This trojan blocker ( MD5: 0b525aba7d3134d853d3a9a172abb300 - e7f93f0d7106ff1b0534fbe28023138d ) prevents all software execution.
To remove the Trojan (and unlock windows), infected users need to enter a valid serial number.
pa.exe is detected by just one antivirus as 'SpyEye' http://www.virustotal.com/file-scan/report.html?id=9aa49286577dbab965bcd943c46b1def61458663c7ca26a67160d5665f35a256-1303162581
Number to Call: 8-911-013-30-35
Number to Call: 8-911-722-24-88
Problem i got... i don't found the unlock code...
If a reverser want have a look ? so here is my analysis:
Create a mutex, who look like a serial, certainly to mislead reverse engineers:
Says goodbye to taskmgr, userinit (a big problem):
Create a load regkey:
Appdata:
"Неверный код" part:
Infection come from this server:
Binary Infection:
C:\%SystemRoot%\System32\dllcache\taskmgr.exe
C:\%SystemRoot%\System32\dllcache\userinit.exe
C:\%SystemRoot%\System32\taskmgr.exe
C:\%SystemRoot%\System32\userinit.exe
C:\%SystemRoot%\System32\03014D3F.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
Registry Infection:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Event if you bought a unlock key that will not restore the damaged taskmgr and userinit !
A solution (not tested) is to manual restore these file with a live cd like "Hiren's Boot CD" "Shardana Antivirus Rescue Disk Utility" or more official with the Microsoft CD and try a system repair.
The difficult part is not to delete these files but to restore a proper copy of userinit.exe and taskmgr.exe.
Ascii dump:
00403438 .Ваш компьютер заблокиров
00403478 ан за просмотр, копирование и тиражирование видеоматериалов соде
004034B8 ржащих элементы педофилии и насилия над детьми. Для снятия блоки
004034F8 ровки Вам необходимо оплатить штраф в размере 400 рублей на номе
00403538 р телефона МТС 8-%s, после снятия блокировки удалить все материа
00403578 лы содержащие элементы насилия и педофилии. В противном случае,
004035B8 через 12 часов все данные будут безвозвратно удалены с Вашего ПК
004035F8 , а дело передано для разбирательства в Управление К МВД РФ, по
00403638 статье 242 ч.1 УК РФ..Код разблокировки будет напечатан на фиска
00403678 льном чеке терминала в случае оплаты суммы равной штрафу либо пр
004036B8 евышающей ее....911-013-30-35
00403178 Статья 242.1. Изготовление и оборот материалов или предметов с п
004031B8 орнографическими изображениями несовершеннолетних..Изготовление,
004031F8 хранение или перемещение через Государственную границу Российск
00403238 ой Федерации в целях распространения, публичной демонстрации или
00403278 рекламирования либо распространение, публичная демонстрация или
004032B8 рекламирование материалов или предметов с порнографическими изо
004032F8 бражениями несовершеннолетних, а равно привлечение несовершеннол
00403338 етних в качестве исполнителей для участия в зрелищных мероприяти
00403378 ях порнографического характера лицом, достигшим восемнадцатилетн
004033B8 его возраста, - наказываются лишением свободы на срок от двух до
004033F8 восьми лет с ограничением свободы на срок до одного года либо б
00403438 ез такового....
00403478 ан за просмотр, копирование и тиражирование видеоматериалов соде
004034B8 ржащих элементы педофилии и насилия над детьми. Для снятия блоки
004034F8 ровки Вам необходимо оплатить штраф в размере 400 рублей на номе
00403538 р телефона МТС 8-%s, после снятия блокировки удалить все материа
00403578 лы содержащие элементы насилия и педофилии. В противном случае,
004035B8 через 12 часов все данные будут безвозвратно удалены с Вашего ПК
004035F8 , а дело передано для разбирательства в Управление К МВД РФ, по
00403638 статье 242 ч.1 УК РФ..Код разблокировки будет напечатан на фиска
00403678 льном чеке терминала в случае оплаты суммы равной штрафу либо пр
004036B8 евышающей ее....911-013-30-35
00403178 Статья 242.1. Изготовление и оборот материалов или предметов с п
004031B8 орнографическими изображениями несовершеннолетних..Изготовление,
004031F8 хранение или перемещение через Государственную границу Российск
00403238 ой Федерации в целях распространения, публичной демонстрации или
00403278 рекламирования либо распространение, публичная демонстрация или
004032B8 рекламирование материалов или предметов с порнографическими изо
004032F8 бражениями несовершеннолетних, а равно привлечение несовершеннол
00403338 етних в качестве исполнителей для участия в зрелищных мероприяти
00403378 ях порнографического характера лицом, достигшим восемнадцатилетн
004033B8 его возраста, - наказываются лишением свободы на срок от двух до
004033F8 восьми лет с ограничением свободы на срок до одного года либо б
00403438 ез такового....
Thanks to mrbelyash for the sample.
http://rghost.ru/5239177
ReplyDeletepass-virus