О вирусе баннере.

    Эту статью могут комментировать только участники сообщества.
    Вы можете вступить в сообщество одним кликом по кнопке справа.
    }{ack Moderator написалa
    2 оценок, 752 просмотра Обсудить (4)

    Сегодня я расскажу о одном вирусе-баннере, который вымогает деньги через СМС. В принципе методов лечения уже много, но до сих пор рассматривались вирусы, которые мало того, что вымогают деньги, так ещё и блокируют Windows. В этой статье пойдёт речь немного о другом вире.

    Началось всё с того, что одна девчёнка с параллельного класса попросила меня помочь её с компьютером. Объяснила всё так: «Уехал папа, мама разрешила полазить в инете, в результате – схватила вирус». Ну разобралась. Ёпть, надоели тупицы!

    Вот примерный вид этого баннера:
    http://s56.radikal.ru/i152/0911/95/0a381b2be16b.jpg

    Набросала на память (всё цвета, положение объектов сохранены). Пыталпсь найти картинку в Интернете нормальную, но безуспешно, а сделать скрин тямы не хватило.

    На пальцах объясняю, баннер при загрузке сразу же активируется. Не имеет кнопок «закрыть, свернуть», его невозможно сдвинуть. Занимает он добрую половину экрана, так что лицезреть диспетчер задач невозможно. Вот такая обстановка. В принципе если 10 минут посидеть за заражённым компом, можно самому во всём разобраться, я же облегчаю вам задачу.

    Вызываем CMD, выполняем команду tasklist. Видим, что в процессах висит don66.tmp. Уничтожаем его taskkill’ом. Но тут надо учесть одну деталь. В cmd показан только один процесс, на самом деле их два, с разными идентификаторами, причём завершить второй просто так не удастся. Выполняем команду taskkill /im don66.tmp /f

    Далее надо удалить из папки C:WINDOWSTemp 3 файла: don66.bin, don66.tmp и don66.* Расширение последнего я, хоть убейте, не помню. Но он находится рядом с bin- и tmp-файлом. Также вирь прописывает себя в реестр. Идём вот сюда:
    regedit > HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
    Удаляем из параметра Userinit строку «C:WINDOWSTempdon66.tmp». Перезагружаем комп. В принципе всё.

    Всем удачи! Фсё, не спрашивайте, мозх и так вынесен! Шо поняли, молоца! Шо нет, звиняйте, максимально просто объясняла. Отдзыньте!!!

    С ув. Алёна XZ.

    Комментировать

    осталось 1185 символов
    пользователи оставили 4 комментария , вы можете свернуть их
    Комментарий удален модератором Гайдпарка
    }{ack Moderator # ответила на комментарий Svyatoslav Lebedev 3 декабря 2011, 22:23
    Хм, Масяня фууу... Это со своего сайта принесла, там не сравнивали. Слава, я же эбанько, что от меня хочешь?)))
    }{ack Moderator # ответила на комментарий Svyatoslav Lebedev 4 декабря 2011, 05:34
    Лови друг уважаемый, чёто накарябала на Паскале. Вроде работает. Голосовые модули привлекла, шоб голос Масянин преобразовать. Капец, бошка лопается!((( Как вам удаётся? Завидую, вы учились.. Меня слабенькую, Анонимусы заметили! Во как!
    Иван Добрый # написал комментарий 4 декабря 2011, 11:59

    Следует добавить что все эти операции следует выполнять в безопасном режиме (ибо далеко не все баннеры разрешат запустить таскманагер или cmd, а иногда и в безопасном режиме сделать это проблематично без спец средств)
    а скриншоты можно поискать на страницах разблокировки баннеров - почти у каждого производителя антивирей есть такая утилита на сайте, например тут ссылка на www.drweb.com

    • Регистрация
    • Вход
    Ваш комментарий сохранен, но пока скрыт.
    Войдите или зарегистрируйтесь для того, чтобы Ваш комментарий стал видимым для всех.
    Код с картинки
    Я согласен
    Код с картинки
      Забыли пароль?
    ×

    Напоминание пароля

    Хотите зарегистрироваться?
    За сутки посетители оставили 564 записи в блогах и 6241 комментарий.
    Зарегистрировалось 25 новых макспаркеров. Теперь нас 5025077.