Сьогодні я розповім про один вірус-банері, який вимагає гроші через СМС. В принципі методів лікування вже багато, але до сих пір розглядалися віруси, які мало того, що вимагають гроші, так ще й блокують Windows. У цій статті піде мова трохи про інше вирі.
Почалося все з того, що одна девченка з паралельного класу попросила мене допомогти її з комп'ютером. Пояснила все так: «Поїхав тато, мама дозволила полазити в інеті, в результаті - схопила вірус». Ну я прийшов, подивився, розібрався.
Ось приблизний вигляд цього банера:
Накидав на пам'ять (все кольору, положення об'єктів збережені). Намагався знайти картинку в Інтернеті нормальну, але безуспішно, а зробити скрін тями не вистачило.
Сьогодні я розповім про один вірус-банері, який вимагає гроші через СМС. В принципі методів лікування вже багато, але до сих пір розглядалися віруси, які мало того, що вимагають гроші, так ще й блокують Windows. У цій статті піде мова трохи про інше вирі.
Почалося все з того, що одна девченка з паралельного класу попросила мене допомогти її з комп'ютером. Пояснила все так: «Поїхав тато, мама дозволила полазити в інеті, в результаті - схопила вірус». Ну я прийшов, подивився, розібрався.
Ось приблизний вигляд цього банера:
Накидав на пам'ять (все кольору, положення об'єктів збережені). Намагався знайти картинку в Інтернеті нормальну, але безуспішно, а зробити скрін тями не вистачило.
На пальцях пояснюю, банер при завантаженні відразу ж активується. Не має кнопок «закрити, згорнути», його неможливо зрушити. Займає він добру половину екрану, так що побачити диспетчер задач неможливо. Ось така обстановка. В принципі якщо 10 хвилин посидіти за зараженим комп'ютером, можна самому в усьому розібратися, я ж полегшую вам задачу.
Викликаємо CMD, виконуємо команду tasklist. Бачимо, що в процесах висить don66.tmp. Знищуємо його taskkill'ом. Але тут треба врахувати одну деталь. У cmd показаний тільки один процес, насправді їх два, з різними ідентифікаторами, причому завершити другий просто так не вдасться. Виконуємо команду taskkill / im don66.tmp / f
Далі треба видалити з папки C: WINDOWSTemp 3 файлу: don66.bin, don66.tmp і don66. * Розширення останнього я, хоч убийте, не пам'ятаю. Але він знаходиться поруч з bin- і tmp-файлом. Також вірь прописує себе в реєстр. Йдемо ось сюди:
regedit> HKLM / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Winlogon
Видаляємо з параметра Userinit рядок «C: WINDOWSTempdon66.tmp». Перезавантажуємо комп. В принципі все.