Июн 022011
 

В инете уже давненько появились вирусы, которые высвечивают на весь или почти весь дисплей сообщения с текстом приблизительного такого рода: «Отправте SMS на номер ХХХХ и мы отправим ключ разблокировки». Надеюсь, обьяснять, что это полная ложь и что ответа Вам не будет, не надо.

Удалять все и ставить заново Windows не надо, оно не стоит потраченных сил и времени. Тут собраны несколько методов удаления. Они не для всех вирусов, но для самых популярных и распостраненных, подходят в большинстве случаев.

У Вас такой вирус или нет?

Основные симптомы, которые есть во всех вирусах такого типа:

— На экране по центру размещается окно с различным содержимым в котором просят отправить сообщение на платный номер для разблокировки работы компьютера.
— Заблокированы все или часть средств управления компьютером: редактирование реестра regedit, вызов дипетчера задач и тп.

Как работают эти вирусы?

Принцип работы вируса простой — вирус использует две части, работающие в тандеме. Первая загружает вирус с сети интернет (файл с кривым названием, например sd879sd.exe), вторая показывает сообщение и блокирует программы.
Для работы вируса используется средства автоматического запуска программ и, если пользователь обладает правами администратора, ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs.
Все библиотеки, указанные в этом ключе, автоматически загружаются в адресное пространство всех запускаемых процессов, использующих библиотеку User32.dll. В этом параметре может хранится список из нескольких DLL, разделённых пробелом или запятой. Если DLL лежит в системном каталоге Windows (например, C:\Windows\System32), то достаточно указать только имя файла.
После перезагрузки компьютера (на Windows NT 4) или завершения сеанса (на Windows 2000 и старше) система сохраняет изменения. Теперь при проецировании библиотеки User32.dll на адресное пространство любого нового процесса, она последовательно вызовет LoadLibrary для каждой библиотеки из списка, что, в свою очередь, приведёт к загрузке этих библиотек.
Другими словами если Вы запускаете любую программу, автоматически активируется вирус, который имеет возможность контролировать запущеную Вами программу. Именно по этой причине Вы не можете загрузить антивирус или использовать существующие утилиты для борьбы с вирусом.

Способ №1

Способ очень прост. В интернете есть коды разблокировки, которые подходят для вирусов. Найти эти списки можно по номеру телефона, на который надо отправить смс.

НО! Лечить компьютор все-равно придется. В основном такие вирусы загржуются с интернета с определенной периодичностью, потому разблокировав компьютор через 2 недели или месяц у Вас история повторится.

Способ №2. Заражена учетная запись без прав Администратора

  1. Перезагрузите компьютер в безопасном режиме или просто перезагрузите (не важно)
  2. Войдите в систему под учетной записью имеющей права администратора
  3. Настройте проводник на отображение скрытых и системных файлов (Вид/Свойства папки)
  4. Удалите два каталога в «зараженном» профиле:
    C:\Documents and Settings\login\Local Settings\Temp
    C:\Documents and Settings\login\Local Settings\Temporary Internet Files
  5. Необходимо проверить, что в зараженном профиле не осталось «лишних» файлов в перечисленных каталогах НЕ должно быть исполняемых файлов. Если они есть — удалите:
    C:\Documents and Settings\login\Local Settings\Application Data
    C:\Documents and Settings\login\Application Data
  6. Открываем программу regedit (Пуск ->Выполнить -> regedit)
  7. В открывшейся программе выбираем HKEY_LOCAL_MACHINE
  8. Нажимаем Файл->Загрузить куст. И выбираем файл, который мы хотим открыть Х:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\NTUSER.DAT (возможно Вам прийдется предварительно включить отображение «скрытых» и «системных» файлов. Проводник Сервис — Свойства папки )
  9. На запрос как назвать ветку пишем USER (хотя можно написать любое имя)
    Открываем ветку реестра HKEY_LOCAL_MACHINE\USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  10. Если есть параметр Shell в нем должно быть explorer.exe. Если написано что-то другое — Файл прописаный в параметре необходимо переименовать и запомнить
  11. Перезагрузите компьютер и войдите под «зараженной» учетной записью
  12. Запустите программу AVZ ( Бесплатные антивирусные утилиты) и откройте меню Файл -> Восстановление системы и выполните все скрипты, кроме 14, 15 и 18
  13. Перезагрузите компьютер
  14. Просканируйте систему при помощи AVZ и антивируса
  15. Перезагрузите компьютер и можете работать

Способ №2. Заражена учетная запись с правами Администратора

  1. Запустить компьютер с LiveCD содержащего средства работы с реестром. Если через LiveCD не удалось (нету возможности найти или записать LiveCD) — можно снять винчестер с компьютера и подключить его к другому. Главное иметь возможность удалять файлы и редактировать реестр.
  2. Итак, мы загрузились с LiveCD и нам доступен зараженный диск. Начинаем удалять:
    X:\Documents and Settings\\Local Settings\Temp
    X:\Documents and Settings\\Local Settings\Temporary Internet Files
  3. Открываем программу regedit (Пуск ->Выполнить -> regedit)
    В открывшейся программе выбираем HKEY_LOCAL_MACHINE
    Нажимаем Файл->Загрузить куст. И выбираем файл, который мы хотим открыть Х:\WINDOWS\system32\config\software
  4. На запрос как назвать ветку пишем Soft
  5. Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Windows находим параметр AppInit_DLLs — его значение должно быть пустое. Если там что-то написано — необходимо открыть этот ключ и почистить.
  6. Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр Userinit должно быть нечто похожее на C:\WINDOWS\system32\userinit.exe и больше ничего
  7. После этого компьютер можно выключать, если вынимался винчестер вставляем его обратно в компьютер и запускаемся.
  8. Запустите программу AVZ и выполните Восстановление системы — все скрипты, кроме 14, 15 и 18
  9. Перезапустите компьютер и сканируйте его на вирусы
  10. Перезагрузите компьютер и можете работать

Если эти способы Вам не помогли — прочитаейте другую статью, в которой описан метод борьбы с новой версией этого вируса — Как побороть более сложный SMS-вымогатель