Донецкий техникум промышленной автоматики

смс | нотатки Левик

Черговий вірус із серії "відправ СМС і розблоковуй комп'ютер" (Winlock) з текстом T701016100 (Т701016100) на короткий номер 3381.

3381

При завантаженні всіх програм з автозавантаження вилітає купа повідомлень про помилку "пам'ять не може бути written". Трохи пізніше з'являється банер, що закриває центральну частину екрана. Знову ж рожевий фон, порно-банер і дами з фільмів з боків (майже як при установці банера для доступу на наш сайт ) При завантаженні всіх програм з автозавантаження вилітає купа повідомлень про помилку пам'ять не може бути written У разблокіратором від DrWeb і Kaspersky інформації про такому номері, вірус, банері поки немає. Сканування CureIt-му виявило 6 файлів з трьома різними вірусами (один з них - різновид winlock-а). Однак, після перезавантаження майже відразу з'явився порно банер.

Касперський, нод і антивірусні утиліти не запускаються.

Для тимчасової розблокування підійшов код "279346830", (підглянуто на форумі - номер 3381 текст Т701016100 код F64W28E - не перевіряв.) Однак, природно, що введений код не гарантує повного видалення програми з комп'ютера. Він взагалі нічого не гарантує - тільки (в кращому випадку) дозволяє на деякий час відновити роботу комп'ютера.

Завантаження з LiveCD (WinPE, можна записаний на USB), прив'язка реєстру системного диска і перегляд утилітою HIjackThis виявив пару "сумнівних рядків":
F2 - REG: system.ini: Shell = Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDOWS \ system32 \ ... (далі йде досить значний список exe-файлів з сумнівними іменами)

Попередньо краще вичистити всі ці файли (я копіюю в окремий каталог для "вірусів", щоб після лікування відправити, наприклад, на virustotal - на момент відправки, зазвичай, вірус у файлі розпізнають не більш 7-8 антивірусних програм.)

Відзначаємо сумнівні пункти галочкою і кнопкою "FixIt" (не виходячи з хайджека) автоматично виправляємо значення реєстру.

Про методи лікування можна посмотерть в статтях про блокуючий комп'ютер "липовий" Internet Security , Ubest NetSpeed ​​Pro . Якщо судити по попереднім подібним вірусним "блокіратор", то незабаром (не пізніше пари днів) антивіруси внесуть інформацію про нього в бази.

UPD. Дійсно, CureIt з новими базами (від 21.05.2010) знайшла дві DLL-ки з короткими іменами (bx.dll і mx.dll) в% WINDIR% \ system32 з вірусом WIN32.HLLW.Autoruner.21042