|
Вышел новый вирус- блокиратор Windows где грозно написано МВС України и баннер следующего содержания:
"Microsoft Secutity Essential виявив перегляд
матеріалів, що містять елементи педофілії та насильства над дітьми. Такі дії є
порушенням ліцензії і тягнуть за собою відмову в обслуговуванні, а також
адміністративну ( на підставі ст. 145 КУпАП) і кримінальну відповідальність в
порядку ст. 303 КПК України. Для розблокування Вам необхідно протягом 12 годин
сплатити адміністративний штраф у розмірі 255 гривень на гаманець Qiwi +38o97o821725.
Оплату Ви можете здійснити у будь-якому терміналі QIWI по всій території
України в меню електронні гроші, після чого на чеку буде надрукований 16-ти
значний код розблокування, який Вам необхідно ввести нижче.
У разі відмови від сплати штрафу або спробі перевстановити ОС – на
підставі ч. 2 ст. 41 КАС України та приписів до ст. 301 КПК України – матеріали
справи будуть передані в прокуратуру для прийняття рішення стосовно порушення
кримінальної справи за фактом скоєння злочину передбаченого ст. 303 КПК
України. А всі данні на Вашому ПК, в тому числі BIOS будуть неминуче знищені!”
Что делать? (И кто виноват?) Делать следующее. Как показывает практика Live CD от Доктор Веб пока не справляются с задачей (по состоянию на июль 2012 г.), но просканировать этим средством компьютер лишним не будет, почти всегда что-то да находит.
Поэтому нужно копаться в реестре Виндовс и заразу удалять вручную. Значит так. Берем диск ERD Commander (скачиваем образ с интернета и записываем на CD). Далее загружаемся с этого диска и делаем такие процедуры: Заходим в редактор реестра Start > Administrative tools > Registry Editor и чистим реестр. Для Windows XP
Проверяем значение параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\shell #должен быть explorer.exe В
параметре Userinit должен быть именно userinit.exe по пути
c:\Windows\system32\userinit.exe
Не забудте проверить его наличие в папке c:\Windows\system32 и если вирус его
случайно:) удалил, то его необходимо туда скопировать. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit # i:\system32\userinit.exe Достаем
лист бумаги и ручку, записываем все пути по которым расположен вирус, для
последующего удаления.
Обязательно проверяем этот ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\ParseAutoexec # он должен быть равен 1
Появился ещё один вид троянов которые прописываются в эту ветку реестра, для
очистки ветку в реестре необходтмо удалить. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\userinit.exe Иногда
баннер прописывается в таком ключе реестра, значение этого ключа по умолчанию
пустое либо там сидит антивирус. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs # должно быть пусто
Далее нужно проверить ключи реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ, в них
не должно быть ничего подозрительного: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
И автозапуск сервисов Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если после удаления вируса диспетчер задач оказывается:)
блокирован администратором, необходимо открыть этот ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
# и удалить DisableTaskMgr
В Windows 7 немного по другому.
Параметр
Shell представляет собой строку с именем программы, которая будет
использоваться в качестве оболочки при входе пользователя в систему. Обычно в
разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU)
параметр Shell отсутствует и используется значение из раздела реестра для всех
пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM) Для внесения
изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных
привилегий, поэтому вирусные программы, как правило модифицируют параметры
раздела реестра текущего пользователя (HKCU). Поэтому вирус чаще всего
добавляется в именно в этот раздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon # параметр shell
И если
добавленный строковый параметр Shell принимает например значение
"cmd.exe", то при следующем входе текущего пользователя в систему
вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка
cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно
командной строки, ну вобщем почти, как в Linux:) Поэтому, если Вы обнаружите в
данном разделе реестра параметр shell, то можете смело его удалять, например в
коммандной строке:
REG delete
"HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
И если это произошло, а в последний раз у меня было именно так,
то необходимо еще и удалить куст HKEY_CURRENT_USER\SYSTEM
# не путать с HKEY_LOCAL_MACHINE Будте внимательны, иначе Windows
больше не запустится!
После лечения может возникнуть такая ошибка: C:\DOCUME~1\9335~1\5D29~\4A66~1\60C2~1\igfxtray.ex e
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0743 IP:0231 OP:63 6b 67 72 6f
файл igfxtray.exe находится по адресу: "C:\Documents and Settings:\Администратор:\Главное меню:\Программы:\Автозагрузка В данном случае файл с именем igfxtray.exe есть причиной ошибки. Загружаемся с того же ERD Commander`а и удаляем файл "igfxtray.exe" вручную. Также в редакторе реестра удаляем все ссылки на этот файл.
После всех процедур компьютер должен запуститься. После запуска установите, а если установлена то обновите антивирусную программу и просканируйте жесткие диски компьютера.
| 
