Новости
Принесли пів-години назад домашній ноутбук з вірусом, який просить відправити СМС, щоб нібито активувати копію якогось Internet Security. Так і пише великими літерами:
Увага! Internet Security виявив шкідливі програми на вашому комп'ютері. , А трохи нижче:
Ви не зареєстрували вашу копію Internet Security
Далі всяку нісенітницю про ліцензію і пропозиція: Надішліть СМС з кодом K204114200 на номер 7373.
Ось він "красень" (скинув нарешті фотку з комунікатора):
Такий мені ще не попадався, так що буду дивитися чи можна від нього вилікувати комп'ютер, так як заново систему дуже не хочеться, хоча це і швидше буде :) Якщо, що з'ясую - відпишуся.
Поки, завантажившись за допомогою диска з WinPE , Перевіряю ноутбук останнім CureIT . Знайшовся троян, який носить назву Trojan.Winlock.715. Якщо врахувати, що на сайті DrWeb останній старший номер подібного вірусу - 592, то напевно і правда вірус "свіженький".
Щоб перевірка пройшла швидше рекомендую видаляти файли з каталогів:
1
2
3
4
C: \ Documents and Settings \ Ім'я профілю \ Local Settings \ Temp
C: \ documents and settings \ Ім'я профілю \ Local Settings \ Temporary Internet Files \ Content.IE5
(Крім index.dat - в ньому зберігається історія відвідувань для IE)
C: \ Windows \ Temp
Додано 18:28
Тільки, що закінчив перевірку. CureIT знайшов кілька десятків вірусів. Завантажив Windows на ноутбуці. Поки повідомлення не виникає. Запустив ще раз CureIT (до цього CureIT в системі не запускався, як і інші додатки). Завтра буду тестувати далі.
Поки попередньо можу сказати, що необхідно вставити флешку, на якій буде останній CureIT , В ноутбук, завантажитися з завантажувального диска з Windows (WinPE, BartPE). Видаляйте всі тимчасові файли (посилання вище) і запускайте перевірку диска. Я використовую свій завантажувальний диск WinPE з 2005-го року і він ще жодного разу мене не підводив. Тобто він хоч і не новий, але зате 100% -во робочий. Тому виклав його для скачування і рекомендую скачати і записати собі його на майбутнє. Такий диск в майбутньому вам дуже допоможе (якщо у вас Windows XP, для Vista, Seven не використав), якщо знову раптом трапиться біда. Завантажуючись з такого диска ви не даєте вірусам активуватися і антивірус зможе його без проблем видалити.
Додано 12.01.2010
За ніч нічого не змінилося - вірус не виявлений, програми запускаються і працюють. Крім антивіруса. Як його розблокувати написав ТУТ . Так, що поки все добре. Буду перевіряти далі. Слідкуйте за розвитком подій :)
Не знаю наслідки цього вірусу або іншого (як я писав там цілий розсадник був), але були недоступні засоби редагування реєстру і не запускався диспетчер задач. Виправляється це просто. Якщо у вас Windows XP Professional, то досить набрати в Пуск -> Виконати команду gpedit.msc. Далі у відкритому вікні йдемо по меню: Політика «Локальний комп'ютер» -> Конфігурація користувача -> Адміністративні шаблони -> Система. Вибравши останнє (Система), в правій частині шукаємо Зробити недоступними засоби редагування реєстру, робимо подвійне клацання, вибираємо пункт "Відключено" і натискаємо Ок. Після цього вже починає запускатися regedit. У цьому ж вікні групової політики відразу відключив і автозапуск з носіїв - Відключити автозапуск. Встановити це властивість у Включений і вибрати "на всіх дисководах".
Далі запустив regedit знайшов пункт HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System, в ньому був параметр DisableTaskMgr. Необхідно або видалити його або встановити в нуль. Після цього буде запускатися і диспетчер задач.
Якщо у вас Windows XP Home, то gpedit.msc у вас не буде і треба скористатися стороннім засобом редагування реєстру або вручну як написано тут .
У двох словах, щоб включити редагування реєстру потрібно виконати команду:
reg add "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v DisableRegistryTools / t REG_DWORD / d 0 / f
Щоб включити диспетчер задач потрібно виконати команду:
reg add "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v DisableTaskMgr / t REG_DWORD / d 0 / f
Пройшовся утилітою AVZ - теж чисто.
Ну от і все. Працездатність операційної системи Windows XP на ноутбуці - повністю відновлена. Довелося ще трохи почистити реєстр. Спочатку утилітою CCleaner, а потім руками, так як, наприклад, параметр UserInit гілки HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, програма чомусь пропустила. У мене там був дописаний виконуваний файл C: \ Windows \ system32 \ sdra64.exe, який є вірусом. Видалив руками запис C: \ Windows \ system32 \ sdra64.exe з параметра UserInit. Необхідно було зробити подвійне клацання по параметру UserInit, і у вікні, редагування параметра видалити запис про вірус так щоб залишився такий: C: \ WINDOWS \ system32 \ userinit.exe,.
Так як залишилися скріншоти знайдених вірусів, то можна було б подивитися чи не залишилося чогось зайвого в реєстрі, але часу немає, та й ноутбук пора повертати. Увечері постараюся викласти тут імена файлів які знайшов CureIT і каталоги в яких вони розміщувалися.
Всім дякую за увагу. Якщо будуть питання - задавайте. По можливості - буду відповідати.
Як і обіцяв - ФАЙЛИ які були визначені як новий вірус.
На додаток до вище написаного виклав відео-ролик як видалити вірус за допомогою диска WinPE і CureIT.
Також рекомендую до прочитання як записати диск iso і як зробити образ операційної системи , Щоб можна було швидко її відновити в разі порушення працездатності.
Рекомендую також прочитати статтю (відео інструкцію) про те як створити завантажувальний флешку на основі диска WinPE. Виручає коли немає CD-приводу (наприклад в нетбуці).
Додано 20.01.2010
Виклав відео інструкцію як відновити реєстр Windows XP за допомогою диска WinPE. Після відновлення реєстру вірус не потрібно активувати і повинен працювати запуск всіх програм. Після цього обов'язкова чистка тимчасових каталогів і перевірка системи антивірусом.
Тим, чия система не заражена рекомендую прочитати Зберігаємо копію реєстру Windows XP .