Имеем Windows XP SP1 Rus. После загрузки открывается традиционное для данной категории торянов окно с сообщением о нарушении лицензионного соглашения и предложением отправить смс с текстом "k705813900" на номер 4460.
Никакие приложения при этом не запускаются. На DrWeb трояна с таким текстом смс нет.
В процессах из подозрительных только "RunDLL32.exe". Если его завершить - окно трояна исчезает, но приложения так же не запускаются, либо при запуске очередного приложения открывается окно трояна.
В безопасном режиме - та же самая ситуация.
Дело в том, что троян прописывает в себя в реестре таким образом, что при вызове любых dll файлов запускается сам троян. ("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs")
Решение:
Если есть физический доступ к зараженному компьютеру - никаких проблем нет. Загружаемся с LiveCD или любого другого загрузочного носителя (либо вынимаем НЖМД и подключаем его к другому компьютеру) и сканируем бесплатной утилитой от DrWeb "DrWeb CureIt!".
Если физического доступа к компьютеру нет, но он находится в локальной сети, то:
- На здоровом компьютере, в той же ЛВС, что и зараженный:
- Открываем
- Код: Выделить всё
regedit
- Подключаем сетевой реестр зараженного компьютера (подключение должно быть выполнено с правами администратора зараженного компьютера)
- Находим разделHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Если обновить реестр несколько раз, то видно, что значение ключа "AppInit_DLLs" постоянно меняется. Это действует вирус. В оригинале значение ключа должно быть пустым.
- Чтобы запретить вирусу менять значения этого параметра, оставляем права "Только чтение" для всех групп и пользователей, предварительно сняв галочку "Наследовать права" для всего раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- Чтобы обнулить значение ключа "AppInit_DLLs", добавляем пользователя "Сеть" с полными правами на раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- Очищаем значение параметра "AppInit_DLLs"
- Открываем
- На зараженном компьютере:
- Перезагружаемся, после перезагрузки окно трояна уже не должно появляться
- Запускаем бесплатную утилиту от DrWeb "DrWeb CureIt!", выполняем быстрое, а затем и полное сканирование системы
- Перезагружаемся
- Возвращаем права на раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
- Коды активации:
- K705813900 - 4927135222
- K705913800 - 4927235422
- K705113900 - 4927335222
- K704113300 - 4926935322
- Телефон техподдержки, где сообщают коды разблокировки: (495)3631427 добавочный 555
- Утилита очистки от Касперского