Добрый вирус

Вчера столкнулся со сравнительно безвредным, но очень наглым вирусом, с вирусом, который берет на понт. Искал какую-то прогу и на одном из сайтов подцепил эту заразу. Внешне немного напоминает WinLock. Посреди экрана синенькое окошечко (к сожалению, на догадался его сфотографировать) с сообщением о том, что для разблокировки Windows необходимо отправить 400 рублей на счет абонента BeeLine 8-960-257-75-77. В ответ якобы придет код, который нужно ввести в это окошечко. Не понятно, как технически это может произойти, ведь речь не идет об SMS и невозможно идентифицировать источник платежа. Если в течение 12 часов деньги не поступят, то с компьютера будет стерто все, включая, БИОС. Остальная часть экрана вокруг окошечка видна, но недоступна. Мышь заблокирована внутри этого окна, которое всегда выше всех. Меню Пуск доступно с клавиатуры, но запуск редактора реестра блокирован, диспетчер задач — тоже.

Что делать? Первое, что пришло на ум – как раньше, найти в интернете код ответа для номера 8-960-257-75-77, ввести его, прогнать с экрана синее окно вируса и потом уже с ним бороться. Ни на «8-960-257-75-77», ни на «89602577577», ни на «9602577577» не было выдано ни одного результата поиска. Это я делал с другого ПК, отобрав ноут у жены. Машины объединены в локальную сеть. Тогда я подключился с ноута к реестру зараженного ПК и посмотрел ключ реестра, который обычно изменяют подобные вирусы  – ничего подозрительного не нашел. Автозагрузку еще проверил: саму папку и ключи в реестре – ничего.

Убийство вирусаТогда пришла мысль просто прибить процесс вируса. Наверное есть для этого утилиты командной строки, но я действовал по пословице: «Самая короткая дорога та, которую хорошо знаешь». Посмотреть список процессов, да еще и с датой/временем запуска каждого из них, позволяет набор утилит DameWare. Пошукал на ноуте – не нашел, поискал на зараженном ПК – нету. Но я знаю, что есть на рабочем ПК, и там у меня должен быть запущен TeamViewer. Иду на сайт этого самого тимвьювера, скачиваю портабле-инсталяху (15 Мб). Подключаюсь ею на рабочий ПК и с её помощью пытаюсь скачать к себе на ноут DameWare. Это около 70 Мб. В прогнозе пишет, что качать будет час. Бросаю закачку. Запускаю на зараженном ПК этот же тимвьювер (меню пуск и клавиатура доступны, а этого для запуска достаточно). С ноута подключаюсь к рабочему столу рабочего ПК. Там запускаю VPN соединение с зараженным ПК, получаю его IP адрес. На рабочем ПК запускаю DameWare и по IP адресу подключаюсь к зараженному. Запрашиваю список процессов, и сортирую по времени запуска – вот он гад. Правый клик, «завершить процесс», «Вы уверены?», «Да». И синенькое окошечко с монитора исчезает.

Что любопытно, никаких последствий этого странного вируса я не обнаружил. Однако, не понятно другое. СИМки мобильных операторов обязательно регистрируются на паспортные данные. Для полиции нет никакой проблемы по номеру 8-960-257-75-77 определить владельца. Почему же его не арестуют и не расстреляют на площади, чтобы другим не повадно было. Заснять казнь на видео и на YouTube. Думаю, эффективно было бы.

P.S.(10.03.2011): Вчера снова столкнулся с этой же пакостью. Только номер был уже другой: 8-960-272-71-00.

Вирус Билайн

Толи в прошлый раз не добил, то ли снова подцепил. Помог простой способ. При запуске F8, входим в режиме защиты от сбоев с поддержкой командной строки. Там regedit и заменяем в параметре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell дурацкое имя с цифрами на explorer.exe, предварительно запомнив (записав) имя и путь к этой гадости.  Перезагружаемся, удаляем файл вируса, прогоняем докторвебером (Cure It!).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *