| Сегодня посмаковал впервые в жизни вирус вымогатель-блокер под названием Online Antivirus. Ровно в 10-56 это чудо активировалось у меня на компе, отправило его в перезагруз и в дальнейшем в ультимативной форме русскими буквами при загрузке требовало отправить смску на номер 5121 с текстом 6625012.
То есть вроде бы признать свое поражение над великими вирусописателями, поддержать их монеткой, получить код к своему компу и обрести наконец свои скоровенные файлы в целости и сохранности.
Вообще само событие меня здорово порадовало, ну как же, все ловят крутые вирусы, а я кроме фиш ссылок ничего не цепляю. Кстати никаких *.exe файлов не запускал и картинок не открывал, возможно конечно что гадость дремала на компе некоторое время, но все таки обычные меры предосторожности, а так же чудесный NOD32 (отправлен на пенсию) не предотвратили заражения.
Ну и как всегда, спасает информация - через 20 минут уже я знал код активации сраного вируса - 2047692, а вот дальше началось веселье. Ребята вирусописатели предусмотрели что будет попытка зараженного страдальца залезть в системный реестр и начисто отрубили эту возможность, заодно отключив task manager =).
Потыкался редакторами реестра - неудобно, Registry Fix - безбожно устарела, позволяет запустить task manager, но он закрывается через секунду. Вобщем решение было простое и эффективное, тупо нашел regedit.exe, переименовал его в new_regedit.exe и запустил.
Вирус сидел в WINDOWS/System32/user32.exe, в ключе реестра HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon, Shell=C:\WINDOWS\system32\user32.exe. убираем его из загрузки, удаляем с компа, и алилуя.
Контроль возвращен, НОД32 отправлен в отставку, поставлю пока касперского.
Буду рад, если у кого есть еще какие идеи, что как проверить и почистить.
Да и запись открою для общего доступа, вдруг кому понадобится. |
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
boozzywoozzy
