Вторник, 16 апреля 2013 10:47

Удаление СМС вируса с помощью Life CD

Оцените материал
(2 голосов)

 Смс вымогатель представляет из себя блокирующее окно не дающее выполнять никаких действий, возможно даже загрузка компьютера в безопасном режиме не принесет никакого результата. Избавиться от смс вируса, возможно только методами описанными здесь или методом пошагово описанном в этой статье, но ни в коем случае не перечисляйте деньги по указанному телефонному номеру. Необходимо вылечить, удалить зловреда вручную, а не поддерживать финансово людей пишущих подобные вирусы.

Итак, имеем смс баннер, который блокирует любые ваши действия, загрузка в безопасном режиме, так же ничего не дает и вам кажется, что кроме переустановки системы вам ничего не поможет, на самом деле это не так.

 Вам понадобиться скачать (если у вас нету) Life CD- (не важно Windows XP у вас или Windows 7) и загрузиться с него + второй, рабочий компьютер/ ноутбук.
Life CD- операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск, позволяет быстро начать работу с компьютером, избегая длительного процесса установки ОС на жесткий диск. Запуск Live CD занимает обычно несколько минут и внешне ничем не отличается от установленной операционной системы, зачастую имеет встроенные приложения для работы с файлами.
Суть метода сводиться к следующему- загрузившись с Life CD, мы вручную исправим изменения в реестре, которые сделал вирус, и удалим его, таким образом без отправки СМС мы избавимся от смс вируса.
Итак, первым делом загружаемся с Life CD, более подробно как это сделать описано здесь. После того как загрузились с Life CD заходим в реестр, для этого нажимаем «Пуск- Выполнить» вписываем REGEDIT и нажимаете Enter, возможно в вашей версии Life CD есть программа для работы с реестром, можете запустить ее.  Поскольку все изменения, которые мы будем вносить в открывшемся реестре- никак не коснуться зараженной машины, поскольку изменения будут производиться в реестре Life CD, нам это не подходит, нам необходимо подгрузить реестр зараженной машины и уже в ней исправить изменения, которые внес смс вирус. Для этого в Редакторе реестра нажимаем на HKEY_LOCAL_MACHINE, затем  «Файл- Загрузить куст»,

Требуемый файл находиться по пути %systemroot%\system32\config или C:\Windows\System32\config файл software.



Вписываем имя раздела (в данном примере old1).

В результате в HKEY_LOCAL_MACHINE появится куст old1 (часть реестра зараженной машины).

Далее необходимо зайти HKEY_LOCAL_MACHINE\old1\Microsoft\Windows NT\CurrentVersion\Winlogon, открыть параметр Shell и исправить значение на Explorer.exe.

Указанный другой путь к файлу приведет вас к телу вируса, как можно увидеть в моем случае вирус находиться в папке Temp.

Исправьте так же параметра Userinit -правильное значение C:\Windows\system32\userinit.exe или %systemroot%\system32\userinit.exe. В моем случае было прописано следующее.

Исправил на...

По адресу: HKEY_LOCAL_MACHINE\old1\Microsoft\Windows\CurrentVersion\Run– удалите (если они там присутствуют) параметры загрузки вируса, в моем случае, там ничего не было.

Теперь необходимо экспортировать измененный куст, для этого нажимаем правой кнопкой на OLD1 и выбираем «Экспортировать» и сохраните файл на флешку (что бы в дальнейшем внести изменения в этом файле).

Теперь можно выбрать куст old1 и выгрузить его, для этого нажимаем на нем потом «Файл- Выгрузить куст».

Теперь необходимо внести изменения в сохранившийся файл, что бы не делать это вручную, необходимо открыть файл на другом (не зараженном компьютере) программой Notepad++ и заменить old1 на Software

После этого копируем наш файл обратно на заряженный компьютер и запускаем, двумя кликами мыши. Не забываем удалить файл вируса, который в моем случае находится в папке Temp.
Для предотвращения повторного самозаражения системы
– очистите кэш интернет-файлов
– при необходимости восстановите оригинальный hosts-файл
– просканируйте систему антивирусом со свежими базами.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


Комментарии  

0 # Я 27.11.2015 19:48
Цитирую kostya:
Спасибо автору :-) удалил у себя смс баннер за 20 мин. Остался только вопрос... Где я его мог подцепить?!

Вот как раз я то и подцепил его нажав на крестик чтобы закрыть банер. Думаю все его так и цепляют. Изготовитель на то и рассчитывает. Мол увидел банер, и чтоб не мешал нажать нужно на крестик. А он тебе на здрасьте тутачки я
Ответить
0 # Дмитрий 25.09.2013 23:28
Да, вирус этот прогрессирует.
Я его первым подцепил, нажал на крестик, чтобы закрыть длинный баннер, и капец.Тогда он был не такой изощренный как сейчас. Я почесал репу, в раздумьях, и отправился в лабораторию Касперского, отправил им файл. Они мне ответили, что да, вирус новый нами не известный, ну и конечно предложили купить их антивирусник, мол только он поможет, руками ни как.
Окошко тогда было не очень большое. В общем вирус я удалил из автозагрузки, и где то не помню где нашел его и удалил.
Буквально через месяц приятель сталкнулся с таким же чудом. Я приехал, и увидел уже обновленную версию этого вируса. Его окно занимало уже весь рабочий стол. После танцев с бубном, победил его. И на долго про него забыл, пока не наткнулся на Вашу статью.
Да, прогресс на лицо, уже и в реестр запустили ручки шаловливые.
Ответить
0 # Nick 26.09.2013 11:47
Я помню первые образцы этого вируса... он сам себя удалял через часа два, достаточно было просто поджать и перезагрузить компьютер. Теперь уже зачастую и отправка СМС не поможет или тем более на терминал деньги класть, поскольку ключ для лечения не заложен при создания вируса.
Ответить
0 # nick 05.05.2013 15:54
Цитирую kostya:
Спасибо автору :-) удалил у себя смс баннер за 20 мин. Остался только вопрос... Где я его мог подцепить?!

Боюсь это риторический вопрос... СМС вирус можно подцепить где угодно, например на сайте появилось окошко с какой то рекламой, вы нажали как вы думали на крестик, что бы закрыть его, но на самом деле вы скачали вирусный файл, который вносит изменения в реестр.
Ответить
0 # kostya 05.05.2013 15:47
Спасибо автору :-) удалил у себя смс баннер за 20 мин. Остался только вопрос... Где я его мог подцепить?!
Ответить

Добавить комментарий