Примерный
текст сообщения: «Windows заблокирован. Для
разблокировки необходимо отправить смс с текстом 4128800256 на номер 3649.
Попытка переустановить систему может привести к потере важной информации и
нарушениям работы компьютера».
В окне доступны текстовое поле Ввести полученный
код и кнопка Активация
Деструктивные
действия вируса
После
активации вирус извлекает из своего тела файл во временный каталог текущего
пользователя Windows –* %Temp%\ .tmp "win+r в открывшемся окне Выполнить вводим %Temp% подтверждаем oK" *C:\Users\user\AppData\Local\Temp\ "C-буква ОС,Users-каталог с именем вашего пользователя" ( – случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как
Trojan-Ransom.Win32.Agent.af.
После успешного сохранения файл запускается на выполнение, выполняя следующие
действия:
– для
автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение
строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;
– в
зависимости от текущей даты вирус отправляет http-запрос:
http://%3Crnd1%3E.com/regis***.php?guid={ }&wid= &u=&number=
install=1, где – url-ссылка, сформированная по специальному алгоритму в
зависимости от текущей даты, – специально сформированный уникальный
идентификатор, – случайное число, – серийный номер жесткого диска.
– после
перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на
указанный номер для разблокировки;
– при
разблокировании операционной системы Windows в рабочем каталоге вируса
создается файл командного интерпретатора под именем a.bat. В данный файл
записывается код для удаления оригинального файла вируса и самого файла
командного интерпретатора. Затем файл a.bat запускается на выполнение (кстати,
этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе
«харакири», то есть самоуничтожается, если в течение 2-х часов код
разблокировки не введен).
Как
разблокировать Windows:
AntiWinLockerLiveCD — один из называемых LiveCD, который поможет вам избавится от
вируса-вымогателя в автоматическом режиме. Встроенный AntiWinLockerLiveCD мастер обладает следующими возможностями:
§ автоматически разблокировать компьютер и загрузить операционную систему;
§ автоматически удалить баннер-информер;
§ автоматически исправить автозагрузку;
§ автоматически исправить загрузочную запись.
Запишите диск AntiWinLockerLiveCD, и Вы сможете самостоятельно, быстро и просто избавиться от вирусов-вымогателей.
Подобные вирусы также помещаются в электронные книги, работающие
через запускаемый .exe файл. Производителей подобного чуда известно пока
4 – Adrive, AdSubscribe, Cmedia и FieryAds. Лечится это дело следующим
способом – открываем папку C:\Documents and Settings\Имя
пользователя\Application Data. Вместо имени ползователя, естественно
должно быть имя вашей учетной записи Windows, ну и диск может быть не
обязательно С, а тот, на котором у вас установлена операционная система.
Стоит также учесть, что папка Application Data имеет атрибуты скрытый и
системный, поэтому для ее отображение необходимо включить показ
системных и скрытых файлов во вкладке «Сервис» – «Свойства папки» –
«Вид». Или же открыть эту папку через Total Commander.
Попав наконец-таки в папку Application Data, находим и удаляем папки
Adrive, AdSubscribe, Cmedia или FieryAds. Все, на этом процесс удаления
вируса завершен.
З.Ы. В ОС Vista папки Adrive, AdSubscribe, Cmedia и FieryAds стоит
искать по следующему пути – C:\Users\Имя пользователя\AppData\Roaming.
Как и в жизни бывает формы заболевания по различным сложностям.Если вирус проник глубоко в компьютер,что чаще бывает,когда блок баннера весит на весь экран,у каждого не уверенного пользователя в глубине души просыпается паника.Простой пример:не работает курсор, клавиатура не можете запустить "диспетчер задач", зайти в "реестр",а хуже всего "безопасный режим" напрочь отказывается запускаться.
Думаю достаточно запугал))),вся эта "шняга", нечто иное как творение умелых рук мошенников,которые хотят наживы.
•(1способ)Качаем программу-Malwarebytes’ Anti-Malware от сюда ПРОЩЕ ВАРИАНТА НЕТ.
Установите ,запускаете программу ,сканируете Ваш ПК.Рекламный Баннер уничтожен!
•(2способ) Работа с USB накопителя.Нет возможности видеть из-за Рекламного Баннера рабочий стол.
Smitfraudfix
– это бесплатная программа, которая удаляет рекламное и шпионское ПО
Если у вас изменилась домашняя
страница, выскакивают окна с рекламой, ссылки по которым вы кликаете в брайзере
ведут совсем не туда куда указывают, то вам необходимо попробовать эту программу.
Перед
использованием Smitfraudfix, распакуйте архив в специально созданный каталог.
Зайди в каталог и вы увидите следующие:
Режимы работы.
Запустите программу и вы увидите главное меню.
Для выбора
нужного вам режима, введите число которое соответствует этому режиму и нажмите
клавишу Enter.
Поиск
спайваре.
Выберите режим 1 – Search. После окончания сканирования, программа сохранит лог
в файле C:\rapport.txt
Удаление
спайваре.
Выберите режим 2 – Clean Загрузить ваш компьютер в защищенном
режиме (Safe Mode)
Программа спросит у вас о необходимости очистки реестра (Do you want to clean
the registry ?), нажмите Y и подтвердите свой выбор клавишей Enter. Этим вы
разрешите программе удалить из реестра все, что ассоциировано с найденным
спайваре.
Далее Smitfraudfix проверит инфицирование файла wininet.dll, если этот файл
заражен, то вам будет предложено заменить его (Replace infected file ?) на не
зараженный файл. Нажмите Y и подтвердите свой выбор клавишей Enter.
Для окончания очистки системы от заражения программа перезапустит ваш
компьютер.
Так же как и при сканировании все свои действия программа записывает в лог файл
– C:\rapport.txt
Восстановление
списка безопасных узлов.
Выберите режим 3 – Restore Trusted Zone. Программа спросит у вас подтверждение
(Restore Trusted Zone ?), нажмите Y и после этого клавишу Enter.