Новости России | Новости Украины | Новости Зарубежья | Последние новости | Новости дня
Навигация

Вирус который блокирует Windows: защита и удаление!

Совсем недавно в Интернете появился вирус, который блокирует Windows, пишет, что система нелицензионная и для разблокировки требуется отправить SMS на короткий номер. Иногда встречаются и более «гуманные» версии, которые запускают таймер обратного отсчета, и через шесть часов утилита закрывается до следующей перезагрузки системы.





По действию вирус является троянской программой и, как большинство троянцев прописывается в автозапуск. Идеальной безболезненной схемы удаления вируса пока нет, и неизвестно будет ли. Обновления самых свежих антивирусных баз не помогает по ряду причин.



Вирус никак не проявляет себя до выхода в Интернет. При запуске Интернета вновь вылетает окно с требованием отправки SMS. Антивирус его перехватывает, блокирует и удаляет, но при следующей перезагрузке оказывается, что вирус опять активен и умудряется запуститься до запуска антивируса.



Отсюда «прелесть» вируса: Он представляет собой некую утилиту, которая маскируется под легальную программу (поэтому антивирус ее «не видит»). Утилита при запуске Интернета генерирует исполняемый файл и прописывает его в автозагрузку. Удаление файла и ключа в реестре ничего не дает. Поэтому же точное местонахождение родительской программы определить не удается.



Однако можно методично избавиться от всего «лишнего» на диске С:\ исходя из логики «стандартных папок», и не обращая внимание на свой набор программ и драйверов. Для начала выключим вирус и уберем его из автозапуска. Для этого перезагружаем компьютер, жмем F8, пока виден черный экран, в появившемся списке вариантов запуска выбираем безопасный режим, ждем, пока система загрузится в этом режиме.



Запускаем консоль настройки системы: Меню Пуск – Выполнить – в командную строку вводим: msconfig – Enter. В открывшемся окне выбираем вкладку «Автозагрузка». Оставляем только 2 галочки, а все остальные снимает. Галочки должны стоять напротив: ALCMTR.EXE и CTFMON – после чего перезагружаем компьютер.



Во вкладке «Автозагрузка» отображен список программ, запускающихся вместе с Windows. Здесь три столбца: «Элемент автозагрузки», «Команда» и «Расположение». Элемент автозагрузки – это имя исполняемого файла запускающегося с системой.



Обычно у троянских программ имя файла - случайный набор символов типа xvszhq. Важно отметить, что вирусы не прописываются в папки с вашими установленными программами сторонних разработчиков. Они предпочитают системные папки. А по аббревиатурам системных файлов можно догадаться о их назначении и полном названии. Например, wupdmgr.exe - это windows update manager, то есть системная утилита обновления.



Два других столбца более интересны. «Команда» показывает путь к исполняемому файлу. «Расположение» показывает ключ в системном реестре. Находим в системе папку с указанным файлом, удаляем файл, запускаем редактор реестра командой «Выполнить: regedit» удаляем соответствующий ключ. Внимание! Если вы не знаете что такое реестр, слова «ключи реестра» слышите впервые и совсем не понимаете в английских аббревиатурах, то, скорее всего, лезть в реестр не стоит.



Обычно удаления ключа и самого файла в папке достаточно, чтоб троянец больше не появлялся. Но так, как местонахождение родительской программы мы не знаем, то чистим файлы в следующих папках:



Лидер по любви троянов: WINDOWS/TEMP

В папках SYSTEM и SYSTEM32 ищем файлы с названием типа xvszhq, соответствующие записи в автозагрузке.

В папке WINDOWS/DOWNLOADED INSTALLATIONS тоже стираем все, но не забываем, что эта она используется некоторыми вашими программами для хранения дистрибутивов, то есть что-то переустановить можно будет только с диска.

DOCUMENTS AND SETTINGS/ «УЧЕТНАЯ ЗАПИСЬ» / COOKIES/

DOCUMENTS AND SETTINGS/ «УЧЕТНАЯ ЗАПИСЬ» / RECENT/

DOCUMENTS AND SETTINGS/ «УЧЕТНАЯ ЗАПИСЬ» / LOCAL SETTINGS/ TEMP/

PROGRAM FILES/ INSTALLSHIELD INSTALLATION INFORMATION/ (Удаляя файлы из этой папки, можно также повредить некоторые несистемные программы)



После вдумчивой чистки этих папок и процедуры очистки автозапуска вирус исчезает, но, возможно, придется переустановить некоторые программы, а это малая кровь по сравнению с форматированием жесткого диска.


Автор: Александр Носов
(Источник: Society.YoRead.ru)

Для печати


Поиск по Сайту