Вірус - Рекламна Заставка з відправкою смс

Це звичайно не вірус, а всього лише краплина води, але розмова у нас піде не про воду

Це звичайно не вірус, а всього лише краплина води, але розмова у нас піде не про воду.

Почну з того, що я вже описував способи боротьби з вірусом, що вимагає активації windows , а також другу частину боротьби з вірусом, що просять відправити смс .

Способи в обох випадках були приблизно однакові, але вимагали завантаження в безпечний режим. Сьогодні я хотів би розповісти про більш просунутому, добре продуманим вірусом- рекламою.

Я спеціально виділив слово «Реклама», так як по суті даний тип настирливих програм не є вірусами. Для цього дам невелике визначення вірусу, воно хоч і не за підручником, але добре пояснює суть:

Вірус - програма переслідує собою мети отримання даних про користувача (трояни), розмноження і впровадження свого коду в інші програми і контроль над персональним комп'ютером і т.п. (Черви і інша нісенітниця).

В даному конкретному випадку ми маємо справу з програмним варіантом рекламного спаму на майданчику клієнта (визначення моє кому не подобається можете оскаржувати в коментарях), саме тому антивірусне забезпечення в дуже рідкісних випадках реагують на них і правильно діють в таких випадках.

З теорією поки вистачить, тепер я розповім про один з найважчих випадків зараження таким рекламним вірусом. Швидше за все написані нашими, так як дуже і дуже продуманий, розповім симптоми:

  • запуск будь-якої програми моментально викликає заставку з трьома рекламними картинками (це або 3 прон картинки або реклама майок і т.п.)
  • безпечний режим або не починається або працює в такому ж режимі як звичайний
  • редактор реєстру не починається ні в якому з варіантів
  • диспетчер завдань не запускається також і комбінації Alt + F4, CTRL + ALT + DELETE, CTRL + ESCAPE і т.п. також ефекту не дають.
  • Вставка флешки з будь-яким з настановних файлів будь-яких антивірусів привід до стирання інсталятора останнього.

Вобщем не працює жодна з тактик по знешкодженню. Встановити нічого не можна, так як запуск установки викликає повне зависання комп'ютера і моментальне поява рекламної заставки. Ось її скріншот:

Ось так виглядає ця справа, це не скріншот, а фотографія, так що трохи спотворена. Як бачите тут у нас «Рекламна панель встановлюється тільки при відвідуванні сайту ...».

Кожен запуск сайт змінюється, так що відстежити звідки це щастя Вам не вдасться.

Спочатку, в який раз повторюся про те, чого робити не потрібно:

  • не відправляйте СМС !!! Воно швидше за все Вам не допоможе і коштувати буде швидше за все більше ніж запитувана сума
  • не пробуйте видаляти папку Windows
  • зверніться до професіонала, якщо самі не можете впорається, так як неправильна поведінка може викликати негативні наслідки - наприклад я чув такий випадок, що програма відформатувати вінчестер низькорівневим форматуванням (не було запису навіть про модель потім)

Тепер про те, що робити?

Підведу підсумок про стан ПК:

  1. безпечний режим не завантажується
  2. редактор реєстру, диспетчер задач і пункт виконати не працюють
  3. запуск будь-яких інсталяційних файлів призводить до зависання ПК
  4. перевірка на віруси не можлива, встановлений антивірус не реагує

Загалом перепробував обидва варіанти описаний мною раніше я прийшов до думки, що без LiveCD тут ніяк не обійтися.

Я постарався підібрати більш менш тлумачний лайвсіді, щоб не потрібно було копатися в командному рядку, але при цьому всі інструменти були в наявності.

Вибір припав на Lex Live CD 2009 хорошая сборка и все, що потрібно для підняття і перевірки системи. Lex можна дістати на торрентах і деяких форумах, а якщо не знайдете - можу викласти на deposit.

На диску є своє антивірусне забезпечення, але як і очікувалося перевірки нічого не дали. Довелося шукати цю справу вручну - для цього перевіряємо автозагрузку за допомогою Autoruns , Але і тут нічого не знайшлося.

Я вже було почав подумувати про знесення windows, але вирішив перевірити ще дещо.

Так як у мене працював безпечний режим, але в ньому вірус все одно працював також як і в звичайному режимі я вирішив перевірити загальний ключ автозавантаження.

Детальніше, з допомогою Лекс Сиди завантажуємося і запусків редактор реєстру, який йде на диску. Редактор реєстру запропонує Вам вибрати користувача, вибирайте свій. Скріншоти у мене не збереглися, так як ноутбук не мій, але там нічого складного.

Далі перевіряємо ось ці ключі реєстру:

  • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Там теж нічого зайвого, але я не дарма сказав Вам про те, що безпечний режим у мене працював - отже, завантажувалися настройки за замовчуванням, а вони знаходяться тут:
Там теж нічого зайвого, але я не дарма сказав Вам про те, що безпечний режим у мене працював - отже, завантажувалися настройки за замовчуванням, а вони знаходяться тут:

Саме в ключі HKEY_USERS \ .DEFAULT \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, я знайшов наше «чудовисько» на ім'я indicdll з параметрами запуску shellexecute.exe / h - indicdll.cmd. Саме він і був нашим прибульцем. Ви можете також перевірити інші ключі виду «S-1 ....» Крім. Default

Вобщем підведу саммарі:

  • Якщо нічого не допомагає і безпечний режим не працює, Вам необхідний хороший LiveCD
  • LiveCD повинен володіти редактором реєстру
  • Перевіряйте всі ключі автозавантаження - не тільки HKCU і HKLM, а й HKU
  • Менше клікайте на спливаючих вікнах і Ніколи не відправляйте смски.

Зараз інші читають: