Компьютеры
Общие вопросы

Рекламные банеры в браузерах,вирус WinLock, лечение и защита

Leok (off) VIP [903]
24 февраля 2010, 00:47

ПРОБЛЕМА: при попытке запустить или удалить какую-нибудь программу, появляется баннер почти на весь экран:
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.
Он "находит" сколько то вирусов и предлагает лечить или удалить вредоносные файлы. Если выбираешь лечить - появляется сообщение об оплате программы посредством SMS на номер ХХХХ.
Этот баннер выскакивает после загрузки windows и в безопасном режиме и в простом. Заблокированы диспетчер задач и реестр, восстановление системы отключено, антивирус отключен. При запуске любой программы баннер перезапускается и сканирует систему заново.

Состав вредоносной программы:
Вредоносное ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) состоит из одного основного компонента - исполняемого файла %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManager.exe, размером 96256 байт.

В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл %UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe, размером 32000 байт.

Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), то мы настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

РЕШЕНИЕ: Если код для sms начинается на k, например, к204114200, то можно попробовать подобрать ответный код по схеме-
К = 1--2--3--4--5--6--7--8--9
0 = 8--9--1--2--3--4--5--6--7
1 = 9--1--2--3--4--5--6--7--8
2 = 1--2--3--4--5--6--7--8--9
3 = 2--3--4--5--6--7--8--9--1
4 = 3--4--5--6--7--8--9--1--2
5 = 4--5--6--7--8--9--1--2--3
6 = 5--6--7--8--9--1--2--3--4
7 = 6--7--8--9--1--2--3--4--5
8 = 7--8--9--1--2--3--4--5--6
9 = 8--9--1--2--3--4--5--6--7

Для кода в sms подставляешь цифры одного из столбцов. Например, просили отправить сообщение к204114200.
Значит надо пробовать комбинации:
1183993188
2294114299
3315225311и тд, одна должна подойти.
_________
Можно также попробовать сгенерировать код при помощи анлокера от Др.Веб
или Сервис деактивации вымогателей-блокеров

_________
Затем, после нормальной перезагрузки, необходимо проверить всю систему обновленным антивирусом, особенно обращая внимание на папки:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) - найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll - эти файлы не удалять), а остальные, особенно с датой создания за последнее время) - очень хорошо проверить - 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. И сразу удаляем папку RECYCLER и autorun.inf. (они скрыты, надо в свойствах папки включить "показывать скрытые и системные файлы")
________
Если есть под рукой "здоровый" комп, то можно воспользоваться генератором кодов для Internet Security
---
eKavGenerator.rar
Размер файла: 171 Kб
-------

Назад в тему

Общие вопросы
Список форумов
На главную

0.026 сек
SQL: 5