virus_otprav_sms, вирус отправь смс, вирус заставка

Это конечно не вирус, а всего лишь капелька воды, но разговор у нас пойдет не о воде.

Начну с того, что я уже описывал способы борьбы с вирусом, требующим активации windows, а также вторую часть борьбы с вирусом, просящим отправить смс.

Способы в обоих случаях были примерно одинаковы, но требовали загрузки в безопасный режим. Сегодня я хотел бы рассказать о более продвинутом, хорошо продуманным вирусом-рекламой.

Я специально выделил слово «Реклама», так как по сути данный тип назойливых программ не являются вирусами. Для этого дам небольшое определение вируса, оно хоть и не по учебнику, но отлично объясняет суть:

Вирус — программа преследующая собой цели получения данных о пользователе (трояны), размножение и внедрение своего кода в другие программы и контроль над персональным компьютером и т.п. (черви и прочая ерунда).

В данном конкретном случае мы имеем дело с программным вариантом рекламного спама на площадке клиента (определение моё кому не нравится можете оспаривать в комментариях), именно поэтому антивирусное обеспечение в очень редких случаях реагируют на них и правильно действуют в таких случаях.

С теорией пока хватит, теперь я расскажу об одном из тяжелых случаев заражения таким рекламным вирусом. Скорее всего написаны нашими, так как очень и очень продуман, расскажу симптомы:

  • запуск любого приложения моментально вызывает экранную заставку с тремя рекламными картинками (это или 3 прон картинки или реклама маек и т.п.)
  • безопасный режим или не запускается или работает в таком же режиме как обычный
  • редактор реестра не запускается ни в каком из вариантов
  • диспетчер задач не запускается также и комбинации Alt+F4, CTRL+ALT+DELETE, CTRL + ESCAPE и т.п. также эффекта не дают.
  • Вставка флешки с любым из установочных файлов любых антивирусов привод к стиранию инсталлятора последнего.

Вобщем не работает ни одна из тактик по обезвреживанию. Установить ничего нельзя, так как запуск установки вызывает полное зависание компьютера и моментальное появление рекламной заставки. Вот её скриншот:

virus otprav sms book, оправить смс рекламная панель вирус

Вот так выглядит это дело, это не скриншот, а  фотография, так что немного искажена. Как видите тут у нас «Рекламная панель устанавливается только при посещении сайта …».

Каждый запуск сайт меняется, так что отследить откуда это счастье Вам не удастся.

Сначала, в который раз повторюсь  о том, чего делать не нужно:

  • не отправляйте СМС!!! Оно скорее всего Вам не поможет и стоить будет скорее всего больше чем запрашиваемая сумма
  • не пробуйте удалять папку Windows
  • обратитесь к профессионалу, если сами не можете справится, так как неправильное поведение может вызвать негативные последствия — например я слышал такой случай, что программа отформатировала винчестер низкоуровневым форматированием (не было записи даже про модель потом)

Теперь о том, что делать?

Подведу итог о состоянии ПК:

  1. безопасный режим не загружается
  2. редактор реестра, диспетчер задач и пункт выполнить не работают
  3. запуск любых установочных файлов приводит к зависанию ПК
  4. проверка на вирусы не возможна, установленный антивирус не реагирует

В общем перепробовал оба варианта описанный мной раннее я пришел к мысли, что без  LiveCD тут никак не обойтись.

Я постарался подобрать более менее толковый лайвсиди, чтобы не нужно было копаться в командной строке, но при этом все инструменты были в наличии.

Выбор пал на Lex Live CD 2009, хорошая сборка и все, что нужно для поднятия и проверки системы.  Lex можно достать на торрентах и некоторых форумах, а если не найдёте — могу выложить на deposit.

На диске есть своё антивирусное обеспечение, но как и ожидалось проверки ничего не дали. Пришлось искать это дело вручную — для этого проверяем автозагрузку с помощью Autoruns , но и тут ничего не нашлось.

Я уж было стал подумывать о сносе windows, но решил проверить ещё кое что.

Так как у меня работал безопасный режим, но в нем вирус все равно  работал также как и в обычном режиме я решил проверить общий ключ автозагрузки .

Подробнее, с помощью Лекс Сиди загружаемся и запускам редактор реестра, который идет на диске. Редактор реестра предложит Вам выбрать пользователя, выбирайте свой. Скриншоты у меня не сохранились, так как ноутбук не мой, но там ничего сложного.

Дальше проверяем вот эти ключи реестра:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

redaktor_reestra, ключ автозагрузки реестр

Там тоже ничего лишнего, но я не зря сказал Вам о том, что безопасный режим у меня работал — следовательно, загружались настройки по умолчанию , а они находятся тут:
default_user, настройки по умолчанию редактора реестра

Именно в ключе HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, я нашел наше «чудовище» по имени indicdll с параметрами запуска shellexecute.exe/h — indicdll.cmd. Именно он и был нашим пришельцем. Вы можете также проверить остальные ключи вида «S-1-….» кроме .Default

Вобщем подведу саммари:

  • Если ничего не помогает и безопасный режим не работает, Вам необходим хороший LiveCD
  • LiveCD должен обладать редактором реестра
  • Проверяйте все ключи автозагрузки — не только HKCU и HKLM, но и HKU
  • Меньше кликайте на всплывающих окнах и Никогда не отправляйте смски.

Сейчас другие читают: