удаление с WINDOWS смс блокеров.
 

Недавно попался мне от клиента нетбук в котором был вирус блокирующий использование компьютера сопровождающийся примерно таким текстом

«Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов ... »

Блокировщик просил отправить смс на номер мтс, при чем судя по поиску такой проблемы в сети, мошенники используют только номера оператора мтс, то ли у мтс выгодные условия для мошенников, то ли мтс с ними сотрудничает не ясно


Как удалить вирус

Чтобы вирус удалить нам необходим доступ к системе, но как быть, если система заблокирована? Для этого необходимо загрузиться с другой операционной системы, но так как на нашем компьютере система всего одна, то загружаться будем с флешки (так как CD и DVD приводов на нетбуке как правило нет и так же к слову флешка удобнее), или же можно воспользоваться live cd. Загружаемся в windows с флешки и первым делом необходимо проверить ветку реестра, которая отвечает за загрузку оболочки, для этого откроем сам реестр



Загружаемся в windows с флешки и первым делом необходимо проверить ветку реестра, которая отвечает за загрузку оболочки, для этого откроем сам реестр

Пуск → Выполнить → regedit (пишем в окошке). Открылся реестр но этот реестр той системы, которую мы используем для удаления вируса, а нам надо отредактировать реестр зараженной системы. Для этого необходимо подгрузить часть реестра другой системы для этого мышкой выделяем раздел реестра HKEY_Local_MACHINE и сверху в навигации нажимаем File → Загрузить куст

http://yellowlemon.net/files/notes/2...t-virusa_0.png

Далее выбираем кусок реестра, который и будем править. Если система установлена на диск C:\ то путь до реестра будет C:\WINDOWS\system32\config в папке config выбираем файл software, выскакивает окошко в котором предлагается ввести имя, оно может быть произвольное и необходимо только для нас (например, «rsoft».

После открываем ветку реестра:
rsoft (Имя раздела которое вы присвоили) → Microsoft → Windows NT → CurrentVersion → Winlogon

Нас интересует 3 ключа - в первую очередь Shell и UIHost, Userinit

http://yellowlemon.net/files/notes/2...t-virusa_1.png

Правильные значения ключей!!!!
Shell → Explorer.exe
UIHost → logonui.exe
Userinit → C:\WINDOWS\system32\userinit.exe,

Если ключи содержат что-то иное, а они содержат не то что надо, то по каждому ключу кликаем мышкой и редактируем. В моем случае ключ Shell содержал путь до вирусного файла 22CC6C32.exe

http://yellowlemon.net/files/notes/2...t-virusa_2.png


После редактирования реестра необходимо точно так же выделить загруженную ветку реестра и в меню выбрать выгрузить куст, чтобы изменения в реестре были в заблокированном windows

Иногда той операции, что была описана достаточно для того, чтобы разблокировать windows, но я решил заглянуть в системные файлы «C:\WINDOWS\system32» и так сказать навскидку посмотреть, были ли какие из файлов изменены в примерно тоже время, что и был подцеплен вирус и моя интуиция меня не подвела, 2 файлы были модифицированы userinit.exe и taskmgr.exe которые я скопировал из схожей системы, как позже я выяснил опытным путем, если не заменить файл userinit.exe, то после перезагрузки значения реестра вернуться обратно и вирус дальше продолжит требовать с нас денег

Дальше остается удалить вирус уже загрузившись в операционную систему с HDD и удалить файлы вируса, в моем случае основной файл имел название 22CC6C32.exe и находился в «Documents and Settings\All Users\Application Data\» так же имеет смысл заглянуть в системную папку dllcache
Пуск → Выполнить → %windir%\system32\dllcache на предмет проверки модифицированных файлов операционной системы

После восстановления контроля над windows желательно проверить антивирусом исполняемые файлы, а лучше и не одним антивирусом. Так же замечу, что выполнять требования мошенников и отправлять смс с надеждой получить код разблокировки не имеет ни какого смысла во первых вы тем самым стимулируете и спонсируете написание новых более изощренных вирусов, а во вторую, что последние модификации подобных вирусов не разблокируются отправкой смс, вообще, хоть и содержат поле для ввода ключа.