Вирус Internet Security

Уже несколько раз писал про эти чертовы вирусы, блокируюющие виндовс, но этот Internet Security — просто шедевр. Обычно на экране сразу появляется окно, от которого нельзя избавиться, и там написано, куда отправлять СМС и с каким текстом. Здесь же антураж заслуживает уважения.

Как-будто в автозагрузке стоит проверка на вирусы. Быстро так проверяет, что сразу настораживает, но это же не всем бросается в глаза. После, якобы, проверки в этом вражеском окне Internet Security появляется список из 53 «зараженных» файлов с указанием, какой именно вирус обнаружен. Под списком 3 кнопки: «Лечить», «Удалить», «Отправить в карантин». Что характерно, отказа от каких бы то ни было действий не предусмотрено. Нажимать можно на любую кнопку, можно и вообще не нажимать, все равно результат один и тот же — программа говорит, что она тут работала, пора бы и заплатить ей за работу отправкой СМС на номер 4460. Стоимость указана 10 рублей. Выглядит очень натурально, особенно для неискушенного пользователя. И, главное, это даже не как простое вымогательство представляется, а как оплата проделанной работы. Да, и цена не большая.

Ищу в Инете номер 4460 и узнаю, что стоимость отправки СМС на него, действительно 10, но не рублей, а баксов. Если ввести правильный код, то экран пропадает, но после перезагрузки он снова на прежнем месте. Код подбирается по тому же алгоритму, что уже описан раньше. Т.е. СМС отправлять НЕ нужно. На этот раз подошла шестая итерация. Кстати, при подборе кода удобнее каждый раз прибавлять «1» к предыдущему варианту, а не разные числа к одному — исходному.

Проблема в том, что загрузившись с компактдиска от DrWEB, мне не удалось победить этот вирус. DrWeb его не нашел. Вылечилось в этот раз очень просто. Зашел на ПК под другой (незараженной) учетной записью, скопировал из пораженного профиля Рабочий стол и Документы, удалил зараженный профиль и тут же зашел снова под учеткой, которая была испорчена. Проявлений вируса Internet Security уже не было. Осталось только восстановить из резервной копии Рабочий стол и Документы.

В очередной раз убедился, что нельзя для повседневной работы использовать учетную запись с правами администратора. Об этом я тоже уже писал.

2 комментария: Вирус Internet Security

  • Octopus говорит:

    Устаревшая у вас версия вируса :)

    Мне попалась такая, к которой у меня так и не получилось подобрать код. Два дня безрезультатно обшаривал интернет, но все предлагаемые способы сводились к перебору 9 вариантов, рассчитывающихся от текста для смс. Не подходило.

    Решение нашлось, заключалось оно в загрузке с компашки/флешки с ERD Commander’ом или аналогичной утилитой доступа к реестру. Из-под нее вычистил два ключа в реестре — и все, никаких следов вируса, полная работоспособность. Конечно же, потом я прошерстил комп всеми доступными антивирусами, что-то поудалялось.

    Итак, реестр:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр UserInit.
    Тут помимо «родного» userinit.exe, фигурировал некий sdra64.exe. Надо оставить только userinit.exe

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, параметр AppInit_DLLs
    Изначально этот параметр пустой. Однако там могут находиться не только вредные файлы, но и полезные :) Например, у меня там находится dll-ка RAdmin’а. На зараженной машине в этом парамтере присутсвует файл с длиннющим именем. его надо оттуда убрать.

    После махинаций с реестром перезагружайтесь — баннер вы больше не увидите :)

    Всем удачи!

  • Mad говорит:

    Octopus, большое спасибо за дополнение. Кладем в копилочку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *