Получите свидетельство
ВходКак избавиться от SMS-вымогателей?
В последнее время актульна тема смс вымогателей. Написал небольшой мануал по обезвреживанию. Т.к. писал для хороших знакомых текст нескольно вольный, править лень, так что привожу без купюр.
В настоящее время резко участились случаи появления на компьютерах пользователей порноокон, блокирующих работу системы с просьбой отправить СМС для разблокировки компьютера, так назваемые смс вымогатели.
Как правило их цепляют в Интернете, и обычно устанавливают в систему своими кривыми руками, обычно при посещении какого либо сайта появляется окно с предложением установить, например проигрыватель для того, чтобы можно было просмотреть видеофайл.
Также часто предлагается обновить adobe flash player, т.к. ваша версия якобы устарела. Поддаваться на такие предложения нельзя, все ПО нужно устанавливать только с оф. сайтов.
Но большинство юзеров относятся к безопасности при работе в сети Интернет, как деревенская дурочка к триперу. Спохватываются только потом, когда вылезает порноокно, а в семье есть н/л дети.
Лечение достаточно простое (нужна вторая машина с подключением к Интернету):
1. Вводим в гугле запрос разблокировка смс касперский, переходим на сайт Касперского по адресу http://support.kaspersky.ru/viruses/deblocker
2. В нужные окна вводим короткий номер, на который просят отправить СМС и текст сообщения, жмем кнопочку Получить код разблокировки. Если не получилось разблокировать с первой попытки, повторяем её, у меня однажды получилось только с третьего раза.
3. После разблокировки пользователь (уже на своей разблокированной машине) должен понимать, что сам зловред не удален и окно рано или поздно вылезет снова, поэтому вводим в поисковике запрос curelt, переходим на сайт drWeb по ссылке http://www.freedrweb.com/cureit/ и качаем одноразовую лечащую антивирусную утилиту от drWeb, и проверяем компьютер, ищем нашего зловреда.
4. Душим жабу и покупаем лицензионный антивирус, причем не просто антивирус, а антивирус+сетевой экран, который будет нас защищать при работе в сети Интернет. У Касперского это KIS 2009, у других не знаю.
5. Помним, что никакой антивирус не спасет, если пользователь будет устанавливать всякую хрень и поддаваться на сомнительные предложения в Интернете.
--
C уважением А. Кулагин
Свои мнения, наблюдения и другую информацию по этому вопросу пишите в комментарии.
Получите комплекты видеоуроков + онлайн версии
Похожие записи
29927
Нравится
0
Если вы опытный пользователь:
1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.
Если вы неопытный пользователь:
1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.
Возможности программы:
• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-8 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
Всем спасибо за советы. и правда много интересных и нужных. но в последнее время изобретатели таких вирусов стараются на славу. если раньше мне удалось его удалить, то последний заблокировал комп наглухо и запуск в безопасном режиме ничего не дал.
к счастью, не пришлось переустанавливать винду. с загрузочного диска запускаешь поверху виртуальную ОС, и там уже можно совершать различные мнипуляции. лично мне помогло найти по времени все экзешники в C:Documents and Settings, которые в этот момент установились на компе и их удалить.
мозги создателей этих вирусов и в нужное бы русло! цены бы им не было!
Я не лазил по Касперским. Вся эта ГАДОСТЬ находится в скрытом разделе C:Documents and Settings Там три файла которые надо удалить и всё. Всё это загружается когда на сайте просят установить Flash плеер(вы скачиваете ихиний exeшник в который вшита это все). Просьба ко всем скачивайте только с официальных сайтов чтоб небыол проблем.
Спасибо за внимание.