.

На пальцах объясняю, баннер при загрузке сразу же активируется. Не имеет кнопок «закрыть, свернуть», его невозможно сдвинуть. Занимает он добрую половину экрана, так что лицезреть диспетчер задач невозможно. Вот такая обстановка. В принципе если 10 минут посидеть за заражённым компом, можно самому во всём разобраться, я же облегчаю вам задачу.

Вызываем CMD, выполняем команду tasklist. Видим, что в процессах висит don66.tmp. Уничтожаем его taskkillом. Но тут надо учесть одну деталь. В cmd показан только один процесс, на самом деле их два, с разными идентификаторами, причём завершить второй просто так не удастся. Выполняем команду taskkill /im don66.tmp /f

Далее надо удалить из папки C:WINDOWSTemp 3 файла: don66.bin, don66.tmp и don66.* Расширение последнего я, хоть убейте, не помню. Но он находится рядом с bin- и tmp-файлом. Также вирь прописывает себя в реестр. Идём вот сюда:
regedit > HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
Удаляем из параметра Userinit строку «C:WINDOWSTempdon66.tmp». Перезагружаем комп. В принципе всё.

Всем удачи!

-JC-
Нравится
Не нравится

16 комментариев

11:22
А у меня вирус был банер иам мона было закрыть на кнопку только всплывало это окно каждые 1.5 минуты!!! вот так я спокойно почистил реестр и все ка бы!!!
18:58
Вступлю в хак команду
481995724
14:02
спс за инфу)
22:03
Спасибо огромное за статейку
05:19
А можно получить более подробную информацию, честно говоря в отношении компьютера большой лузер, а на данный момент у меня на компьютере такая проблема существует. И совсем не осведомленному человеку такому как мне очень трудно справиться с ней без посторонней помощи.
Заранее спасибо.
00:06
дружище я ещё кушовый и только учусь ноя просто откатил систему и всё эта шняга пропала.
06:36
А вот за эту статейку спасибо огромное, б..я я аж два раза винду сносил чтоб убрать эту, как сказано выше шнягу, вот внатуре гемарой с этой бедой!!
-----------------------------------------------------------------------------------
Пацаны скажите а как она попадает на комп, вот я понять немогу???
20:31
А я тоже один раз другу подобный вирус удалял, но малёх другим методом: диспетчер задач был заблокирован, но я умудрился его открыт посредством создания ещё одного пользователя windows и за доли секунды при смене пользователя запустил диспетчер и отодвинул его в доступное для обзора место=)))(делалось все очень быстро) выявил название вируса(правда не помню) через стандартный поисковик отыскал все файлы с таким названием и нашлось их как раз 3шт=))) и с помощью boot acronis true image открыл жёсткий диск и удалил эти файлы т.к. они при запущеной винде не удалялись и вирус пропал=)))
04:39
была такая штука, я комп перезагрузил, и больше ни чего не вылезало.
03:39
у мя тож была такая хрень была перезагружаю и нефига всёравно пришлось 2000 тыщи отдать шоб комп подрихтовали установил се аваст и терь в ус не дую!совет всем устанавлевайте себе антивирусы без них как без рук!
16:38
ещё может быть файл .das их тоже надо искать и удалять , такие баннеры и диспетчер блокируют и пуск открываешь ен видно и ваще кусочек 2 см рабочего стола видно
01:41
зыыыы, у меня был второй моник, я всетаки запустил taskmgr
01:43
Еще тема была такая, dmm44 и dmm45 одна следит за другой, приходилось их убивать самымми изощренными способами, последний меня рассмешил, запустить 2 задачи в cmd для выполнения в одно и тоже время, дабы убить их обоих
23:11
Пацаны скажите а как она попадает на комп, вот я понять немогу???
-----------------------------------------------------------------------------------
Ну напрмер ты заходиш на порно сайт включаеш какуюнибуть видюху, вылазит сообщение: Для коректной работы необходим FlashPlayer 10. нажимаеш да и всё вир у тя на компе.Но невсегда конешно так.
14:52
9_непонимаю_ни4его_помогите_мне!!!!
14:53
Помогите5!