21.01.2010 14:19
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. К примеру: Windows заблокирована, отправьте СМС. Как избавиться от навязчивого баннера, требующего отправить SMS?
Развод может выглядеть примерно так:
"Если данный рекламный информер был вами установлен, но вы решили отказаться от него, то вам достаточно отправить смс на короткий номер, представленный ниже. полученный код позволит удалить информер. для России нужно отправить смс с текстом xmn 137443300 на номер 4460"
Если отправить SMS, как того требуют вымогатели, с вашего счета спишут приличную сумму денег (100 или даже 300 руб.), однако от баннера так и не избавят. В ответном сообщении вас попросят отправить еще один SMS. И так до тех пор, пока у вас не кончится терпение и/или деньги на счете.
Избавиться от навязчивого баннера можно самостоятельно. Подобную заразу в сети чаще всего ловят пользователи Internet Explorer. Если баннер возникает у вас именно в этом браузере, то вот инструкция по избавлению (написана для версии IE7, но скорее всего похожим образом можно отключить баннер и в IE6):
1. Выбираем меню: Сервис / Управление надстройками / Включение и отключение надстроек... (в английской версии: Tools / Manage Add-ons / Enable or Disable Add-ons...)
2. В открывшемся окне в строке "Отображать" выбираем "Надстройки, загруженные в Internet Explorer" ("Add-ons currently loaded in Internet Explorer").
3. В списке надстроек ищем и поочередно отключаем все подозрительные пункты. Подозрительными являются все, которые вы не знаете, что делают. Возможно вы увидите в колонке "Файлы" названия cpalib.dll и noalib.dll – это скорее всего они. Не бойтесь отключить что-то нужное – все можно воссановить – включить любую надстройку обратно. Браузер будет работать даже после отключения всех надстроек.
4. Чтобы отключить надстроку выберите ее с помощью мыши, а затем выберите внизу "Отключить" ("Disable").
Но не всегда можно выйти в настройки Internet Explorer, так как вариантов этого трояна очень много сейчас. Поэтому некоторые Антивирусные компании сделали у себя бесплатный "Сервис деактивации вымогателей-блокеров".
1. В Лаборатории Касперского по ссылке: http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/downloads/utils/digita_cure.zip качаем,запускаем,ждём,баннер пропадает.
2. В компании Доктор Веб на этой странице: http://news.drweb.com/show/?i=304&c=5
http://www.freedrweb.com/ качаете Dr.Web CureIt проверяете комп-проблемма исчезает.
3. Форма для получения кода активации на номер 4460 и 7373: http://mips.narod.ru/sms.html
Как почистить систему от смс-вымогателей?. Выполните всё что написано ниже.
Попробуйте сделать восстановление системы на несколько дней ранее. Нажмите Пуск -> Выполнить -> Введите msconfig. На вкладке Общие нажать Запустить восстановление системы. Или C:\WINDOWS\system32\Restore\rstrui.exe
Если баннер закрывает почти весь экран и вы ничего не можете сделать, открываем Word, набираем в нём любой текст, не сохраняя документ кратковременно нажимаем кнопку питания, все программы закроются, баннер пропадет, а ворд попросит сохранить документ, нажимаем "отмена" и работаем в винде без баннера. Баннер позже появится снова, поэтому его нужно удалить.
Разблокировка диспетчера задач: Нажмите Пуск -> Выполнить -> Введите gpedit.msc
Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить не задана.
Или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0
Разблокировка редактора реестра: Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в не задана.
Если заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru и т.д. необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения»
Если у вас на жестком диске есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалите их.
Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить (например программой Unlocker)
В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт. Другие скрытые dll-файлы в этой папке проверьте на virustotal.com
Касаемо реестра Windows.
Если вам не знакомо это слово - нажмите Пуск -> Выполнить -> Ввести mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится.
Если вы знаете что такое реестр и как с ним работать, нажимаем Пуск -> Выполнить -> Ввести regedit -> ок
HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command
По умолчанию должно быть "%1" %*
HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit должно быть только C:\WINDOWS\system32\userinit.exe
в shell должно быть только explorer.exe
Если в Userinit и shell было еще что-то, идем по тому пути и удаляем файл (например программой Unlocker)
Удалить всё сомнительное из Пуск->Все программы>Автозагрузка
из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка
из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
из C:\Documents and Settings\[пользователь]\Local Settings\Temp проверьте файлы на virustotal.com, особенно ехе-файлы. В принципе эту папку можно очистить.
Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания.
Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя
Если после лечения вируса пропал доступ в интернет, на другом компе скачиваем программу AVZ (~5Mb). Нажать Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15.
Если это не помогло, нажимаем Пуск - Выполнить - вводим команды:
netsh int ip reset c:\iplog.txt В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды. Инфа от майкрософта
Если не помогло, выполняем:
netsh winsock reset
netsh ip reset
Перезагрузить комп не забудьте. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет.
Если у вас стоит антивирус Avira, обновите её до последней версии (желательно до русской), зайдите в её настройки, слева поставьте галочку "Экспертный режим", чуть ниже выбирите "Scanner", справа в дополнительных настройках поставьте все галочки и выберите "все файлы". Далее, под сканером "проверка", "Действия при обнаружении", "автоматически". первое действие "вылечить", второе - "карантин". Если в исключения там вы ничего не добавляли - удалите все исключения. В эвристике "высокий уровень обнаружения" и "обнаружение макровирусов". А также обязательно в "Общие" - "Дополнительные категории угроз" поставьте все галочки. Запустите полное сканирование компа. Авира вам порубит всё, радмина, кейгены и пр., что по её мнению сомнительный софт. Ничего страшного. После сканирования нужные вам файлы вы можете восстановить из карантина.
http://blog.sribna.com/acid3-test-brauzerov-gotov-k-ispolzovaniyu.htm - тут можно проверить браузер на прочность.
http://habrahabr.ru/blogs/browsers/41088/ - результаты тестов нескольких браузеров.
http://acid3.acidtests.org/ - сам тест.
Удалось столкнутся с такой штукой, только оформленной по-другому на WinXP и Win7.
Описание: при случайном клике на всплывающее окно в интернете, появляется широкий баннер(~60-70% площади экрана монитора) розового цвета. На нем 2-3 порнографические картинки и предложение отрпавить СМС на номер, если хочу убрать этот баннер.
Сразу скажу, что на WIn7 удалить этот троян удалось только переустановкой. На WinXP удалось успешно излечить.
свой способ излечения от этого трояна попытаюсь описать тут.
Что понадобится:
1) программа WinSockFix 1.2
Ее описание и ссылка: WinSockFix_1.2
2) Элементарные навыки работы в WinXP.
NB! Перед тем как начать, лучше скачайте ее предварительно с сайта и поместите на рабочий стол, потому что в процессе лечения начисто пропадет интернет.
Итак, собственно как лечить :
1) перезагружаем компьютер и при загрузке нажимаем F8.
2) появится режим SafeMode, в котором выбираем Безопасный режим загрузки Windows.
3) Когда загрузится безопасный режим, заходим в проводник(или в Мой компьютер) и ищем с помощью функции поиска файл userlib.dll
Обычно он находится в дирректории Cookies того пользователя, который подхватил трояна.
4) как только файл найдется, удалить его вручную (Shift+Del)
5) перезагружаем компьютер и заходим в нормальный режим WindowsXP
6) по идее у вас должно пропасть соединение с интернетом. Поэтому запускаем програмку WinSockFix_1.2.
7) в появившемся окне нажимаем Fix. После того как программа закончит работу, компьютер пикнет внутренним динамиком и попросит уйти на перезагрузку.
После перезагрузки должно восстановится соединение с интернетом и баннер не должен появится.
Надеюсь кому-то поможет!
| < Предыдущая | Следующая > |
|---|
