Проблема:
Имеем Windows XP SP1 Rus. После загрузки открывается традиционное для данной категории торянов окно с сообщением о нарушении лицензионного соглашения и предложением отправить смс с текстом "k705813900" на номер 4460.
Никакие приложения при этом не запускаются. На DrWeb трояна с таким текстом смс нет.
В процессах из подозрительных только "RunDLL32.exe". Если его завершить - окно трояна исчезает, но приложения так же не запускаются, либо при запуске очередного приложения открывается окно трояна.
В безопасном режиме - та же самая ситуация.
Дело в том, что троян прописывает в себя в реестре таким образом, что при вызове любых dll файлов запускается сам троян. ("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs")
Решение:
Если есть физический доступ к зараженному компьютеру - никаких проблем нет. Загружаемся с LiveCD или любого другого загрузочного носителя (либо вынимаем НЖМД и подключаем его к другому компьютеру) и сканируем бесплатной утилитой от DrWeb "DrWeb CureIt!".
Если физического доступа к компьютеру нет, но он находится в локальной сети, то:
-
На здоровом компьютере, в той же ЛВС, что и зараженный:
-
Открываем
Код: Выделить всё
regedit
-
Подключаем сетевой реестр зараженного компьютера (подключение должно быть выполнено с правами администратора зараженного компьютера)
-
Находим разделHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Если обновить реестр несколько раз, то видно, что значение ключа "AppInit_DLLs" постоянно меняется. Это действует вирус. В оригинале значение ключа должно быть пустым.
-
Чтобы запретить вирусу менять значения этого параметра, оставляем права "Только чтение" для всех групп и пользователей, предварительно сняв галочку "Наследовать права" для всего раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
-
Чтобы обнулить значение ключа "AppInit_DLLs", добавляем пользователя "Сеть" с полными правами на раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
-
Очищаем значение параметра "AppInit_DLLs"
-
-
На зараженном компьютере:
-
Перезагружаемся, после перезагрузки окно трояна уже не должно появляться
-
Запускаем бесплатную утилиту от DrWeb "DrWeb CureIt!", выполняем быстрое, а затем и полное сканирование системы
-
Перезагружаемся
-
Возвращаем права на раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
-
PS:
-
Коды активации:
-
K705813900 - 4927135222
-
K705913800 - 4927235422
-
K705113900 - 4927335222
-
K704113300 - 4926935322
-
-
Телефон техподдержки, где сообщают коды разблокировки: (495)3631427 добавочный 555