• Dominion Template Release Jan10
    дизайн превратит твоего Голиафа в гостя из будущего и наделит его спец «Крепость».
  • 6 Preset Styles - 18 Combinations
    дизайн полностью изменит внешний вид твоего Голиафа! .
  • RTL Support
    Голиаф станет яркой звездой космоса! Надев получишь спецнавык «Паралич».
Главная » Статьи » Мои статьи

Лечим ВИРУС ТРЕБУЮЩИЙ ОТПРАВКИ СМС?

demo image

На днях наблюдал очередную модификацию
вируса, требующего отправку смс для активации операционной системы.
Выглядит это примерно так: вы включаете компьютер, происходит загрузка
windows, и вот, когда вашему взору должен представиться рабочий стол
всплывает окно с предупреждением: «Вы используете не лицензионную версию
операционной системы, тем самым нарушаете закон и т.д. и т.п. и помочь
вам может только активация windows через отправку sms».
На самом деле, конечно, все совершенно не так. Будет очень глупо, если
вы отправите смс, потому что никакой активации не произойдет, вы только
лишь обогатите злоумышленников.

Когда я впервые увидел эту заразу, я
сразу же попытался запустить диспетчер задач, но у меня ничего не вышло.
После чего я решил перегрузиться в безопасный режим, но и тут меня
ожидала неудача, вирус продолжал мне ехидно улыбаться на экране
монитора. В качестве следующей попытки я использовал загрузку в
безопасном режиме с поддержкой командной строки (жмем клавишу F8 при
загрузке ОС).


Безопасный режим с поддержкой командной строки


В этот раз все прошло успешно. Первым делом я набрал в консоле «regedit», к моей радости ничто не помешало запуску редактора реестра.


Запускаем реестр


В реестре необходимо было просмотреть две ветки:


  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Именно в них содержится информация об
автозагрузке. Ничего подозрительного я там не нашел, там были записи
обычных программ. Я продолжил свои поиски и отправился по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, по своему опыту знаю, что многие вредоносные программы прописываются именно там, а именно в строковых параметрах shell и Userinit. Первый параметр выглядел абсолютно нормально там была одна запись «explorer.exe», а вот во втором, кроме стандартного «C:\WINDOWS\system32\userinit.exe» через запятую было дописано «C:\Documents and Settings\All Users\Application Data\blocker.exe» (может быть и другой путь в зависимости от вируса).



Удалив все лишнее, я закрыл редактор реестра и набрал в командной строке «explorer.exe». Запустился проводник, и я проследовал, по указанному в реестре пути, а именно: "C:\Documents and Settings\All Users\Application Data\".
Стоит добавить, что эта папка системная, поэтому она не будет
отображаться, если не изменить соответствующим образом настройки
отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin.
Перезагрузив компьютер в обычном рабочем режиме, никаких требований
отправки смс уже не возникало. Мне встречались также другие варианты
этого вируса, имеющие другое название, и располагающиеся в других
каталогах, например "C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files" или "C:\Documents and Settings\имя пользователя\Local Settings\Temp".

На данный момент также существует еще
одна категория подобных вирусов, отличие их заключается в том, что они
не блокируют компьютеры, а вылезают при запуске браузера, маскируясь под
рекламный порно баннер. При этом они закрывают большую часть экрана,
тем самым, мешая работе в сети интернет. Их выдает то, что они
загружаются даже на компьютерах, не имеющих доступ в инет. В моем случае
вирус прописался в реестре по адресу:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
, а сами вредоносные файлы расположились по адресам:


  1. "C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\k.php"
  2. "C:\Documents and Settings\MyLogin\Application Data\ybuuk.exe"

После удаления этих файлов проблема успешно решается.

Категория: Мои статьи | Добавил: Angel (21.05.2011)
Просмотров: 1530 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Форма входа

Профиль


Гость !



Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или авторизуйтесь!

ТОП ПОЛЬЗОВАТЕЛЕЙ


AKBAR

Постов:6

Angel

Постов:5

¤FoT1k¤

Постов:1

полетаев

Постов:1

(((Skorpion)))

Постов:1

xirurg

Постов:0

(_)

Постов:0

Категории раздела

РЕКЛАММА

Мини-чат

Необхдима регистрация!

РУнет

Наш опрос

Какой караблик Вам нравится

Радио

Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Рекламный блок

Рекламный блок

Рекламный блок