Итак, имеем смс баннер, который блокирует любые ваши действия, загрузка в безопасном режиме, так же ничего не дает и вам кажется, что кроме переустановки системы вам ничего не поможет, на самом деле это не так.
Вам понадобиться скачать (если у вас нету) Life CD- (не важно Windows XP у вас или Windows 7) и загрузиться с него + второй, рабочий компьютер/ ноутбук.
Life CD- операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск, позволяет быстро начать работу с компьютером, избегая длительного процесса установки ОС на жесткий диск. Запуск Live CD занимает обычно несколько минут и внешне ничем не отличается от установленной операционной системы, зачастую имеет встроенные приложения для работы с файлами.
Суть метода сводиться к следующему- загрузившись с Life CD, мы вручную исправим изменения в реестре, которые сделал вирус, и удалим его, таким образом без отправки СМС мы избавимся от смс вируса.
Итак, первым делом загружаемся с Life CD, более подробно как это сделать описано здесь. После того как загрузились с Life CD заходим в реестр, для этого нажимаем «Пуск- Выполнить» вписываем REGEDIT и нажимаете Enter, возможно в вашей версии Life CD есть программа для работы с реестром, можете запустить ее. Поскольку все изменения, которые мы будем вносить в открывшемся реестре- никак не коснуться зараженной машины, поскольку изменения будут производиться в реестре Life CD, нам это не подходит, нам необходимо подгрузить реестр зараженной машины и уже в ней исправить изменения, которые внес смс вирус. Для этого в Редакторе реестра нажимаем на HKEY_LOCAL_MACHINE, затем «Файл- Загрузить куст»,
Требуемый файл находиться по пути %systemroot%\system32\config или C:\Windows\System32\config файл software.
Вписываем имя раздела (в данном примере old1).
В результате в HKEY_LOCAL_MACHINE появится куст old1 (часть реестра зараженной машины).
Далее необходимо зайти HKEY_LOCAL_MACHINE\old1\Microsoft\Windows NT\CurrentVersion\Winlogon, открыть параметр Shell и исправить значение на Explorer.exe.
Указанный другой путь к файлу приведет вас к телу вируса, как можно увидеть в моем случае вирус находиться в папке Temp.
Исправьте так же параметра Userinit -правильное значение C:\Windows\system32\userinit.exe или %systemroot%\system32\userinit.exe. В моем случае было прописано следующее.
Исправил на...
По адресу: HKEY_LOCAL_MACHINE\old1\Microsoft\Windows\CurrentVersion\Run– удалите (если они там присутствуют) параметры загрузки вируса, в моем случае, там ничего не было.
Теперь необходимо экспортировать измененный куст, для этого нажимаем правой кнопкой на OLD1 и выбираем «Экспортировать» и сохраните файл на флешку (что бы в дальнейшем внести изменения в этом файле).
Теперь можно выбрать куст old1 и выгрузить его, для этого нажимаем на нем потом «Файл- Выгрузить куст».
Теперь необходимо внести изменения в сохранившийся файл, что бы не делать это вручную, необходимо открыть файл на другом (не зараженном компьютере) программой Notepad++ и заменить old1 на Software
После этого копируем наш файл обратно на заряженный компьютер и запускаем, двумя кликами мыши. Не забываем удалить файл вируса, который в моем случае находится в папке Temp.
Для предотвращения повторного самозаражения системы
– очистите кэш интернет-файлов
– при необходимости восстановите оригинальный hosts-файл
– просканируйте систему антивирусом со свежими базами.
Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:
Комментарии
Вот как раз я то и подцепил его нажав на крестик чтобы закрыть банер. Думаю все его так и цепляют. Изготовитель на то и рассчитывает. Мол увидел банер, и чтоб не мешал нажать нужно на крестик. А он тебе на здрасьте тутачки я
Я его первым подцепил, нажал на крестик, чтобы закрыть длинный баннер, и капец.Тогда он был не такой изощренный как сейчас. Я почесал репу, в раздумьях, и отправился в лабораторию Касперского, отправил им файл. Они мне ответили, что да, вирус новый нами не известный, ну и конечно предложили купить их антивирусник, мол только он поможет, руками ни как.
Окошко тогда было не очень большое. В общем вирус я удалил из автозагрузки, и где то не помню где нашел его и удалил.
Буквально через месяц приятель сталкнулся с таким же чудом. Я приехал, и увидел уже обновленную версию этого вируса. Его окно занимало уже весь рабочий стол. После танцев с бубном, победил его. И на долго про него забыл, пока не наткнулся на Вашу статью.
Да, прогресс на лицо, уже и в реестр запустили ручки шаловливые.
Боюсь это риторический вопрос... СМС вирус можно подцепить где угодно, например на сайте появилось окошко с какой то рекламой, вы нажали как вы думали на крестик, что бы закрыть его, но на самом деле вы скачали вирусный файл, который вносит изменения в реестр.