Когда я впервые увидел эту заразу, я сразу же попытался запустить диспетчер задач, но у меня ничего не вышло. После чего я решил перегрузиться в безопасный режим, но и тут меня ожидала неудача, вирус продолжал мне ехидно улыбаться на экране монитора. В качестве следующей попытки я использовал загрузку в безопасном режиме с поддержкой командной строки (жмем клавишу F8 при загрузке ОС).
В этот раз все прошло успешно. Первым делом я набрал в консоле «regedit», к моей радости ничто не помешало запуску редактора реестра.
В реестре необходимо было просмотреть две ветки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Именно в них содержится информация об автозагрузке. Ничего подозрительного я там не нашел, там были записи обычных программ. Я продолжил свои поиски и отправился по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, по своему опыту знаю, что многие вредоносные программы прописываются именно там, а именно в строковых параметрах shell и Userinit. Первый параметр выглядел абсолютно нормально там была одна запись «explorer.exe», а вот во втором, кроме стандартного «C:\WINDOWS\system32\userinit.exe» через запятую было дописано «C:\Documents and Settings\All Users\Application Data\blocker.exe» (может быть и другой путь в зависимости от вируса).
Удалив все лишнее, я закрыл редактор реестра и набрал в командной строке «explorer.exe». Запустился проводник, и я проследовал, по указанному в реестре пути, а именно: "C:\Documents and Settings\All Users\Application Data\". Стоит добавить, что эта папка системная, поэтому она не будет отображаться, если не изменить соответствующим образом настройки отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало. Мне встречались также другие варианты этого вируса, имеющие другое название, и располагающиеся в других каталогах, например "C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files" или "C:\Documents and Settings\имя пользователя\Local Settings\Temp".
На данный момент также существует еще одна категория подобных вирусов, отличие их заключается в том, что они не блокируют компьютеры, а вылезают при запуске браузера, маскируясь под рекламный порно баннер. При этом они закрывают большую часть экрана, тем самым, мешая работе в сети интернет. Их выдает то, что они загружаются даже на компьютерах, не имеющих доступ в инет. В моем случае вирус прописался в реестре по адресу:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", а сами вредоносные файлы расположились по адресам:
"C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\k.php"
"C:\Documents and Settings\MyLogin\Application Data\ybuuk.exe"
После удаления этих файлов проблема успешно решается.
|