вдруг кто еще не знает как бороться с порнобанером "отправь смс на номер ..."
мой вариант, мой опыт
источник "заразы": .exe файл, сидит где-нибудь на видном месте - у меня сидел в Program Files
источник "заразы": .exe файл, сидит где-нибудь на видном месте - у меня сидел в Program Files
другие потерпевшие утверждают, что может быть и в Windows\system32 и с расширениями .js .pe1
запускается ключом реестра, одним из:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе пользователя в систему (для текущего пользователя). Windows 98, 2000, XР
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Windows 98, 2000, XР
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы. Windows 98, 2000, XР
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого параметры программ автоматически удаляются из данного раздела. Этот раздел отвечает за запуск программ для всех пользователей системы. Windows 98, 2000, XР
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx - программы, которые запускаются только один раз, при загрузке системы. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы. Windows 98, 2000, XР
запускается ключом реестра, одним из:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе пользователя в систему (для текущего пользователя). Windows 98, 2000, XР
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Windows 98, 2000, XР
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы. Windows 98, 2000, XР
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого параметры программ автоматически удаляются из данного раздела. Этот раздел отвечает за запуск программ для всех пользователей системы. Windows 98, 2000, XР
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx - программы, которые запускаются только один раз, при загрузке системы. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы. Windows 98, 2000, XР
по значениям ключей
ищем эти "сортиры" и там мочим "террористов". на всяк-случ перед этим сохраняем резервные копии веток - а то вдруг по неопытности что-то не то замочим. то есть правой кнопкой по названию раздела и "экспорт". обзываем фай так чтоб самому понятно было и сохраняем. если что-то не так пошло - либо потом руками перепишем, либо два клика по файлу и раздел восстановится.
что искать?
по значениям ключей пытаемся догадаться что именно запускается
например
"C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
это для виртуальных дисков, тот самый Демон Тулс, чтоб игрушки запускать - это наш человек, его не трогаем ))
тоисть внимательно смотрим на значения ключей и пытаемся вспомнит что за програмка такая у меня есть ))
кстати - C:\WINDOWS\system32\ctfmon.exe тоже наш человек!
удалять ключь не обязательно, можно переименовать, добавив низкую черту в конце - за одно и понятно самому - что я тут лечил
как происходит заражение?
если что-то непонятное начало делаться - например ни с того ни с сего просится обновиться флеш, или какой-то файл пытается сохраниться, а мы не заказывали - это оно!
НИ В КОЕМ СЛУЧАЕ не кликаем НИКУДА, тоесть не то что НЕТ, даже закрывать окно нерекомендую (лично я)
сразу лезем в процессы (вызываем диспетчер задач) и убиваем все подозрительные. не боимся повредить системе - важное она не даст убить, а остальное вернется после перезапуска.
Некоторые процессы после их удаления инициируют перезапуск системы. появляется окошко с обратным отсчетом до перезапуска. чтобы быстро отменить это можно создать пакетный файл типа 111.cmd с одной строкой внутри вида
shutdown -a
и сохранить его на видном месте. два клика по такому файлику прервет перезагрузку
в процессе "отстрела" процессов вышеоговоренное окошко (про флеш обновить или файл сохранить) исчезло! уррра!!! идем в перезагрузку
перед перезапуском системы зачищаем ветки RunOnce, точнее проверяем, так, на вякий случай
*********************************
если все-таки подхватил - regedit и зачистка реестра
если банер закрывает окошко программы - вызываем regedit (пуск\выполнить\regedit), делаем правый клик по кнопке regedit в панельке задач, выбираем "переместить", и СТРЕЛКАМИ! выдвигаем окошко в зону видимости. дальше - дело техники.
в худшем случае - LiveCD с ERD Commander и тож правим реестр (вообще LiveCD с ERD желательно иметь, так, на всяк-случ)
после перезапуска - убиваем файл по адресу, ранее найденному в вышеозначенных ключах
можно так же попробовать через msconfig, закладка - автозагрузка, ищем там что-то "не родное" и снимаем галки.
Хорошо помогает погуглить (или яндекс - кому что нравится) с указанием текста смс и номера отправки - скорее всего это уже кто-то ловил и знает как побороть
есть еше вариант, вот тут - http://forum.rl6.ru/topic.php?forum=11&topic=9
а еще можно попробовать ввести то, что оно просит. вот ссылка - http://virusinfo.info/deblocker/
только уметь бороть такие вещи руками - предпочтительнее, ибо заодно можно чему-то научиться ;)
читайте и действуйте
удачи пострадавшим ))