У Вас вирус? Не спешите слать СМС безграмотным хакерам!


Рассказываем план действий на своем примере.

    Был я на каком-то безобидном сайте - торговая фирма по продаже ноутбуков. Нашел их через поисковик, поисковик не предупредил о потенциальной опасности сайта.  неожиданно Баузер выдал ошибку выполнения ценария Java script, на что на автомате я дал команду "продолжить".
    Через секунду после этого NOD сообщил о зараженном файле на каждом из дисков и сказал, что он справился с проблемой. На самом деле ничего он не справился. 
    Через 5 минут система начала готовиться к перезагрузке, закрывая все приложения. Сделать в этом случае уже ничего нельзя - команда Restart, данная не мною - приказ! 
    Идет перезагрузка, доходим до логина, тыкаем в пользователя (в Windows Home выбора пользователя не будет, так как она однопользовательская) и видим черный экран, красным надпись Antivirus Online и  дальше пугающий текст на русском языке, что вам надо срочно отправить смс на номер 5121 с текстом 6625022 и вы получите код, который надо ввести в окошечке ниже и он удалит вам  вирус. Иначе абсолютно все данные будут уничтожены. Все это написано на безграмотном русском языке.
    Ясное дело, я не собирался тратить свои деньги, отправляя платное СМС сообщение каким-то проходимцам.

    Что я делал.

    Пробовал перезагрузить компьютер в безопасном режиме - бесполезно - снова натыкаемся на эту надпись на черном фоне.
    Диспетчер задач никак не вызывается, он заблокирован в реестре (хотя троян говорит, что диспетчер задач заблокирован администратором)
    Никаких команд ввести не получается, а нужен только regedit.

    Вобщем на первый взгляд никак не обойти этот вирус-"антивирус".

    Итак, не нервничаем, нажимаем комбинацию клавиш Win+U (Win - клавиша с логотипом Windows - находится между клавишами Ctrl и Alt).  Это вызов диспетчера служебных программ, в частности экранной лупы. Этот диспетчер имеет высший прироитет и не может быть заблокирован (пока!).
    Запускаем экранную лупу. Появляется сообщение экранной лупы, в которой объясняется зачем она нужна и т.д. Главное для нас - это ссылка ниже в этом же окошечке "Веб-Узел Майкрософт"
    Жмем по этой ссылке и нам открывается браузер (в моем случае Mozilla Firefox). Пишем в строке запроса адресов c:\Windows
    Видим, как в окне браузера открывается дерево папок в директории Windows на диске C:
    Тыкаем мышкой в файл regedit.exe. Нам предлагается его скачать. Нажимаем кнопку Сохранить. Нам открывается окно выбора папки для сохранения. Если у вас в настройках браузера указано, что при скачке выбирать папку, то окно выбора папки появится. Иначе файл будет скачан в общую папку, что не есть хорошо. Хотя и это поправимо.
Итак, файл мы не скачиваем, нам нужно именно это окно выбора папок. Идем на диск C: в директорию Windows. Выбираем файл regedit.exe, наводим на него мышку, нажимаем правую кнопку мышки, появляется меню с вариантами действий.  Выбираем действие Открыть.
    Часть дела сделана - перед нами редактор реестра.
    Идем HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Удаляем ключ реестра DisableTaskMgr (запретить вызов диспетчера задач)
    Идем HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    Видим ключ Shell. Нажимаем на него два раза и меняем его значение с USER33.EXE на Explorer.exe.
    Перезагружаемся.
    Теперь все должно быть нормально, как до заражения.
    Но это еще не все. Теперь идем в папку c:\Windows\System32 и ищем там файл User33.exe - это и есть вирус. Удаляем его НАФИК! и из корзины тоже.
    И это еще не все. Если у вас более одного диска (и логического тоже и флешки и т.п.), ищем на каждом диске файл md.exe и удаляем его тоже. Он как правило находится в корне диска и имеет свойства - системный и скрытый.  Этот файл запускает вирус. Еще проверьте наличие файла plugin.exe в папке c:\program files\ - это тоже winlock троян.
    Вот теперь все, теперь вы избавлены от необходимости слать смс непонятно кому.