SMS вирус-вымогатель (баннеры и порноинформеры) - Интернет - Интернет и сети - Каталог статей - HALYAVA PLEASE

Поиск

Категории раздела

Интернет [2]

Сети локальные и беспроводные [1]

Локалка через интернет [1]

Пустой блок
	Пустой блок

Наш опрос
	Оцените мой сайт Отлично Хорошо Неплохо Плохо Ужасно Результаты \| Архив опросов Всего ответов: 22

Статистика

Главная » Статьи » Интернет и сети » Интернет

SMS вирус-вымогатель (баннеры и порноинформеры)

Причина данного недуга очень просто - это троянская программа (Trojan.Winlock или Trojan-Ransom), которая при запуске компьютера предлагает ввести регистрационный код для разблокировки компьютера или для якобы регистрации не лицензионной копии Windows,активации DownLoad Master'a, разактивации Internet Security, деактивации Get Acsselerator'a и т.д. всё зависит от фантазии вирусописателей. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

Итак начнём:

1. Получаем доступ к другому компьютеру, на котором имеется Интернет или запускаемся с Live CD, чтоб получить доступ к Интернет (хотя, судя по тому что Вы читаете эту статью, то над Вами уже нависла данная угроза и Вы получили доступ к Интернет) и заходим на сайт Dr Web’a по адресу:
http://www.drweb.com/unlocker/index/ и подбираем код к вашему недугу. Перезагружаемся и вводим его в поле ответа, если подошло, система перезагрузится и Вы увидите рабочий стол. Если система просит отправить текст SMS на короткий номер 4460, то можно позвонить провайдеру данного сервиса «Контент-провайдер Первый Альтернативный» по номеру (495)363-14-27 доб. 555, объясняем проблему, причины и получаем код ответа. Но зараза еще осталась в Вашем компьютере и теперь надо ее от туда удалить.

2. Ставим последнюю версию любого платного антивируса и обновляем сигнатуры (антивирусные базы) до последней даты (лично я рекомендую Антивирус Касперского или Dr.Web).

3. Находим и удаляем следующие файлы на Вашем компьютере (в разных разновидностях файлы разные и некоторые файлы в Вашем случае могут отсутствовать):

plugin.exe в папке Programm Files;

user32.exe в папке Windows\system32;

MD.exe и Autorun.inf на локальном диске D (также может присутствовать на остальных локальных и съемных дисках);

Также подчищаем папки временного хранения файлов в папке Documents and Settings и системе (желательно данную операцию проделывать с запущенного Live CD, т.к. некоторые папки или файлы невозможно удалить под запущенной основной системой):

имя_пользователя\Local Settings\Temp\

имя_пользователя\Local Settings\Temporary Internet Files\

на диске:

Recycler – можно удалить полностью, создастся автоматически при следующем входе в систему;

System Volume Information – можно удалить полностью, создастся автоматически при следующем входе в систему (желательно на всех локальных дисках);

Windows\Temp – или другую папку которая назначена;

также можно удалить файлы hiberfil.sys (образ RAM для спящего режима) и pagefile.sys (файл подкачки).

4. Запускаем редактор системного реестра: Пуск -> Выполнить -> regedit -> Ok или клавиша Enter (на клавиатуре) Переходим по пути:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon] В данной ветке должны находиться такие параметры как Shell и Userinit.

Их оригинальные параметры:

"Shell" = "Explorer.exe" или = "Shell" = "%systemroot%\explorer.exe"
"Userinit"="C:\WINDOWS\System32\userinit.exe," (,- в конце, не опечатка)
Если после userinit.exe, или вместо этих параметров стоит чего либо ещё, записываем, ищем и удаляем. Включаем обратно диспетчер задач, если он заблокирован. Переходим по ветке реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] Изменяем параметр "Disable TaskMgr" с 1 на 0 или вообще удаляем раздел System Перезагружаемся.

5. Скачиваем альтернативную утилиту для проверки системы AVZ и свежие базы. Проверяем систему на вирусы, при этом рекомендуется отключить основной антивирус и желательно Интернет.

Номер телефона	Оператор
1121, 1131, 1141, 1151, 1161, 1171, 1181, 1899, 3121, 3236, 3649, 3832, 4124, 4125, 4460, 4461, 4462, 4974, 5013, 5014, 5121, 5283, 5537, 8353	"Контент-провайдер Первый Альтернативный", (495)363-14-27 доб. 555
1000, 1005, 1017, 1043, 1044, 1045, 1046, 1048, 1050, 1051, 1052, 1053, 1055, 1056, 1063, 1074, 1075, 1082, 1126, 1129, 1132, 1140, 1200, 1227, 1272, 1315, 1320, 1350, 1500, 1530, 1800, 1801, 1803, 1809, 1880, 1920, 2090, 2151, 2265, 2301, 2320, 2322, 2325, 2330, 2332, 2420, 2424, 2425, 2474, 2476, 2580, 2582, 2629, 2663, 2734, 2810, 2822, 2858, 2880, 2929, 3151, 3299, 3350, 3352, 3353, 3354, 3533, 3833, 3858, 3933, 4105, 4107, 4108, 4121, 4131, 4161, 4345, 4440, 4441, 4442, 4443, 4444, 4445, 4446, 4447, 4448, 4449, 4501, 5101, 5111, 5115, 5206, 5351, 5370, 5373, 5541, 5550, 5551, 5552, 5554, 5555, 5556, 5558, 5601, 5666, 5777, 5999, 6005, 6006, 6008, 6100, 6101, 6125, 6151, 6152, 6162, 6261, 6322, 6336, 6365, 6470, 7015, 7019, 7030, 7050, 7099, 7122, 7132, 7151, 7250, 7353, 7375, 7515, 7517, 7601, 7733, 7875, 8055, 8110, 8151, 8155, 8355, 8385, 8404, 8750, 8806, 8880, 8881, 8882, 8883, 8884, 8885, 8886, 8887, 8888, 8889, 8910, 9099, 9151, 9191, 9395, 9690, 9691, 9693, 9694, 9695, 9696, 9697, 9800	ЗАО "Нева Лайн", Адрес: 192102, Россия, Санкт-Петербург, Стрельбищенская ул., д. 17 Тел: +7 (812) 380-8080 Факс: +7 (812) 380-8088 E-mail: info@nl.ru

Категория: Интернет | Добавил: admin (04.02.2010)

Просмотров: 1806 | Комментарии: 1 | Теги: интернет, SMS вирус, SMS вымогатель | Рейтинг: 5.0/3

Всего комментариев: 1

Порядок вывода комментариев:

1 admin (15.02.2012 09:33) [Материал]

Вас переадресовывает на сайт Internet.com или просто показываются исходный код страницы?
Тогда Вы зашли по адресу. У Вас на компьютере вирус.

Приступаем к лечению.
1. Отключаем все запущенные антивирусы и файрволлы.
2. Скачиваем программу ATF Cleaner.
Расставляем настройки:
a). ставим галочку напротив Select All и нажимаем Empty Selected
b). при использовании Firefox, нажимаем Firefox -> Select All -> Empty Selected
(если хотим оставить пароли сохраненными, нажимаем NO)
при использовании Opera, нажимаем Opera -> Select All -> Empty Selected
(если хотим оставить пароли сохраненными, нажимаем NO)
3. Далее нам нужно выполнить скрипт в программе AVZ. (Скачать можно тут.)

Code

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически  закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера  подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
   DeleteFile('C:\WINDOWS\system32\xlccavm.dll');
   DeleteFile('C:\WINDOWS\Installer\ac6749.msi');
   RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
   ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

По окончании работы компьютер сам перезагрузится.
4. Теперь запускаем утилиту HijackThis. (Скачать можно тут.)
Выбираем параметр "Do a system scan only"
После завершения работы приложения откроется окно. Здесь надо отметить строки:
(Будьте внимательны, не выделите лишнего, это может привести к неработоспособности компонентов системы или всей системы)

Code

R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\xlccavm.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

Если каких ливо строк не окажется, ничего страшного. После выделения нажимаем кнопку "Fix Checked" Обязательно перезагружаем систему.
5. В основном на этом все заканчивается, но для верности скачайте или обновите свой антивирус и произведите полную проверку системы на вирусы. Так же рекомендуется выполнить указания написанные выше в статье. Алгоритм работы вируса ничем не отличается от работы порноинформера/баннера.

Как вариант Вы можете скачать с сайта Касперский + Яндекс антивирус Касперского с лицензией от яндекса на 183 дня.

Удачи cool

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Мини профиль
	Гость Вы вошли как: Гость Ты здесь: -й день. Вaш IP: 3.149.214.223 Личных сообщений: