Атака из сети.
часть 2

Вот и настал тот час когда старые рекомендации уже не могут помочь в решении новых проблем. Разработчики порно-информеров не сидят сложа руки и вот уже снова, более агрессивная волна модификации вируса покатилась по сети. И нужно искать новые средства решения возникших проблем. Ведь в самом деле не платить же по 600р-900р за мифический код которого к тому же можно и не получить и без денег остаться.
Кто-то сказал - "прямые пути верны"  и был прав, последуем совету и избавимся от заразы.

Отправимся прямо в реестр...

Недавно наблюдал очередную модификацию вируса, требующего отправку смс для удаления баннера с экрана. Выглядит это примерно так: вы включаете компьютер, происходит загрузка windows, и вот, когда вашему взору должен представиться рабочий стол всплывает окно с эротическим содержимым и текстом: «Благодарим за установку нашего информера. Данная программа не является вирусом и не блокирует диспетчер задач или другое ПО вашего компьютера. Для удаления информера введите код. Для получения кода отправте смс на номер...». Будет очень глупо, если вы отправите смс, потому что никакой активации не произойдет, вы только лишь обогатите злоумышленников.
Забавно, что попытка запустить диспетчер задач или интернет эксплорер увенчалась неудачей... (и прада "неблокируют"). Как выяснилось позже - невозможна и установка каких либо новых приложений в этом режиме и даже просмотр некоторых системных директорий тоже блокируется. Чтож, тогда я решил перезагрузиться в безопасный режим, но и тут меня опять ожидала неудача, вирус и здесь продолжал висеть на экране монитора. В качестве следующей попытки я использовал загрузку в безопасном режиме с поддержкой командной строки (жмем клавишу F8 при загрузке ОС и выбираем "Безопасный режим с поддержкой командной строки"). В этот раз все прошло успешно. Первым делом я набрал в консоли «regedit», к моей радости ничто не помешало запуску редактора реестра. В реестре необходимо было просмотреть три ветки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Именно в них содержится информация об автозагрузке. Ничего подозрительного в первых двух не нашел, там были записи обычных программ. А вот в третьей ветке где в строковых параметрах shell и Userinit как правило и прописываются вредоносные программы, в shell кроме стандартного «explorer.exe» через запятую было дописано «C:\program files\ACD explorer\explorer.exe» (может быть и другой путь в зависимости от вируса). Удалив все лишнее, я закрыл редактор реестра и набрал в командной строке «explorer.exe».(Это не тот что только что был удален, это системный проводник) Запустился проводник, и я проследовал, по указанному в реестре пути, а именно: "C:\program files\ACD explorer\". Стоит добавить, что эта папка системная, поэтому она не будет отображаться, если не изменить соответствующим образом настройки отображения папок. В ACD explorer мною было обнаружено и удалено два вредоносных файла explorer.exe и explorer.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало.

Будьте внимательны при работе с реестром!

Внешне вирусы требующие отправить смс выглядят примерно так:

порно информер

Блокировка windows

Блокирует доступ в сеть

Оцените насколько полезной была эта статья для вас или оставьте комментарий.