Святая мать Иосафата! (с) генерал из полнометражного SouthPark
Черт побери, я работаю в проклятом месте. Утром включаю машину и вижу: почему-то Аваст не грузится, хотя загружающийся последним набор виджетов уже висит в углу экрана. И тут выскакивает окно, стилизованное под Касперского, которое весьма криво и неудачно имитировало проверку файлов, вывело список зараженных (вверху заголовок "Internet Security"), и сообщило: вылечить можно. Только отправьте смс на номер бла-бла-бла...
Диспетчер задач загрузить нельзя. Запустить приложения невозможно. Браузеры закрываются спустя 10-12 секунд после запуска. И поверх всего висит это суровое незакрываемое окно.
Подумал: "Баннер хакеров, #$%^*!!!", перегрузился, вошел в биос и отмотал дату на месяц назад, потом вперед. Результата ноль. Думаю: "Гады, подарочек к 2010-му сделали, чтобы не скучали весь год!" и собрался попросить коллэгу залезть в сеть и посмотреть способы лечения. И тут из-за спины доносится вопль "БЛ*!" Поворачиваю голову, оцениваю ситуацию, вижу красно-белый баннер и понимаю, что коллега превратился в товарища по несчастью. Идем в соседний отдел, по пути названивая админу. А в отделе по связям с общественностью я чувствую, что начинаю седеть. У них то же самое. А когда из серверной вышел админ, сверкая злобной физиономией, я таки поседел. Даже волосы на ногах. Ибо предчувствия оправдались: заражены все, в инет выйти не можем, типичный скрипт-троян, т.е. он на всех втыкаемых в компы в пятницу флешках скорее всего есть. То бишь и у меня дома.
Все начинают звонить друзьям, которые как назло заняты и ничем помочь не могут. Мне помог только Фоготен сухой фразой "Эта зараза, похоже, с 11 января активировалась, все форумы полны матюками. Видать, новая х**ня какая-то". Скотина Вид! До тебя не дозвонился, и надеюсь, у тебя были веские причины отключить телефон!
В конце концов схема "Ноут - вайфай - яндекс" привели к решению проблемы. Размещаю здесь краткую посильную помощь, дабы читатели, попавшие в подобную ситуацию, не мучились поисками решений, и чтобы я (если дома все так же плохо) смог заглянуть сюда со второго компа и все исправить))
Краткое описание проблемы.
Что-же делает этот вирус? На экран зараженного компьютера поверх всех окон вывешивается баннер, напоминающий по стилю дизайн антивируса Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер. Никакие другие программы не запускаются. Соответственно заблокирована вся работа, нет возможности запустить ни диспетчер задач, ни редактор реестра, да вобще никакюю программу. Антивирусы заблокированы и попытки запуска могут приводить к перезагрузке копьютера. Одно радует, что к документам он не лезет, вспомните печально известного Penetrator.
В сети уже появились сервисы, которые генерируют коды для деактивации вымогателей-блокеров, о них написано в конце статьи и приведены ссылки. Но это не панацея и не наш метод. Врага надо уничтожать в корне и все его действия тоже.
Лечение. Этап первый.Прежде всего надо избавиться от окошка.
1. Легкий способ. Вводим один из номеров 544625144, 6848675264, 6848675664, 3319226211, 4421337322, 5532448433, 6643559544, 7754661655, 8865772766, 9976883877, 1187994988, 2298115199, 2298814399. Если просят отослать смс на номер 4460, хотя бы один код должен подойти. Если не помогло, идем далее.
2. Огромное количество читателей сообщают способы самостоятельного подбора кода для разблокировки “eKav antivirus” и подобных ей программ. Евгений предлагает простой, но действенный способ вычисления кода. К каждой цифре сообщения надо добавить одинаковое число из ряда от 1 до 9, а букву К заменить на первое число кода. Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 345678912, а вместо К подставьте первую цифру получившегося кода, то есть 3. Если код не подходит, пытайтесь прибавить 3, потом 4 и так далее до 9. Если в результате сложения получается двузначное число, скажем, 12, то обе его цифры тоже следует сложить, в нашем случае получится 3. Этот способ помог очень многим.
3. Читатель fdgd предложил таблицу для подбора кода для разблокировки программ-вымогателей. В этой таблице все просто. В первом столбце выбирается цифра кода сообщения и заменяется на соответствующую цифру из любого из цветных столбцов. Для одного кода используются цифры только из одного цветного столбца. Если не помог первый столбец, переходите к следующему, один из девяти столбиков должен обязательно помочь.
4. Способ последний, кардинальный. Форматирование системного диска. Согласно многим источникам, баннер-скрипт "сидит" исключительно в директориях системы, поэтому нет нужды форматировать все диски.
ВНИМАНИЕ. Обычно при вводе кода все кончается автоперезагрузкой. Иногда - появлением синего экрана и кракозябр. Это не смертельно, в этом случае надо перегрузить компьютер вручную.
Лечение. Этап второй.
Баннера больше нет, интернет и антивирус обычно уже работают. Но вирус еще сидит в компьютере. Надо его вылечить.
Вариант первый.
1. Удаляем ВСЁ из следующих папок (тем более там один мусор):
C:\WINDOWS\Temp\
C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\
C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temporary Internet Files\
2. Запускаем C:\Windows\regedit.exe В [HKEY_LOCAL_MACHINE\Software\] подключаем соответствующую ветку реестра больной ОС из файла C:\Windows\System32\config\software
3. Удаляем всё подозрительное из следующих веток
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
4. Смотрим, что приписано в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
В первую очередь нас интерсуют ключи Shell, UIHost и Userinit.
Вот что должно быть в них (все остальные добавки длолжны быть удалены):
Shell — Explorer.exe
UIHost — logonui.exe
Userinit — C:\WINDOWS\system32\userinit.exe,
5. удалаяем значение параметра AppInit_DLLs или вообще весь параметр
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
6. Проверяем диск свежим антивирусом.
7. Грузим больную ОС и восстанавливаем работоспособность утилитой AVZ.
Вариант второй.
Ставим AVZ, запускаем в нем следующий скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1757981266-1958367476-839522115-1003\Dc9\wmic.chm:VVpIHMiGKk4ZGjC1n8K1:$DATA','');
QuarantineFile('C:\Program Files\NCSoft\Aion\bin32\DataServer.exe','');
QuarantineFile('C:\ANT\web\et3sqhta.pif','');
QuarantineFile('C:\ANT\RR\rr.pif','');
QuarantineFile('C:\ANT\GM\5f98vo57.pif','');
DeleteFile('C:\RECYCLER\S-1-5-21-1757981266-1958367476-839522115-1003\Dc9\wmic.chm:VVpIHMiGKk4ZGjC1n8K1:$DATA');
BC_ImportAll;
ExecuteSysClean;
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
P.S. Пока только убил окошко. До конца лечить ничего не пробовал. Пусть админ сначала пробует xDD