Интернет развивается с неумолимой скоростью, появляется все больше и больше злобных хакеров, которые конечно тоже хотят кушать, но методы их крайне безобразны! Наверное, все уже сталкивались с баннером, который открывается на весь экран и выдает сообщение, мол, вы такой — сякой, качаете и распространяете порнуху, за это вам штраф! Оплатите немедленно (обычно дают до 24 часов) или же вся информация, в т.ч и Bios будут стерты. Если вылезло такое окно у вашего сына, брата, жены — не переживайте! Они не извращенцы. Порно — баннер можно подцепить где угодно, от безобидного автомобильного портала и до (как это не иронично) порно сайта. Кстати на нашем сайте вы такого не поймаете! =)
Что же делать? Можно, конечно же, переустановить Windows, можно отнести компьютер к мастерам и заплатить денежку, можно загрузится под виртуальной виндой или же под линуксом и проверить диск С на вирусню. Но лучшим вариантом будет самостоятельно разобраться в сей проблеме, что бы в будущем быть подкованным в этом вопросе.
К примеру, принесли мне ноутбук, а там красуется надпись следующего содержания:
Министерство внутренних дел Республики Казахстан.
Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Просмотр и распространения детского – ГЕЙ порно.
Для разблокировки Windows необходимо оплатить штраф в размере 15000тенге.
Далее идет инструкция на оплату штрафа, с указание номера кошелька – 77774193606.
Порядочный скрин у меня сделать не получилось, так что смотрите ролик:
В похожих случаях вам может помочь загрузочный диск Alkid Live CD
С него можно загрузиться, как под виртуальной операционной системой, найти в меню пуск – утилиты – редактор реестра и пройти по ветке:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Затем ПКМ открыть этот shell, и если в его значении вместо explorer.exe записана какая — то другая дребедень, то вас можно поздравить, вы нашли заразу! Там же увидите адрес, где она сидит. Сразу идете туда и удаляете ее оттуда.
Но в моем случае это не помогло, то ли Live CD не тот, то ли из-за того что я именно из нотика его выживал. (С ноутбуками постоянно, какая-то ерунда в этой сфере) Поэтому, решить проблему можно только при правильном подходе. При загрузке мы видим, что как меню «Пуск» так и диспетчер задач, работать категорически отказываются. Проблема с загрузкой. Следовательно, можно догадаться, а можно погуглить и выяснить, что злобный троян записал себя в следующие файлы:
Userinit.exe — является частью операционных систем Windows и отвечает за процесс загрузки системы.
Taskmgr.exe — стандартный диспетчер задач в Windows.
В общем, нам всего лишь нужно, найти эти файлы на другом компьютере с установленной XP или с Live CD можно выдрать. Файлы находятся в папке A386\System32. И заменить на инфицированные аналоги. Тем самым мы сможем все-таки запустить диспетчер задач при загрузке.
Для удобства выложил на deposit:
Userinit.exe
Taskmgr.exe
Что бы заменить файлы, грузимся под Alkid Live CD или аналогичной виртуалкой. Еще можно выполнить эти действия из под DOS-a (может быть остались еще такие люди, которые это умеют=))
Файлы ищутся на диске С и стандартным поиском находятся без проблем, особенно если в поиск прописывать название файла вместе с расширением.
Находим. Заменяем. Перезагружаемся.
Снова это порно – окно? Не переживайте! Жмите Ctrl+Alt+Delete или Ctrl +Shift+Esc
Если диспетчер задач мигает и пропадает, то зажимаете это сочетание клавиш и зажимаете шапку диспетчера мышкой. Теперь не пропадет. Там жмете – «Новая задача» и вписываете функцию «regedit» т.е редактор реестра. И уже там проходите по вышеупомянутой ветке:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Затем ПКМ открываете shell, и если в его значении вместо explorer.exe записана какая — то другая дребедень, то вас можно по-настоящему поздравить, вы нашли заразу! Там же адрес, где она сидит. Сразу идете туда и удаляете. Но как открыть мой компьютер? – Спросите вы. А очень просто. Снова жмете «Новая задача» в Диспетчере устройств, и в поле вписываете «Explorer.exe» открывается привычное для глаза окно, в котором вы можете спокойно перемещаться по компьютеру. Так же желательно проверить компьютер каким нибудь лаучером, Dr Web например. Запустите с флешки и проверьте компьютер на наличие скрытых копий вируса, если что то подобное есть, он обязательно найдет и обезвредит.
Хотел вирус на память сохранить, но злобный Nod 32, удалил его немедленно после перезагрузки системы
После этого смело перезагружаетесь. PC включится без проблем.
P.S Таких вирусов — вымогателей в интернете огромное множество, не вздумайте нести деньги, никто вам не даст гарантии, что вы потом сможете его разблокировать. И Windows сломя голову переустанавливать не нужно. В основном, все вирусы такого рода, уничтожаются вышеописанным способом. Помимо Shell, вирус может записаться и в:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В общем смотрите загрузочный разделы реестра.
Антивирусные компании занимаются этой проблемой. К примеру пройдя по ссылке, вы попадете на сайт Dr. Web, где можно попробовать подобрать код активации по картинке или номеру телефона/кошелька мошенника.
P.P.S Если вы знаете, какие — то другие способы лечения данного вируса, пишите в комментариях, все обсудим, обмозгуем.
P.P.P.S Если статья вам показалась полезной, просьба расшарить ее по социальным сетям, нажав на кнопочки, которые вы видите чуть ниже.
Источник: iPort