Если вам знакомо это изображение, то вы знаете, о чем пойдет речь.
Это новый вымогатель. Программа активируется и блокирует экран компьютера, занимая почти всю площадь рабочего стола. Убрать ее стандартными средствами невозможно, диспетчер задач и редактор реестра заблокированы, антивирусы молчат. За прошедшие два дня накопился довольно богатый опыт по устранению этой заразы, методы такие:
- Отправить SMS и получить код разблокировки, говорят, программа ликвидируется полностью. Однако в сети есть отзывы о том, что это не помогает.
- Можно обратиться непосредственно в фирму, которой принадлежит указанный в сообщении мобильный номер: страница поддержки, там вам бесплатно сообщат код разблокировки.
- Переустановить систему с нуля (режим обновления не удастся!) или восстановить систему из резервного образа.
- Если вам удастся загрузиться и запустить утилиту AVZ (в безопасном режиме или под другим пользователем), попробуйте сделать, как описано по этой ссылке.
Нужно заметить, что попытки сканирования и лечения различными утилитами (Dr.Web CureIt, утилита Лаборатории Касперского, SpyBot, Malware Bytes, Hijack, AVZ) ни в одном случае к успеху не привели, многие антивирусы вообще не распознают программу как вирус, а обнаруживают только ее следы, соответственно “лечение” не приводит к успеху.
Откуда она берется тоже не совсем ясно, в одном случае очень большое подозрение было на подставное обновление флеш-плеера для броузера – был закачан и установлен плагин с неофициального сайта.
Полечил у 3-х человек.
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ).
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
От себя добавлю обновиться до последней антивирусной базы, по DHCP получить IP шлюз, DNS. Если нет в сети DHCP то придется ручками прописывать IP DNS gateway.
1) ifconfig eth0 192.168.3.3
2) echo ‘nameserver 192.168.3.1’ >> /etc//resolv.conf
3) route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.3.1
Самое грустное если LiveCD не определит вашу сетевую карту.
Я решил проблему несколько иначе и сел создать об этом тему, но уважаемый Лео меня немного опередил ;)
Удалить банер с єкрана можно довольно просто.
Достаточно загрузиться с LiveCD
в папке %SystemRoot%\system32 найти dll-файлы с датой, аналогичной %SystemRoot%\system32\winlogon.exe и атрибутом «скрытый». Они одинакового размера (в районе 130 кб) и идентичны по содержанию. Названия — случайный набор символов. И еще один файл %SystemRoot%\system32\sdra64.exe.
Также вычищаем все временные каталоги винды и браузеров.
Собственно всё… Банера не будет, а все ехе-файлы будут запускаться.
А дальше пробегаемся AVZ или CureIt, восстанавливаем возможность запуска редактора реестра и прочее (на нашем сайте есть инструкции как это делать).