Боротьба з вірусами: Програми з банерами, що вимагають СМС і заважають працювати. - Мастеркласс... - Статі

Боротьба з вірусами: Програми з банерами, що вимагають СМС і заважають працювати.

Сьогодні до мене звернувся знайомий із цією проблемою, як виявилось ці трояни (у антивірусних базах Trojan.Winlock, Trojan.Winlock.origin, Trojan.encoder) надзвичайно розповсюджені, а порно на весь екран не завжди приносить задоволення. Ця різновидність нав'язливої реклами викидала червоний банер із порно картинками рекламуючий сайтy yesporno, вимагала відправити СМС на номер 9099 для розблокування. При спробі закрити запускався таймер на 60 секунд, вікно закривалось на 10 секунд а потім знову відкривалось...

перейдемо до суті проблеми й її вирішення:
По перше, безплатний сир тільки в мишоловці, тому якщо вам пропонують на халяву програму для перехоплення чужих СМС, поповнення мобільного рахунку, чи читання чужої пошти, швидше за все ви одержите те саме, що мій знайомий...
По друге, "броня крепка, и танки наши быстры ...” завжди оновлюйте анте вірусне ПО, так в знайомого стояв NOD32 з базами яким майже рік і не бачив цього віруса, а на моєму ПК він же але з останніми оновленнями і розпізнавав цей файл як "модифицированный Win32/Injector.AQT троянская программа” Крім того бажано встановити файлвол для обмеження мережевої активності програм і дуже рекомендую встановити альтернативний менеджер завдань http://letitbit.net/download/6466.ca6aa171310357ffcca3998b9/anvir.zip.html від дозволяє бачити які програми запущені на комп'ютері, які добавлені у авто запуск і дуже багато всього іншого. Головне, він попереджує якщо підозріла програма хоче інсталювати і добавити себе в авто запуск.
І по трете, якщо ви читаєте це то ви вже швидше всього уже наступили на ці граблі, не буду зловтішатись і розкажу як ратуватись.
Ми не ведем переговорів із терористами, на одному з форумів, російський користувач жалівся, що СМС переписка йому обійшлась в 400 російських рублів. І без результату.
Тому перша спроба підібрати код на сайтах антивірусних програм. Йдемо з здорового комп'ютера за адресами http://news.drweb.com/show/?i=304&c=5 і http://support.kaspersky.ru/viruses/deblocker там є підбір ключів, пробуємо знайти схоже фото й підібрати ключ.
Спроба друга: качаємо антивіруси з новими базами http://www.freedrweb.com/cureit/ або http://support.kaspersky.ru/downloads/utils/avz4.zip або як є можливість зняти вінчестер і поставити на ПК де є нормальний антивірус і скануємо диск на віруси. Є дуже багато нових модифікацій, і тому можливо ваша зараза туди ще не потрапила.
Спроба третя: (саме вона мені й допомогла) Запускаємо менеджер завдань(в стандартному знайти тяжко з якого файла запущена програма, я використовував http://letitbit.net/download/6466.ca6aa171310357ffcca3998b9/anvir.zip.html) переходим на вкладку "процеси” і шукаємо підозрілі процеси (у моєму випадку це було synsqr.exe – два процеси запущені із одного файла в директорії C:\WINDOWS\Temp\ ) коли я вбив процеси то вікно з банером пропало

Увага, якщо є декілька процесів з однаковою назвою, їх потрібно знищувати одночасно, й не бійтесь стріляти по своїх, найгірше що станеться- пере завантажиться комп'ютер. Якщо ви знайшли видних, переходити у вкладку "автозагрузка” й виключаєте автозавантаження цієї програми.