Вирус с активацией винды за SMS

Ну думаю все в курсе о чем речь. Меня этот вирус затрахал уже не меньше чем тех, кто его ловит, т.к. ловит его каждый второй знакомый и бежит сразу же ко мне. Мол БИДА-БИДА, HALP, ну и все такое. А я этот вирус (эти вирусы) до вчерашнего дня в глаза не видел, и х.з. что им всем советовать.

Короче вчера принесли ноут. При загрузке - окно с просьбой отправить СМС чтобы активировать винду. При открытии task manager-а вирус, видимо имеющий стиль WS_EX_TOPMOST, тут же кидает его на задний план, тобишь "под себя". Ну короче один жмет и держит Ctrl+Alt+Del, другой мышкой тыкает в мерцающем task manager-е чтобы снять задачу, лол.

По имени процесса нашел .exe-шник. xxx_video_35277.avi.exe. Надо будет рассказать хозяину ноута, по каким порносайтам можно ходить, а по каким - нет

Удалил .exe-шник. Теперь при загрузке компа появляются обои, но не появляется explorer-а - ну там таскбар, кнопка пуск, и т.д. Если в task manager-е запустить explorer.exe, то появляется только проводник - рабочий стол не появляется. Короче ноут полностью работоспособен, только не удается вернуть рабочий стол. В чем может быть дело и как это починить?

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe

 

rmka

YARRR! То что нужно! Спасибо!

 

rmka
_DEN_
Бывает и хуже от такого удаления, ехе мог прописаться вместо userinit, тогда вообще бы не загрузилось... точнее загрузилось и сразу же вышло. И вообще, вот так удалять со старта - стрёмно....

 

_DEN_
Ламер.

 

_DEN_
А вот если, заранее, подвесить на некоторую комбинацию клавиш
запуск второго рабочего стола.
Просто сам думал опробовать идею, но никак не словлю эту пошесть для экспериментов.
Сначала, принесли ноут с этим делом,
Вышел на Dr.Web -> Скачать -> слева в меню Разблок. Windows
и там по скринам выбрал тот который на ноуте и стянул выпавшую утиль.

Но потом показалось, что выйдет так

Код (Text):

1.     PROCESS_INFORMATION prInfo
2.     HDESK       Deskt;
3.     STARTUPINFO stInfo;
4.     if((Deskt = CreateDesktop(lpDesktop, NULL, NULL, 0, GENERIC_ALL, NULL)))
5.     {
6.         ZeroMemory(&stInfo, sizeof(stInfo));
7.         stInfo.cb        = sizeof(STARTUPINFO);
8.         stInfo.lpDesktop = lpDesktop;
9.  
10.         if(CreateProcess(NULL, "explorer", NULL, NULL, FALSE, 0, NULL, NULL, &stInfo, prInfo))
11.             return Deskt;
12.         CloseDesktop(Deskt);
13.     }

Никто на пробовал случайно?
Поможет нет?

 

_sheva740

Ну откуда мне знать? Я же ламер

 

_DEN_
Ну Бустер - конечно свет в окне.
Хорошо что еще вообще говорит. )))

 

Когдаже вы люди будете авз юзать?!!!!!

 

_sheva740
Разве трудно найти подобный семпл? Вам выслать? ^)
Это совсем ламерские поделки и прописывание в данную ветку рееста было известно с древних времён. Просто смех.
Просто _DEN_-у как обычно в лом продебажить на VM.

 

Booster
Не надо смеяться над "товарищами по партии".
Или ... как в фильме - "[мои] друзья в овраге лошадь доедают."
)))

 

_sheva740
Какие нафик товарищи? Которые не умеют дебагером пользоваться? В топку таких.

 

... правильно - в топку собственного самолюбия.
)))
Так скоро и вопросы-то задавать стремно станет
Я например много глупых задаю (

 

_sheva740

При чём здесь самолюбие? Если ТС-у было трудо продебажить или не хватает навыков, то уж погуглить-то он думаю мог. Вопрос абсолютно гугловский. Но нет же, мы лучше спросим. Но мне было-бы стыдно такое спрашивать, а вот некоторым видимо нет. И на этом форуме уже перетирали эту тему не раз. Так что делам выводы.

 

Booster
Да мог конечно.
Ладно - мир брат!!

 

Booster
Начиная с #5 я бы все удалил. А был бы модером, то лично ВЫ получили бы бан. Ну на пару дней хотя бы. Справедливости ради, не вы один. Так что может и хорошо, что я не модер ))

ЗЫ: Ничего страшного, если кто-то не знает в какой ключ смотреть. Потому что другим занимается, а не удалением скринлокеров.

ЗЗЫ: А если включить на миг мозги, а не пресловутое ЧСВ, то поймем, что способности топикстартера пользоваться дебагером обсуждению не подлежат - нельзя сделать вывод об умении или не умении, поскольку подопытный образец был удален. Нечего уже было ковырять, разве что саму винду. Доступно? Кроме дебагера и двоичной арифметики обычную логику не доводилось применять?

...в самом деле, скоро и вопросы задавать стремно станет... Погуглить, говорите? Ну-ка, чего такое надо в поиск гугля ввести, чтоб ответ получить? "Рабочий стол"? "Последствия самолечения"? или "я ламер"?

 

FatMoon

Гуглом, поиском?

Вам видимо последнее.

З.Ы. Возможно действительно немного неадекватно воспринимаю, но вспомните бредопосты ТС-а.

 

_sheva740

Была же подобная тема
http://wasm.ru/forum/viewtopic.php?id=39473&p=1

 

Flint_ta
Спасибо за ссылку, все перечитал.
Ну так идея, в твоем случае, сработала?
Там просто выводы непрозрачно.
)))

 

Если интересуют winlockerы, тут много про них написано, почти с самого начала эпидемии.
http://forum.xakep.ru/m_1497707/tm.htm