Вирус вымогатель СМС


Пытаемся победить вирус, вымогающий СМС, при этом баннер, что мы видим перед собой, это не часть вируса, а простая программа. Вирус вы могли подхватить в Интернете, зайдя на сайт, принести на флешке, получить с почтой. Вирус при подключении к Интернету скачивает программу,  после установки, которая выдает зацикленное всплывающее окно, которое при закрытии снова раскрывается , находящееся поверх всех окон, отключает восстановление системы, блокирует диспетчер задач и редактор реестра. Но визуально эффект один, перед вами висит окно, которое нельзя закрыть, которое располагается поверх всех окон, и на котором красуется надпись "Для разблокировки необходимо отправить смс с текстом на номер", а также есть окно для ввода кода разблокировки. После ввода кода разблокировки запускается bat файл, который удаляет баннер, разблокирует компьютер и удаляет вирус.

Очень печально, что у нас в Росси многие связывают появление порно баннера на рабочем столе с тем, что пользователь смотрел, или пытался посмотреть порно. Могу отнести это только к невежеству, особенно печален тот факт, что на просьбу о помощи, безмозглые товарищи пишут не нужно по порно сайтам лазить.


Не предлагаю здесь рецепта по борьбе с вирусом, для этого есть антивирусы, предлагаю варианты по избавлению от навязчивого баннера.

Итак, если вы видите баннер, соответственно в системе есть процесс, который вывел на экран это окно, убив этот процесс, мы избавимся от баннера. Вот так всё просто :-). Только диспетчер задач если и не заблокирован, то запускается за окном баннера, что делать???

 

 

 

Вот несколько вариантов:

1.    Звоним с мобильного телефона своему оператору, узнаем кому принадлежит короткий номер на который вымогатели предлагают отправить СМС (звонок естественно бесплатен). Далее оператор вам сообщает номер оператора, который обслуживает данный короткий номер. Уточняем Вам будет звонок платный??? Обычно звонок бесплатный. Звоним оператору обслуживающему короткий номер, и он просто сообщает код разблокировки.

2.    Заходим на сайт DrWeb.com и virusinfo, пытаемся по тексту СМС получить код разблокировки.

3.    При загрузки системы, пока не загрузился баннер, нажимаем Ctrl+Shift+Esc, запускается диспетчер задач и в нем снимаем все появляющиеся задачи.

4.    В окно баннера, для ввода кода разблокировки, вколачиваем всякую хрень много, много, нажимаем кнопку Разблокировать или далее, и пока баннер проверяет код пытаемся запустить диспетчер задач Ctrl+Shift+Esc и завершить процесс.

5.    Запускаем Word, Excel, блокнот и нажимаем кнопку питания компьютера, обычно баннер закрывается быстрее, чем выскакивает сообщение, что у вас есть не сохраненный документ, нажимаем Отмена.

6.    При загрузки компьютера пока экран черный нажимаем F8 и выбираем Безопасный режим.

7.    Если explorer заблокирован, запускаем блокнот и через меню блокнота Файл - Открыть, выбираем тип файлов - Все файлы, работаем как в explorer, или нажимаем сочетание клавиш Windows+U откроется экранная лупа, нажимаем запустить, в открывшемся окне есть ссылка Веб-узел Майкрософт, при нажатии на ссылке запустится explorer.

8.    Для некоторых баннеров ведущих отчет времени актуально убирание с экрана во время открытия свойств даты времени (2 раза кликнуть на системные часы в правом нижнем углу)

9.    Скачать и запустить альтернативный диспетчер задач: AVZ4 (Сервис- Диспетчер процессов), Process Explorer для Windows

10.  Загрузится с диска WindowsPE, образ диска Alkid Live CD&USB (30.03.2012) Standart 478.11 Mb

DepositFiles

(есть антивирусы и редактор автозагрузки и многое другое)

11.  Загрузится с USB, скачать  (создание загрузочной флешки в 3 этапа за 5 минут)

12.  Запустить восстановление Windows с установочного диска Windows.

После того как убрали баннер необходимо:

1.    Удалите все временные файлы из папок:

\Documents and Settings\User Name\Cookies

\Documents and Settings\ User Name\Local Settings\Temporary Internet Files\Content.IE5

\RECYCLER и в папке \Documents and Settings\User Name\Local Settings\TEMP (обратите внимание на скрытые dll файлы если они есть запомните их размер, отсортируйте  в паке \WINDOWS\system32 файлы по размеру и переместите dll такого же размера, в моём случае 132KB=135194b в другую папку, не стоит их удалять т.к. среди них могут быть нужные библиотеки, после проверки антивирусом верните не зараженные dll на место.)

\WINDOWS\TEMP

2.    Проверить весь компьютер на вирусы:

Скачать свежие бесплатные утилиты для проверки компьютера с официальных сайтов, если доступ на антивирусные сайты заблокирован, то с моего сайта.

Kaspersky® Virus Removal Tool

Dr.Web CureIt!®

AVZ4

3.    Проверьте свою автозагрузку:

Удалите со всех дисков и флешек файл Autorun.inf

Пуск - Программы - Автозагрузка - удалите то, что вы не знаете.

Пуск - Выполнить - msconfig - На вкладке автозагрузка снимите чек (галочка) с тех элементов, которые вам незнакомы, здесь можно отключить всё, на загрузку Windows это не повлияет.

4.    Исправте реестр после вируса: Пуск - Выполнить - regedit, если редактор реестра заблокирован скачайте альтернативный редактор реестра

Registrar Registry Manager

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System - параметр DisableRegistryTools (редактор реестра) поставте 0 , параметр DisableTaskMgr (диспетчер задач) поставте 0 .

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ удалите всё, что вы не знаете.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - параметр Userinit должен выглядеть так "c:\windows\system32\userinit.exe,".

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - параметр Shell должен выглядеть так "Explorer.exe".

HKEY_USERS\(проверте все ветки)\Software\Microsoft\Windows\CurrentVersion\Run\ - Удалите все параметры кроме CTFMON.EXE

Скачать служебные программы от компании Sysinternals, AutoRuns для Windows, здесь уже нужно быть аккуратным, не удалите с загрузки лишнего.

Скачать AVZ4, у него в меню Сервис есть Менеджер автозапуска, здесь уже нужно быть аккуратным, не удалите с загрузки лишнего.

Вот так можно продвинутому пользователю победить баннер, если эти советы вам не помогли, то извените, пока Я сам не со всеми случаями сталкивался, как столкнусь, так продолжу писать.

Очень печально, что у нас в Росси многие связывают появление порно баннера на рабочем столе с тем, что пользователь смотрел, или пытался посмотреть порно. Могу отнести это только к невежеству, особенно печален тот факт, что на просьбу о помощи, безмозглые товарищи пишут не нужно по порно сайтам лазить.

 

{jcomments on}