Як шахраї вимагають гроші за допомогою троянів і вірусів
Продовжуємо тему шкідливих програм. які блокують комп'ютер
Правда епідемія цього сімейства вже різко спала, навіть по той ТБ показували, що нібито зловили цю організовану групу престуніков, які створили такий прибутковий бізнес.
Але святе місце порожнім не буває. Тому з великою впевненістю можна стверджувати, що на місце спійманих злочинців обов'язково прийдуть інші, які теж не проти заробити грошей на цьому терені.
Як ви знаєте, в інтернеті зараз спостерігається небувала активність вірусів. Так, з'явився троян, який повністю блокує роботу комп'ютера і вимагає відправити платне СМС повідомлення - нібито для розблокування вашого комп'ютера.
Ось що говорять з цього приводу представники компанії Dr.Web: «Компанія« Доктор Веб »попереджає про те, що епідемія троянців сімейства Trojan.Winlock набирає обертів.
У зв'язку з цим Dr.Web запустило новий проект по боротьбі з цією заразою, де об'єднала і буде об'єднувати всі відомі їй методи боротьби з нею.
Троян заблокував Windows і вимагає відправити SMS? Не треба платити злочинцеві! Тим більше, що відправка грошей все одно не допоможе :-)
Також, є інший сервіс деактивації здирників-блокерів:
"Лабораторія Касперського" і портал VirusInfo представляють безкоштовний сервіс для боротьби з програмами, що блокують комп'ютер і пропонують відправити платну СМС на певний номер.
Для отримання коду розблокування вам необхідно вказати:
2. текст повідомлення, яке вимагають відправити на цей номер.
Способи видалення троянів
Якщо ці способи не допомогли, то розглянемо наступний спосіб видалення троянів.
Розглянемо метод котрий я б назвав «технічним».
(Запускається Пуск => виконати => ввести Regedit.exe), і при неправильному поводженні з ним можна запросто «вбити» пацієнта.
Для початку необхідно зняти блокування (якщо вона є), поставлену фальшивий антивірус на доступ до «диспетчеру задач» і до реєстру Windows. Рекомендую скористатися двома безкоштовними програмами.
1. SP-Task-Manager-Unlock - розблокування диспетчера задач
Після вдалої розблокування необхідно за допомогою диспетчера задач подивитися список запущених процесів.
Я для цієї мети використовую, на мій погляд, більш зручну, функціональну і безкоштовну програму: a-squared HiJackFree.
Завантажити її можна з офіційного сайту:
Всі підозрілі процеси, запущені від імені користувача необхідно прибити.
Після цього запускаємо Regedit і дивимося такі гілки реєстру:
1. HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Safer \ CodeIdentifiers \ 0 \ Paths (видаляємо все крім значення default).
2. HKLM \ SOFTWARE \ TrendMicro \ HijackThis \ Ignore1 зі значенням
«O2 - AppInit_DLLs: C: \ windows \ system32 \ wdl.tmp: XVgf» (Видаляємо цілком).
3.HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \
CurrentVersion \ Windows (видаляємо значення в ключі AppInit_DLLs)
Після всього цього перезавантажуємо комп'ютер.
Якщо зазначений вище проект від Dr.Web, а також способи позбавлення від цієї зарази з якихось причин вам не підійшли, то можна спробувати використовувати, як я їх називаю, «поради з инета» або «з миру по нитці» тобто поради людей в Інтернеті, які успішно впоралися з цією заразою.
Ось найпопулярніші з них:
1. Якщо у кого варто в якості браузера Mozilla Firefox то спробувати позбутися від напасті можна так: Заходите в панель інструменти => доповнення => розширення. Знаходьте там «інформер» і видаляєте ...
2. З експлоера плагін відключати так: Сервіс - Надбудови - Включення і відключення надбудов ... там знаходите свій плагін (типу LexlibVideoPluginClass іменований файлом pllib.dll ну або якийсь із .dll) і відключаєте його! Тепер перезапускаєте інет і. вуаля! Все в порядку )))
3. Для тих у кого пише що він «ніби» встановив програму CMEDIA і повинен чекати поки все 978 запусків пройдуть або заплатити через смс план дій такий: заходимо C: \ Documents and Settings \ user \ Application Data \ CMedia \ знаходимо файл CMedia. dat і переіменновиаем його, наприклад в CMedia.gad і видаляйте все.
4. Ще одна порада для користувачів IE: незалежно від версії Win все робиться простіше: засобами оглядача. Наприклад в IE-8. Натискаємо на панелі «Сервіс», в підміню натискаємо «Інструментарій розробника програмного забезпечення (F12)» У вікні на панелі натискаємо «видалити», в підменю ставимо галочку «сценарій».
5. У Opera сам скрипт, який запускає інформер, перебувати в С: \ Documents and Settings \ USER \ Application Data \ Opera \ Opera \ scripts \ (де USER це профіль того користувача, під яким запускався браузер перед зараженням). У цій таткові знаходиться скриптик, що запускає гидоту. У моєму випадку він називався також feeder.js.
Його видаляєш і працювати ця «фіча» перестає. Але не треба забувати, що є ще й DLL під цю справу. Вона у мене сиділа в С: \ SysFiles \ і називалася aoX_0UtNAHR0Z55aDeEL1.dll. Її тож треба сміливо видалити. Всі ідеї з приводу DLL в widows32 вчорашній день походу. Відновлення системи тож в даному випадку не допоможе.
6. При завантаженні комп'ютера зайдіть в Bios (натиснувши кнопку DEL) і переведіть час на кілька годин (або днів) вперед або назад до появи фальшивий антивірус.
7. Часто файл шкідник розташовується тут: C: \ Program Files \ і називається plugin.exe. Відразу видалити не вийде, так як процес задіяний і банально віддалиться не захоче! Перейменуйте його і перезавантажте комп. Банер більше не з'явиться.
А ось тепер сміливо видаляйте його до біса собачим і всі справи.
Він також прописується в цій гілці реєстру:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
Run \ plugin Видаліть його там і, як то кажуть, буде вам щастя!
Ось такі основні рекомендації по боротьбі були викладені в рунеті.
Однак, не варто забувати, що після розблокування комп'ютера, шкідливі програми продовжують залишатися в системі. Тому після відключення банера необхідно завантажити останню версію антивіруса + оновити антивірусні бази + повна перевірка системи.
Безкоштовні антивіруси
Що можна порекомендувати з безкоштовних антивірусів:
1. Avast! 4 Home Edition (без безкоштовної реєстрації працює 59 днів). Завантажити його можна на офіційному сайті заповнивши форму):
А безкоштовно зареєструвати тут:
При всьому при цьому у Dr Web Curelt є перевага перед АВАСТ - більш велика антивірусна база.
Так що кожен може вибирати сам.
Після перевірки антивірусом необхідно перевірити файл «hosts» на наявність змін. Він за замовчуванням розташовується в С: \ Windows \ system32 \ drivers \ etc \
Як видалити троян
І наостанок, ще одні спосіб видалення трояна
Якщо попередні способи видалення троянів не допомогли, то можна спробувати ще один метод як видалити троян з комп'ютера.
Поcледовательность дій в цьому випадку така:
1. На «злокартінке-заставці», яка не прибирається з робочого столу, вибираємо свою країну і свого оператора для відправки СМС. Отримуємо короткий чотиризначний номер.
2. Дзвонимо в службу підтримки свого оператора, описуємо ситуацію і просимо дати контактну інформацію про господаря номера.
Не факт, звичайно, що дана схема спрацює. Але шанс є.
Однак і після цього перевіритися на віруси все ж не завадить!
У статті були використані матеріали з сайту www.serebryanij-shit.ru