Черговий блокувальник екрану від здирників. Цікаво, чи багато вони грошей заробляють на такому розлученні. Загалом як завжди. Розводять мирне населення на Бабосов наймерзеннішими методами. А народ тугий, боїться скаржитися і просити допомоги друзів, так як соромляться що їх звинуватять у перегляді жорсткої порнушкі. Але ж автори вірусу на це і розраховують.
Поїхали лікувати ...
Екран стає чорним і на ньому страшними буквами написано - "УВАГА! Ваша операційна системі заблокована за нарущенія використання мережі інтернет. Виявлено наступні порушення: Відвідування сайтів порнографічного змісту з елементами дитячої порнографії, насильства, зоофілії. Дана блокування зроблена для усунення можливості поширення даних матеріалів з вашого ПК в мережі Інтернет. Для розблокування операційної системи вам необхідно оплатити 400 рублів.
Оплата з вашого мобільного телефону.
- Якщо Ви абонент Білайн, відправте СМС з текстом 9647115863 400 на номер 3116. У відповідному повідомленні підтвердіть ваш платіж. Після оплати, у відповідному СМС прийде код доступу до системи.
- Якщо Ви абонент Мегафон, відправте СМСС текстом 9647115863 400 на номер 84444. У відповідному повідомленні підтвердіть ваш платіж. Після оплати, у відповідному СМС прийде код доступу до системи.
- Якщо Ви абонент МТС, введіть команду * 115 #. Далі виберіть Зв'язок. Білайн. номер телефону 9647115863 сума 400 рублей.В відповідному повідомленні підтвердіть ваш платіж.
ОПЛАТА ЧЕРЕЗ ТЕРМІНАЛ ДЛЯ ОПЛАТИ МОБІЛЬНОГО ЗВ'ЯЗКУ: Поповніть номер абонента Білайн №9647115863 на суму 400 рублів. На виданому чеку буде написаний код доступу до системи. Введіть його в форму нижче. "
Хочу зауважити що вірус серйозніше того лошья, що мені доводилося видаляти до цього. Просто так поєднаннями клавіш хлопця не знести. Залишається два способи - вводить код, який можна знайти в інтернетах безкоштовно або завантажуватися з іншого ОС, з завантажувального диска (Hirens Boot CD) або з Live CD вінди.
Для початку пробуємо коди
- avc0cet
- p1d0r
- svipper
- DTLP
- 16342131
- SHAZAM
- SKY DESTROYER
- DNITEMS
- kisskiss
- TETRIS
- DIGGER
Якщо допомогло пропускаємо наступну главу. Якщо не допомогло вантажимося з завантажувального Live CD або підключаємо свій жорсткий диск до одного, щоб з його компа вбити худобу.
У моєму випадку обійшлося без цього, тому що я адміністратор домену і можу підключитися за допомогою Dameware Utilites до зараженої машині по мережі. Підключився побачив 2 підозрілих процесу - armedkrnl.exe і arakrnl.exe. Убив процеси, вікно пропало. Знайшов шматки файлів в C: \ WINDOWS \ Prefetch. Однак самих файлів з таким ім'ям мені виявити в системі не вдалося.
Але розваги тільки почалися. Гидота прописалася в реєстр для автозапуску разом з системою і поправила кілька ключів реєстру, які приховують і відключають всі елементи робочого столу і панель управління.
Як це лікується пишемо тут:
Пропала панель управління (Control Panel)
Редагування реєстру заборонено адміністратором системи
Пропали значки з робочого столу і немає меню
Далі запускаємо редактор системного реєстру. Пуск - Виконати - "regedit" - І тиснемо Enter. Відкриється "Редактор реєстру". У редакторі реєстру виберіть розділ (папку), послідовно натискаючи на плюсики біля папок
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
Потім подивіться на праву панель редактора реєстру і перевірте два параметра "Shell" і "Userinit" (див. Малюнок). Значенням параметра Shell має бути Explorer.exe, якщо це не так, змініть його на Explorer.exe. Параметра Userinit - C: \ WINDOWS \ system32 \ userinit.exe, (обов'язково в кінці кома, чому так :? не знаю). Якщо після коми є щось ще - прибираємо. Це швидше за все вірус.
Ось він, з уже новим ім'ям rsbtxv.exe. Його я теж не зміг знайти. По всій видимості він перейменовується, або бігає по системі.
Обов'язково в кінці кома, чому так :?
