Вчера позвонил сосед и слёзно и быстро просил прийти и помочь. Так-как у него дети, а на компе полный писец.
Оказалось он подхватил банальный вымогатель денег, вирус который требует отправить SMS чтобы закрыть его.

Точного названия не помню, но на красном фоне были живые, весёлые картинки явно недетского содержания. Этот "добряк" даже позволял закрыть себя, при нажатии на кнопку закрыть, отсчитывались 60 секунд, после чего он закрывался... ровно секунд на 10.

При этом стоявший у него НОД с последними апдейтами просто чихал на него и в упор не замечал. Попробовал воспользоваться (в те краткие миги когда он закрывался на 10 секунд) сервисами генерации кодов о доктора веба и касперского  но они не помогли. А свежескаченный DrWeb CureIT при запуске вешал всю систему.

Пришлось пошаманить. Оказывается эти "программисты" которые наклепали сие чудо, нескрывали его в диспетчере задач. Точное название не помню но что-то вроде systemservice.exe, при этом там висело два процесса но один съедал около 14мб оперативки, а второй около 500кб. Методом научного тыка, выяснилось, что тот что поменьше ел, видимо следил за присутствием второго, и запускал его опять. Затем прибив процесс который поменьше, затем следом и поболее (главное насколько я понял это успеть в те 10 секунд когда закрыли основное это окно его стандартными средствами). Потом залез в редактор реестра и нашел его автозапуск в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run там его легко обнаружить, в данном случае он запускался из темповой папки в C:\Documents and Settings\Имя пользователя\Local Settings\Temp\systemservice.exe, ну и в финале удалил этот экзешник через командную строку. Удалял через коммандную строку на всякий случай т.к. он мог оставить там файл autoran.inf или нечто подобное, и при открытии этого каталока в проводнике неизвестно что могло бы ещё запуститься. Поэтому в командной строке я просто выполнил пару команд, сначала del C:\Documents and Settings\Имя пользователя\Local Settings\Temp\systemservice.exe, затем del C:\Documents and Settings\Имя пользователя\Local Settings\Temp\autorun.inf, (авторана там кстати не оказалось), потом уже просто добил все остальные файлы.

После этого, этот вымогатель больше не появлялся. Уходя на всякий случай обновил у соседа антивирь его НОД и поставил на полную проверку.

Мануал конечно хреновыый получился, но мало ли кому поможет побороть, тем более, он поможет даже если у пользователя на компе нет интернета, а также может сработает с другими подобными вирусами.

января 25, 2010 - Новости | Комментариев нет