leh_a (leh_a) wrote,
leh_a
leh_a

Удаление Lite Net Accelerator

  Ситуация как водится для пользователя : "Ничего не дел, по порнухе не шарился, оно само появилось". Клиент подцепил заразу Lite Net Accelerator.

   Экран чуть меньше чем полностью выглядит примерно так
экран компьютера при заражении вирусом вымогателем
Диспетчер задач заблокирован. Редактор реестра туда же.
   Стандартные танцы с бубном не помогли. При загрузке в safe mode появляется. Под вновь созданной учёткой администратора тоже. Запуск на заражённой машине AVZ и VRT (фирменная утиль касперского. очень похожа на avp portable edition по смыслу) приводили к зависанию.
   Волшебная строчка  REG.exe ADD HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 которая должна разблокировать редектор реестра хоть и выполнялась, но реестр всё равно был недоступен.
   Ситуация стала достачно интересной для меня. Первые образцы этой заразы, которые народ подхватывал на форумах online игр ещё до нового года, лечились голыми руками. Достаточно было потереть исполняемые файлы из коня профиля пользователя Default User.
   В итоге подцепил клиентский диск к чистой машине. Каспер нашёл кучу dll-ек с причудливыми названиями.Но не одного упоминания об вирусяге с названием Trojan-Ransom не было. Вот в чём заковыка!
   В ходе борьбы нашёл у касперского фирменную утиль для борьбы с такими проявлениями злобной киберприступности digital_cure.exe. Правда в деле попробовать не удалось. По форумам встречал мнение, что можно было просто звякнуть контент-провайдеру, через которого идёт получение денег авторами вируса и постучав кулаком по столу получить код разблокировки БЕЗПЛАТНО. Tелефон: (495) 363-14-27 доб. 555, 8-800-555-0102, круглосуточно. Но мы лёгких путей не ищем.
   Ещё некоторые умельцы предлагали подбирать код самостоятельно по такой схеме:
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

   О чём будет следующий пост? Может о более чем полугодовой борьбе с kido в одной из сетей...
UPD. Включение показа скрытых файлов делается так HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL.

Tags: tech support
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 0 comments