Вірус - Рекламна Заставка з відправкою смс
Це звичайно не вірус, а всього лише краплина води, але розмова у нас піде не про воду.
Почну з того, що я вже описував способи боротьби з вірусом, що вимагає активації windows , а також другу частину боротьби з вірусом, що просять відправити смс .
Способи в обох випадках були приблизно однакові, але вимагали завантаження в безпечний режим. Сьогодні я хотів би розповісти про більш просунутому, добре продуманим вірусом- рекламою.
Я спеціально виділив слово «Реклама», так як по суті даний тип настирливих програм не є вірусами. Для цього дам невелике визначення вірусу, воно хоч і не за підручником, але добре пояснює суть:
Вірус - програма переслідує собою мети отримання даних про користувача (трояни), розмноження і впровадження свого коду в інші програми і контроль над персональним комп'ютером і т.п. (Черви і інша нісенітниця).
В даному конкретному випадку ми маємо справу з програмним варіантом рекламного спаму на майданчику клієнта (визначення моє кому не подобається можете оскаржувати в коментарях), саме тому антивірусне забезпечення в дуже рідкісних випадках реагують на них і правильно діють в таких випадках.
З теорією поки вистачить, тепер я розповім про один з найважчих випадків зараження таким рекламним вірусом. Швидше за все написані нашими, так як дуже і дуже продуманий, розповім симптоми:
- запуск будь-якої програми моментально викликає заставку з трьома рекламними картинками (це або 3 прон картинки або реклама майок і т.п.)
- безпечний режим або не починається або працює в такому ж режимі як звичайний
- редактор реєстру не починається ні в якому з варіантів
- диспетчер завдань не запускається також і комбінації Alt + F4, CTRL + ALT + DELETE, CTRL + ESCAPE і т.п. також ефекту не дають.
- Вставка флешки з будь-яким з настановних файлів будь-яких антивірусів привід до стирання інсталятора останнього.
Вобщем не працює жодна з тактик по знешкодженню. Встановити нічого не можна, так як запуск установки викликає повне зависання комп'ютера і моментальне поява рекламної заставки. Ось її скріншот:
Ось так виглядає ця справа, це не скріншот, а фотографія, так що трохи спотворена. Як бачите тут у нас «Рекламна панель встановлюється тільки при відвідуванні сайту ...».
Кожен запуск сайт змінюється, так що відстежити звідки це щастя Вам не вдасться.
Спочатку, в який раз повторюся про те, чого робити не потрібно:
- не відправляйте СМС !!! Воно швидше за все Вам не допоможе і коштувати буде швидше за все більше ніж запитувана сума
- не пробуйте видаляти папку Windows
- зверніться до професіонала, якщо самі не можете впорається, так як неправильна поведінка може викликати негативні наслідки - наприклад я чув такий випадок, що програма відформатувати вінчестер низькорівневим форматуванням (не було запису навіть про модель потім)
Тепер про те, що робити?
Підведу підсумок про стан ПК:
- безпечний режим не завантажується
- редактор реєстру, диспетчер задач і пункт виконати не працюють
- запуск будь-яких інсталяційних файлів призводить до зависання ПК
- перевірка на віруси не можлива, встановлений антивірус не реагує
Загалом перепробував обидва варіанти описаний мною раніше я прийшов до думки, що без LiveCD тут ніяк не обійтися.
Я постарався підібрати більш менш тлумачний лайвсіді, щоб не потрібно було копатися в командному рядку, але при цьому всі інструменти були в наявності.
Вибір припав на Lex Live CD 2009 хорошая сборка и все, що потрібно для підняття і перевірки системи. Lex можна дістати на торрентах і деяких форумах, а якщо не знайдете - можу викласти на deposit.
На диску є своє антивірусне забезпечення, але як і очікувалося перевірки нічого не дали. Довелося шукати цю справу вручну - для цього перевіряємо автозагрузку за допомогою Autoruns , Але і тут нічого не знайшлося.
Я вже було почав подумувати про знесення windows, але вирішив перевірити ще дещо.
Так як у мене працював безпечний режим, але в ньому вірус все одно працював також як і в звичайному режимі я вирішив перевірити загальний ключ автозавантаження.
Детальніше, з допомогою Лекс Сиди завантажуємося і запусків редактор реєстру, який йде на диску. Редактор реєстру запропонує Вам вибрати користувача, вибирайте свій. Скріншоти у мене не збереглися, так як ноутбук не мій, але там нічого складного.
Далі перевіряємо ось ці ключі реєстру:
- HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Там теж нічого зайвого, але я не дарма сказав Вам про те, що безпечний режим у мене працював - отже, завантажувалися настройки за замовчуванням, а вони знаходяться тут:
Саме в ключі HKEY_USERS \ .DEFAULT \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, я знайшов наше «чудовисько» на ім'я indicdll з параметрами запуску shellexecute.exe / h - indicdll.cmd. Саме він і був нашим прибульцем. Ви можете також перевірити інші ключі виду «S-1 ....» Крім. Default
Вобщем підведу саммарі:
- Якщо нічого не допомагає і безпечний режим не працює, Вам необхідний хороший LiveCD
- LiveCD повинен володіти редактором реєстру
- Перевіряйте всі ключі автозавантаження - не тільки HKCU і HKLM, а й HKU
- Менше клікайте на спливаючих вікнах і Ніколи не відправляйте смски.