special

  1. HOME
  2. Хакерство и защита
  3. Вирус Отправить SMS - Как вылечить?

Вирус Отправить SMS для активации Вконтакте или Windows - Как вылечить?

[Как правильно лечить (по класификации Dr.Web)]

Внешний вид вируса:
(*Текст и вид могут быть другими. Ниже один из примеров)




Симптомы:
- Вирус, активируется или при попытке пользователя запустить программу (любой .exe файл), или сразу после загрузки Windows.
- Вход пользователя в систему может сопровождаться ошибками типа:
-- ["userinit.exe (rundll32.exe) - Ошибка приложения... Память не может быть written"]
-- Вирус демонстрирует баннер произвольного (разного) содержания, который занимает 70-80% Рабочего стола Windows.
-- Баннер не возможно свернуть\закрыть, он размещается над всеми окнами ОС.
- Для "разблокирования" нормальной работы системы и прекращения показа баннера, предлагается ввести код разблокирования, за какой вирус требует деньги, путем послания SMS с кодом на короткий номер.

Внимание(!) Люди, будьте умнее - ни в коем случае не отсылайте SMS(!)


Методика лечения:
Для технически неподготовленного пользователя ПК, который при слове "реестр" вздрагивает самым простым вариантом повернуть контроль над системой есть аж ни как ни послание SMS! Самым простым выходом из ситуации является использование генераторов кодов-розблокуванння.

Сервис деактивации вымогателей-блокеров (с) Лаборатории Касперского
http://support.kaspersky.ru/viruses/deblocker

«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
http://news.drweb.com/show/?i=304&c=9&p=0

Разблокировка Windows (с) ESET
http://esetnod32.ru/support/winlock.php

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ВНИМАНИЕ!

Если баннер исчез, это вовсе не значит что вирус полностью убрался из вашей системы!!! После успешного разблокирования рекомендую немедленно провести проверку системы. Как? Читайте соответствующую инструкцию

Если же код не подошел, или его не нашлось

Нам нужно исправить нсколько параметров в реестре инфицированной операционной системы.
Чтобы получить доступ к реестру понадобится windows-based Live CD:

- ERD Commander соответствующей версии (5.0 - для хр, 6.0 - для vista, 6.5 - для 7)
- Alkidlivecd (включает у себя Erdcommander) - BARTPE или аналогичная WINPE mini с редактором реестра

Методика устранения баннеров-блокираторив с помощью правки реестра Windows

Нужно проверить несколько разделов реестру и привести параметры толком

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Userinit


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs
. . . (в роботі)


















- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

После правки реестра рекомендую сразу из-под livecd

Прибить (полностью удалить) на висех разделах hdd
RECYCLER
System Volume Information

Удалить из каталогов
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Проверить корень каталога на подозрительные файлы
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup
или
C:\Documents adns Settings\%name%\ApplicationData\Главное меню\Программы\Автозагрузка


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Устранение последствий пребывания вируса в системе:

1. если параметри TCP/IP установленые вручную - сохраняем их в отдельный текстовий файл
Пуск -> Выполнить -> cmd /k ipconfig /all > C:\net_settings.txt

2. проверяем файл C:\WINDOWS\system32\drivers\etc\hosts на наличае левых записей
Пуск -> *правильний файл hosts


3. делаем Winsock (команды нужно вводить в открытом окне cmd)
netsh winsock reset netsh winsock reset catalog netsh int ip reset resetlog.txt netsh interface reset all *http://support.microsoft.com/kb/299357

4. Перегружаем ОС
если ничего не помогло, удаляем сетевую плату из "Диспечера Устройств"
Пуск -> Выполнить -> devmgmt.msc -> Сетевые платы -> Адаптер -> пункт контекстного меню "Удалить"

5. Перегружаем ОС и ждём пока винда найдёт существующую плату и инициализирует её

5.1. Если ничего не помогло - запускаем утилиту AVZ http://www.z-oleg.com/secur/avz/download.php
Файл -> Восстановление системы -> 14. Автоматическое исправление настроек SPl/LSP

5.2. Перегружаем ОС, если проблемы присутствуют
Файл -> Восстановление системы -> 15. Сброс настроек SPI/LSP и TCP/IP (XP+)

5.3. Перегружаем ОС, если проблемы присутствуют
Файл -> Восстановление системы -> 18. Полное пересоздание настроек SPI

6. Если после вышеупомянутого сеть все равно нормально не работает - запускаем проверку целостности системных файлов Windows
(!) знадобиться CD з дистрибутивом Windows тієї ж редакції (Home/Pro) та Service Pack (2/3) яка встановлена.
Пуск -> Выполнить -> sfc /scannow

или

expand X:\I386\tcpip.sy_ C:\WINDOWS\system32\tcpip.sys



Коды разблокировки










Дата створення/оновлення: 25.05.2018