бугага=), активация виндафс через СМС

вопщем случилось моему дражайшему родителю подцепить вот такую по@бень(у нее в этом направлении определенный талант).
вопщем вирь-невирь, но при включении компа поверх всего, сразу после приветсвия вылезает на весь экран табличка "Виндаффс заблокирован" =)))))
для развблокировки отправьте СМС с кодом.... на номер..... долго смеялся.
привсем при этом комп загружается апсолютно нормально, но только за этой "шторкой". в безопасном режиме такая же херь.
щас на компе стоит нод32, как то он этот момент проморгал....

З.Ы. эта хрень сварачивацца и контральтделитицца не хочет ну никак
З.Ы.2. всетаки наипать я ее сумел. комп грузицца штатно в опщем то, с ММклавы запускаю почтовика, и пока он там пытаецца сконнектицца и проверить почту выключаю копм с кнопки, "активация" закрывается сразу, а вот почтовик подвисает и не дает компу вырубицца

И вот, где это бяку искать и чем лечить?

искать в автозагрузке
а лечить-- ну скачай cureit для начала..если руками не найдешь ..

-klim-
скрин выложи

autoruns помоему хорошая программа или как-то так называется , посомтри

p.s. пробовал отправлять смс?

>p.s. пробовал отправлять смс?

Напиши, что в автозагрузке обнаружишь! я не думаю, что там что то хитрое придумали! обычно такие разводы "на лоха" пишутся на коленке...

в "пуск-программы-автозагрузка", если вы про это, то там нету ничего

отжог)))))))))))))


ты бы сам стал писать такие троянчики - которые в это меню себя добавляют ?
глубже Женя надо искать, глубже

позавчера такую херню видел, я сделал тупо, винт к другой машине и проверка на вирусы, 49 откапал..... дальше загрузка/работа шла в штатном режиме...

БАШОРГ


админ: меня тут делом озадачили
админ: на одной из машин заблокировалась винда
админ: появляется окно "Windows заблокирован. Для разблокировки пошлите SMS с текстом XXX на номер YYY"

З.Ы. НЕ Я!!!)))))

Это сообщение отредактировал -klim- - 10.04.2009 - 12:31

ключи в реестре для автозагрузки проверь:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnceEx

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnceEx

Если там ничего подозрительного не обнаружиться, значит вариантов несколько:
1) Загрузка троянской dll из параметра AppInit_DLLs
2) Работает NT-сервис (наиболее вероятный вариант)
3) в систему установлен дроппер, который, например, грузит самого трояна и плюсом к нему ядерную дровину, которая в свою очередь прячет сам дроппер, саму себя и троянца с помощью расстановки хуков на основные функции из ntdll отвечающие за перечисление объетов файловой системы, процессов в памяти и ключей реестра.
4) был пропатчен один из системных файлов (winlogon.exe или explorer.exe например), и в его код был сделан инжект зловредной функции (этот вариант наименее вероятен)

Есть и еще варианты, но основные и наиболее распространенные пути внедрения я описал

Secur/TLG чаво хоть ты такое страшное написал то, человек эту чудо прогу искал в

а ты ему про NT-сервис

Jetty
человек эту штуку пока что нигде не искал
эта штука дома меня ждет

вопщем НОД победил =)

всем кто взгревалсо - незачод :/

Это сообщение отредактировал -klim- - 10.04.2009 - 15:57

а скриншотег?
хоть одним гзазком бы