Вірус Надіслати SMS - Як вилікувати
[Як правильно лікувати (за класифікацією Dr.Web)]
Зовнішній вигляд вірусу:(*Текст і вид можуть бути іншими. Нижче один із прикладів)
Симптоми:- Вірус, активується або при спробі користувача запустити програму (будь-який .exe файл), або відразу після завантаження Windows. - Вхід користувача в систему може супроводжуватися помилками типу: -- ["userinit.exe (rundll32.exe) - Помилка програми. Пам'ять не може бути written"] -- Вірус демонструє банер довільного (різного) ) змісту, який займає 70-80% робочого столу Windows. -- Банер неможливо згорнути\закрити, він розміщується над усіма вікнами ОС. - Для "розблокування" нормальної роботи системи та припинення показу банера, пропонується ввести код розблокування, за який вірус вимагає гроші, шляхом надсилання SMS з кодом на короткий номер.
Увага(!) Люди, будьте розумнішими - у жодному разі не надсилайте SMS(!)
Методика лікування:Для технічно непідготовленого користувача ПК, який при слові "реєстр" здригається найпростішим варіантом повернути контроль над системою є аж ніяк не послання SMS!Найпростішим виходом із ситуації є використання генераторів кодів-розблокування.
«Доктор Веб» допомагає позбутися троянця, що блокує доступ до системи http://news.drweb.com/show/?i=304&c=9&p=0
Якщо банер зник, це зовсім не означає, що вірус повністю забрався з вашої системи. Після успішного розблокування рекомендую негайно перевірити систему. Як? Читайте відповідну інструкцію
Якщо код не підійшов, або його не знайшлося
Нам потрібно виправити кількапараметрів у реєстрі інфікованої операційної системи Щоб отримати доступ до реєстру знадобиться windows-based Live CD:
Методика усунення банерів-блокаторів за допомогою редагування реєстру Windows
Потрібно перевірити кілька розділів реєстру та навести параметри до ладу
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs . . . (У роботі)
Після редагування реєстру рекомендую відразу з-під livecd
Прибити (повністю видалити) на всіх розділах hddRECYCLER System Volume Information
Видалити з каталогівC:\WINDOWS\Temp C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files
Перевірити корінь каталогу на підозрілі файлиC:\Documents adns Settings\%name%\ApplicationData C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup або C:\Documents adns Settings\%name%\ApplicationData\Головне меню\Програми\Автозавантаження
Усунення наслідків перебування вірусу у системі:
1. якщо параметри TCP/IP встановлені вручну - зберігаємо в окремий текстовий файл Пуск -> Виконати -> cmd /k ipconfig /all > C:\net_settings.txt
2. перевіряємо файл C:\WINDOWS\system32\drivers\etc\hosts на наявності лівих записів Пуск -> *правильний файл hosts
3. робимо Winsock (командипотрібно вводити у відкритому вікні cmd) netsh winsock reset netsh winsock reset каталог netsh int ip reset resetlog.txt netsh interface reset all *http://support.microsoft.com/kb/299357
4. Перевантажуємо ОС якщо нічого не допомогло, видаляємо мережну плату з "Диспекера пристроїв" Пуск -> Виконати -> devmgmt.msc -> Мережеві плати -> Адаптер -> пункт контекстного меню "Видалити"
5. Перевантажуємо ОС і чекаємо доки вінда знайде існуючу плату та ініціалізує її
5.1. Якщо нічого не допомогло - запускаємо утиліту AVZ http://www.z-oleg.com/secur/avz/download.php Файл -> Відновлення системи -> 14. Автоматичне виправлення налаштувань SPl/LSP
5.2. Перевантажуємо ОС, якщо проблеми є Файл -> Відновлення системи -> 15. Скидання налаштувань SPI/LSP та TCP/IP (XP+)
5.3. Перевантажуємо ОС, якщо проблеми є Файл -> Відновлення системи -> 18. Повне перестворення налаштувань SPI
6. Якщо після вищезгаданого мережа все одно нормально не працює - запускаємо перевірку цілісності системних файлів Windows (!) знадобитися CD з дистрибутивом Windows тієї ж редакції (Home/Pro) та Service Pack (2/3) яка встановлена. Пуск -> Виконати -> sfc /scannow