Это блог о моей работе, жизни и увлечениях! Решим ИТ проблемы вместе!
Практически каждый пользователей компьютера сталкивался с проблемой заражения системы вирусами. По сути, вирус – это обычная программа, однако в отличие от классического ПО, вирус старается всячески навредить информации, находящейся на жёстком диске.
Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром. Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет. Причина: Вы смотрели фильмы содержащие гей-порно. Для разблокировки Windows необходимо: Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей. Оплатить можно через терминалы для оплаты сотовой связи. После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже. Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера. Лазил по сети. На каком то из сайтов вдруг зацепился за вируса трояна winlocker. Он явно воспользовался какой-то новой уязвимостью виндовс. т.к. браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .
Первый реальный троян за последний год которого я вижу в корпоративной сети, абсолютно новый, у касперского даже нет описания, только имя ему 15го марта присвоили. Где и как его умудрился поймать работник ума не приложу. Symantec его не знает и даже не пикнул, впрочем у пользователя все равно ограниченые права и максимум что троян смог, это прописался в автозагрузку для этого пользователя. Причем я могу запустить тот же taskmgr со своими правами и прерасно его видеть и убить, правда он запускается в двух экземплярах и по одному не убивается, оставшийся сразу запускает себе пару. Вылечил очень просто, запустил консольку и выполнил команду taskkill /f /im sfogcydx.exe Потом почистил автозагрузку и отправил на анализ в symantec. Ну а еще я использовал бесплатный софт CureIT от DrWeb. Впрочем он ничего не нашел т.к. и не было ничего больше. Семантик несмотря на тормознутость вполне эффективно справляется со своей работой. Враг не пройдет:)
принесли «посмотреть ноутбук» мол денег просит, 🙂 как обычно, где-то поймали трояна, который просит отправить SMS. Мне понравилась формулировка шантажиста: Вам был предоставлен бесплатный час доступа к порноматериалам, Пробный период использования истек Доступ в сеть заблокирован! Уведомление о необходимости активации ПО Toget Access. Для активации ПО Toget Access необходимо отправить смс на номер 1350 с цифрами 532057268. Внимание!!!! Попытка обмануть систему активации может причинить вред компьютеру. Все это большими буквами на красном фоне Самое интересное пользователь не далее как вчера КУПИЛ в магазине AVP2010, обновил его и после этого поймал трояна. Хотя надо еще уточнить где это он его купил, а то может это троян и был:) В общем приступаю к лечению. Как обычно в таких случаях окно несворачиваемое, сделать особо ничего нельзя. В инете нашел код активации (3097) который подошел и надоедливое окно убралось. Затем убираем эту гадость из реестра Должно быть так [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] «Userinit»=»C:\WINDOWS\system32\userinit.exe,» [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] «PersistBrowsers»=dword:00000000 у меня было «Userinit»=»\\.\globalroot\systemroot\system32\userinit.exe,» Второго параметра может не быть совсем, это тоже нормально. Ну и самое главное ставим Антивирус (Nod32, Kaspersky, Symantec, Dr. Web любой какой вам нравится). Обновляем его и делаем полную проверку системы. Для того что бы в будущем подобного не возникало необходимо всегда иметь обновленный рабочий антивирус, отключить…