Вирус вымогатель СМС
Пытаемся победить вирус, вымогающий СМС, при этом баннер, что мы видим перед собой, это не часть вируса, а простая программа. Вирус вы могли подхватить в Интернете, зайдя на сайт, принести на флешке, получить с почтой. Вирус при подключении к Интернету скачивает программу, после установки, которая выдает зацикленное всплывающее окно, которое при закрытии снова раскрывается (подробно описано здесь), находящееся поверх всех окон, отключает восстановление системы, блокирует диспетчер задач и редактор реестра. Но визуально эффект один, перед вами висит окно, которое нельзя закрыть, которое располагается поверх всех окон, и на котором красуется надпись "Для разблокировки необходимо отправить смс с текстом на номер", а также есть окно для ввода кода разблокировки. После ввода кода разблокировки запускается bat файл, который удаляет баннер, разблокирует компьютер и удаляет вирус.
Не предлагаю здесь рецепта по борьбе с вирусом, для этого есть антивирусы, предлагаю варианты по избавлению от навязчивого баннера.
Итак, если вы видите баннер, соответственно в системе есть процесс, который вывел на экран это окно, убив этот процесс, мы избавимся от баннера. Вот так всё просто :-). Только диспетчер задач если и не заблокирован, то запускается за окном баннера, что делать???
Вот несколько вариантов:
1. Звоним с мобильного телефона своему оператору, узнаем кому принадлежит короткий номер на который вымогатели предлагают отправить СМС (звонок естественно бесплатен). Далее оператор вам сообщает номер оператора, который обслуживает данный короткий номер. Уточняем Вам будет звонок платный??? Обычно звонок бесплатный. Звоним оператору обслуживающему короткий номер, и он просто сообщает код разблокировки.
3. При загрузки системы, пока не загрузился баннер, нажимаем Ctrl+Shift+Esc, запускается диспетчер задач и в нем снимаем все появляющиеся задачи.
4. В окно баннера, для ввода кода разблокировки, вколачиваем всякую хрень много, много, нажимаем кнопку Разблокировать или далее, и пока баннер проверяет код пытаемся запустить диспетчер задач Ctrl+Shift+Esc и завершить процесс.
5. Запускаем Word, Excel, блокнот и нажимаем кнопку питания компьютера, обычно баннер закрывается быстрее, чем выскакивает сообщение, что у вас есть не сохраненный документ, нажимаем Отмена.
6. При загрузки компьютера пока экран черный нажимаем F8 и выбираем Безопасный режим.
7. Если explorer заблокирован, запускаем блокнот и через меню блокнота Файл - Открыть, выбираем тип файлов - Все файлы, работаем как в explorer, или нажимаем сочетание клавиш Windows+U откроется экранная лупа, нажимаем запустить, в открывшемся окне есть ссылка Веб-узел Майкрософт, при нажатии на ссылке запустится explorer.
8. Для некоторых баннеров ведущих отчет времени актуально убирание с экрана во время открытия свойств даты времени (2 раза кликнуть на системные часы в правом нижнем углу)
12. Запустить восстановление Windows с установочного диска Windows.
После того как убрали баннер необходимо:
1. Удалите все временные файлы из папок:
- \Documents and Settings\User Name\Cookies
- \Documents and Settings\ User Name\Local Settings\Temporary Internet Files\Content.IE5
- \RECYCLER и в папке \Documents and Settings\User Name\Local Settings\TEMP (обратите внимание на скрытые dll файлы если они есть запомните их размер, отсортируйте в паке \WINDOWS\system32 файлы по размеру и переместите dll такого же размера, в моём случае 132KB=135194b в другую папку, не стоит их удалять т.к. среди них могут быть нужные библиотеки, после проверки антивирусом верните не зараженные dll на место.)
- \WINDOWS\TEMP
2. Проверить весь компьютер на вирусы:
3. Проверьте свою автозагрузку:
- Удалите со всех дисков и флешек файл Autorun.inf
- Пуск - Программы - Автозагрузка - удалите то, что вы не знаете.
- Пуск - Выполнить - msconfig - На вкладке автозагрузка снимите чек (галочка) с тех элементов, которые вам незнакомы, здесь можно отключить всё, на загрузку Windows это не повлияет.
4. Исправте реестр после вируса: Пуск - Выполнить - regedit, если редактор реестра заблокирован скачайте альтернативный редактор реестра
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System - параметр DisableRegistryTools (редактор реестра) поставте 0 , параметр DisableTaskMgr (диспетчер задач) поставте 0 .
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ удалите всё, что вы не знаете.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - параметр Userinit должен выглядеть так "c:\windows\system32\userinit.exe,".
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ - параметр Shell должен выглядеть так "Explorer.exe".
- HKEY_USERS\(проверте все ветки)\Software\Microsoft\Windows\CurrentVersion\Run\ - Удалите все параметры кроме CTFMON.EXE
- Скачать служебные программы от компании Sysinternals, AutoRuns для Windows, здесь уже нужно быть аккуратным, не удалите с загрузки лишнего.
- Скачать AVZ4, у него в меню Сервис есть Менеджер автозапуска, здесь уже нужно быть аккуратным, не удалите с загрузки лишнего.
Вот так можно продвинутому пользователю победить баннер, если эти советы вам не помогли, то извените, пока Я сам не со всеми случаями сталкивался, как столкнусь, так продолжу писать.
И ещё один вид вымогательства по средством отправь смс.
Если вы зашли в контакт или на одноклассников, а там красуется надпись типа ваша страница заблокирована для разблокировки отправьте смс на номер, или вы вводите логин и пароль, а вас не пускает на вашу страницу, то проверти по той ли ссылке вы заходите на страницу вот ссылка на одноклассников http://odnoklassniki.ru/, вот ссылка в контакте http://vkontakte.ru, были случаи когда вирус изменял ссылку в избранных на другой сайт. Если адрес указан верно, а ситуация не изменилась, то зайдите в C:\WINDOWS\system32\drivers\etc найдите файл hosts, откройте его с помощью блокнота, или откройте блокнот, в меню блокнота нажмите Файл - Открыть, скопируйте и вставьте текс %WINDIR%\system32\drivers\etc\hosts в строку имя файла, нажмите Enter. Текст должен выглядеть так:
________________________________________________
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
________________________________________________
Строка, начинающаяся с символа # - комментарий, при желании можно удалить, соответственно единственная строка в этом файле, которая имеет значение это последняя строка 127.0.0.1 localhost . Иначе говоря, при наборе в эксплорере localhost вы откроите страничку с адресом 127.0.0.1. К примеру, если ниже вставить строку
77.88.21.3 google.ru
и сохранить файл, то при наборе в эксплорере google.ru у вас будет открываться Яндекс, т.к. IP=77.88.21.3 принадлежит Яндексу. А теперь подумайте, что будет значить строка
215.84.17.62 vkontakte.ru
84.94.251.17 odnoklassniki.ru
62.105.129.108 sberbank.ru .
Вы при наборе в эксплорере vkontakte.ru odnoklassniki.ru sberbank.ru попадете совсем на другой сайт, который возможно будет по внешнему виду такой же, как тот на который вы шли. Введя на таком сайте свой логин и пароль, вы их сообщаете злоумышленнику, который когда небудь воспользуется ими. Поэтому удалите всё лишнее из этого файла, сохраните его, а после перезагрузке компьютера снова откройте его и проверти, возможно, вирус изменил его назад.
Обратите внимание, при открытии файла hosts, есть ли сбоку блокнота полоса прокрутки, если есть пролистайте до конца, а то был случай, когда Я 3 раза открывал файл, смотрел его, всё на первый взгляд выглядело нормально, закрывал. И только отчет AVZ показал мне, как на самом деле выглядел файл HOSTS, оказалось, после строки 127.0.0.1 localhost было много пустых строк, а следом шло перечисление, на какой IP адрес отправлять при наборе того или иного сайта.
Откройте редактор реестра и проверти действительно ли файл hosts использует ваша система. В ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters параметр DataBasePath должен иметь значение %SystemRoot%\System32\drivers\etc
А теперь настояшие IP адреса популярных сайтов.
213.180.204.211 yandex.ru
74.125.232.18 google.ru
217.69.128.43 mail.ru
93.186.225.212 vkontakte.ru
212.44.139.76 odnoklassniki.ru
81.19.70.3 rambler.ru
P.S. Из всего что здесь написано Я чаще всего пользуюсь Extra Small Windows XP USB Flash Edition 2010 и Alkid Live CD&USB (декабрь 2009)(для загрузки и удаления вируса), Registrar Registry Manager (для доступа к реестру) и Kaspersky® Virus Removal Tool (для проверки компьютера).
Вот наглядный способ избавления от баннера вымогателя в картинках для блондинок.
Подхватили Вы, скажем вот такое чудо, где просят отправить смс с текстом 1011225 на номер 5121.
