Добро пожаловать к Жирафу!
Статьи, ЧАстозадаваемые ВОпросы faq купить в Москве
 
 серверы  компьютеры  сетевое оборудование  телефония  серверные шкафы и стойки
 проекторы  ноутбуки  бесперебойное питание  HP CarePack  ленточные приводы DAT DLT Ultrium RDX
 принтеры, МФУ, сканеры  мониторы  программное обеспечение  фото/видео техника  системы хранения данных DAS NAS SAN
Наш номер ICQ 62173072     Наш Skype адрес            (958) 809-5302   

 
  sQuaRe Code

Статьи, ЧАстозадаваемые ВОпросы

У Вас вирус? Не спешите слать СМС безграмотным хакерам!

Рассказываем план действий на своем примере.

    Был я на каком-то безобидном сайте - торговая фирма по продаже ноутбуков. Нашел их через поисковик, поисковик не предупредил о потенциальной опасности сайта.  неожиданно Баузер выдал ошибку выполнения ценария Java script, на что на автомате я дал команду "продолжить".
    Через секунду после этого NOD сообщил о зараженном файле на каждом из дисков и сказал, что он справился с проблемой. На самом деле ничего он не справился. 
    Через 5 минут система начала готовиться к перезагрузке, закрывая все приложения. Сделать в этом случае уже ничего нельзя - команда Restart, данная не мною - приказ! 
    Идет перезагрузка, доходим до логина, тыкаем в пользователя (в Windows Home выбора пользователя не будет, так как она однопользовательская) и видим черный экран, красным надпись Antivirus Online и  дальше пугающий текст на русском языке, что вам надо срочно отправить смс на номер 5121 с текстом 6625022 и вы получите код, который надо ввести в окошечке ниже и он удалит вам  вирус. Иначе абсолютно все данные будут уничтожены. Все это написано на безграмотном русском языке.
    Ясное дело, я не собирался тратить свои деньги, отправляя платное СМС сообщение каким-то проходимцам.

    Что я делал.

    Пробовал перезагрузить компьютер в безопасном режиме - бесполезно - снова натыкаемся на эту надпись на черном фоне.
    Диспетчер задач никак не вызывается, он заблокирован в реестре (хотя троян говорит, что диспетчер задач заблокирован администратором)
    Никаких команд ввести не получается, а нужен только regedit.

    Вобщем на первый взгляд никак не обойти этот вирус-"антивирус".

    Итак, не нервничаем, нажимаем комбинацию клавиш Win+U (Win - клавиша с логотипом Windows - находится между клавишами Ctrl и Alt).  Это вызов диспетчера служебных программ, в частности экранной лупы. Этот диспетчер имеет высший прироитет и не может быть заблокирован (пока!).
    Запускаем экранную лупу. Появляется сообщение экранной лупы, в которой объясняется зачем она нужна и т.д. Главное для нас - это ссылка ниже в этом же окошечке "Веб-Узел Майкрософт"
    Жмем по этой ссылке и нам открывается браузер (в моем случае Mozilla Firefox). Пишем в строке запроса адресов c:\Windows
    Видим, как в окне браузера открывается дерево папок в директории Windows на диске C:
    Тыкаем мышкой в файл regedit.exe. Нам предлагается его скачать. Нажимаем кнопку Сохранить. Нам открывается окно выбора папки для сохранения. Если у вас в настройках браузера указано, что при скачке выбирать папку, то окно выбора папки появится. Иначе файл будет скачан в общую папку, что не есть хорошо. Хотя и это поправимо.
Итак, файл мы не скачиваем, нам нужно именно это окно выбора папок. Идем на диск C: в директорию Windows. Выбираем файл regedit.exe, наводим на него мышку, нажимаем правую кнопку мышки, появляется меню с вариантами действий.  Выбираем действие Открыть.
    Часть дела сделана - перед нами редактор реестра.
    Идем HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Удаляем ключ реестра DisableTaskMgr (запретить вызов диспетчера задач)
    Идем HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Видим ключ Shell. Нажимаем на него два раза и меняем его значение с USER33.EXE на Explorer.exe.
    Перезагружаемся.
    Теперь все должно быть нормально, как до заражения.
    Но это еще не все. Теперь идем в папку c:\Windows\System32 и ищем там файл User33.exe - это и есть вирус. Удаляем его НАФИК! и из корзины тоже.
    И это еще не все. Если у вас более одного диска (и логического тоже и флешки и т.п.), ищем на каждом диске файл md.exe и удаляем его тоже. Он как правило находится в корне диска и имеет свойства - системный и скрытый.  Этот файл запускает вирус. Еще проверьте наличие файла plugin.exe в папке c:\program files\ - это тоже winlock троян.
    Вот теперь все, теперь вы избавлены от необходимости слать смс непонятно кому.



перейти на главную страницуо компанииприем старого железакомплектующие
частозадаваемые вопросынаши друзьяновости компьютерного рынкараспродажа (уценка)

  ООО "Джей энд Раф"   |   ИНН 7720503988   |   КПП 772001001   (958) 809-5302   office@jraf.ru    62173072
  Юр.адрес: 111123, Москва, Электродный проезд 6, стр.1, оф. 24       Skype: IT_Giraffa    193201923
улыбочка  Молодой, подающий надежды, кандидат математических наук, даёт уроки игры в преферанс. Платится стипендия, в размере 10% от проигрыша.  улыбочка
      карта сайта
sites.html     карта сайта
hosted by .masterhost
 		Rambler's Top100     карта сайта 1   карта сайта 2
карта сайта 3   карта сайта 4