Главная » 2011 » Август » 20 » Очередной вирус предлагающий отослать СМС для разблокировки Windows
14:52
Очередной вирус предлагающий отослать СМС для разблокировки Windows
В последнее время подобные вирусы стали появляться все чаще. Самое плохое, что можно сделать при заражении компьютера вирусом такого типа, это пытаться отослать СМС по указанному номеру. С вашего мобильного телефона снимутся деньги и только. Корпорация Microsoft никогда не занималась продажей и активацией своих продуктов посредствам отправки СМС сообщений. Будьте осторожнее.
Информация о данном вирусе стала появляться в базах антивирусов 23-06-2009. На текущий день (24 июня 2009 г.) DrWeb не определяет (проверено на утилите Dr.Web CureIt!). Антивирусом Касперского определяется как Trojan-Ransom.Win32.Blocker.bv NOD32 определяет как WIN32/Agent.PRQ троян.
После заражения системы данной вирусной программой, на экране появляется картинка с утверждением, что копия Windows нелицензионная. А для ее активации необходимо отправить СМС на номер 7122 с текстом OPLATA. Вполне вероятно, что в процессе распространения вируса эти данные могут меняться (см. рис.1).
Удалить вирус с компьютера особого труда не составляет даже без наличия антивируса.
На текущий момент исполняемый файл вируса находился в профиле пользователя: C:\Documents and Settings\%Username%\Application Data Имя файла: faxhc.exe В ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run прописывался автозапуск при старте системы.
Для удаления вируса необходимо загрузить Windows в безопасном режиме. Удалить файл faxhc.exe из папки C:\Documents and Settings\%Username%\Application Data. Под %Username% подразумевается имя текущего пользователя. Большинство пользователей работают под учетной записью Администратор (Administrator). Далее c помощью редактора реестра удаляем в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключ windll со значением C:\Documents and Settings\%Username%\Application Data\faxhc.exe , где под %Username% подразумевается имя текущего пользователя (Администратор, Administrator, Вася и т.д.).
Теперь можем перезагрузиться. После перезагрузки проблема должна исчезнуть.
Но можно сделать значительно проще. На тот момент, когда вы сможете прочитать эту статью, большинство антивирусов будут без труда определять и удалять этот вирус. Можно воспользоваться бесплатной утилитой "Dr.Web CureIt!?" и выполнить следующие действия: 1. Перезагружаем Windows в безопасный режим с загрузкой сетевых драйверов. 2. Скачиваем утилиту "Dr.Web CureIt!?" 3. Запускаем ее (как пользоваться - читаем здесь) После того как вирус будет удален, перезагружаем Windows в обычный режим Чистим ветку реестра (не обязательно, но желательно)