Очередной вирус предлагающий отослать СМС для разблокировки Windows - 20 Августа 2011

Меню сайта

Форма входа

Поиск

Главная » 2011 » Август » 20 » Очередной вирус предлагающий отослать СМС для разблокировки Windows

14:52

Очередной вирус предлагающий отослать СМС для разблокировки Windows

В последнее время подобные вирусы стали появляться все чаще. Самое плохое, что можно сделать при заражении компьютера вирусом такого типа, это пытаться отослать СМС по указанному номеру. С вашего мобильного телефона снимутся деньги и только. Корпорация Microsoft никогда не занималась продажей и активацией своих продуктов посредствам отправки СМС сообщений. Будьте осторожнее.

Информация о данном вирусе стала появляться в базах антивирусов 23-06-2009. На текущий день (24 июня 2009 г.) DrWeb не определяет (проверено на утилите Dr.Web CureIt!). Антивирусом Касперского определяется как Trojan-Ransom.Win32.Blocker.bv
NOD32 определяет как WIN32/Agent.PRQ троян.

После заражения системы данной вирусной программой, на экране появляется картинка с утверждением, что копия Windows нелицензионная. А для ее активации необходимо отправить СМС на номер 7122 с текстом OPLATA. Вполне вероятно, что в процессе распространения вируса эти данные могут меняться (см. рис.1).

Удалить вирус с компьютера особого труда не составляет даже без наличия антивируса.

На текущий момент исполняемый файл вируса находился в профиле пользователя: C:\Documents and Settings\%Username%\Application Data
Имя файла: faxhc.exe
В ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run прописывался автозапуск при старте системы.

Для удаления вируса необходимо загрузить Windows в безопасном режиме.
Удалить файл faxhc.exe из папки C:\Documents and Settings\%Username%\Application Data. Под %Username% подразумевается имя текущего пользователя. Большинство пользователей работают под учетной записью Администратор (Administrator). Далее c помощью редактора реестра удаляем в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключ windll со значением C:\Documents and Settings\%Username%\Application Data\faxhc.exe , где под %Username% подразумевается имя текущего пользователя (Администратор, Administrator, Вася и т.д.).

Теперь можем перезагрузиться. После перезагрузки проблема должна исчезнуть.

Но можно сделать значительно проще. На тот момент, когда вы сможете прочитать эту статью, большинство антивирусов будут без труда определять и удалять этот вирус. Можно воспользоваться бесплатной утилитой "Dr.Web CureIt!?" и выполнить следующие действия:
1. Перезагружаем Windows в безопасный режим с загрузкой сетевых драйверов.
2. Скачиваем утилиту "Dr.Web CureIt!?"
3. Запускаем ее (как пользоваться - читаем здесь) После того как вирус будет удален, перезагружаем Windows в обычный режим Чистим ветку реестра (не обязательно, но желательно)

И готово.