Убиваем ещё один mailware

Всем привет! Сегодня я расскажу о одном вирусе-баннере, который вымогает деньги через СМС. В принципе методов лечения уже много, но до сих пор рассматривались вирусы, которые мало того, что вымогают деньги, так ещё и блокируют Windows. В этой статье пойдёт речь немного о другом вире.

Началось всё с того, что одна девчёнка с параллельного класса попросила меня помочь её с компьютером. Объяснила всё так: «Уехал папа, мама разрешила полазить в инете, в результате – схватила вирус». Ну я пришёл, посмотрел, разобрался.

Вот примерный вид этого баннера: http://s56.radikal.ru/i152/0911/95/0a381b2be16b.jp...

Набросал на память (всё цвета, положение объектов сохранены). Пытался найти картинку в Интернете нормальную, но безуспешно, а сделать скрин тямы не хватило.

На пальцах объясняю, баннер при загрузке сразу же активируется. Не имеет кнопок «закрыть, свернуть», его невозможно сдвинуть. Занимает он добрую половину экрана, так что лицезреть диспетчер задач невозможно. Вот такая обстановка. В принципе если 10 минут посидеть за заражённым компом, можно самому во всём разобраться, я же облегчаю вам задачу.

Вызываем CMD, выполняем команду tasklist. Видим, что в процессах висит don66.tmp. Уничтожаем его taskkill’ом. Но тут надо учесть одну деталь. В cmd показан только один процесс, на самом деле их два, с разными идентификаторами, причём завершить второй просто так не удастся. Выполняем команду taskkill /im don66.tmp /f

Далее надо удалить из папки C:WINDOWSTemp 3 файла: don66.bin, don66.tmp и don66.* Расширение последнего я, хоть убейте, не помню. Но он находится рядом с bin- и tmp-файлом. Также вирь прописывает себя в реестр. Идём вот сюда: regedit > HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Удаляем из параметра Userinit строку «C:WINDOWSTempdon66.tmp». Перезагружаем комп. В принципе всё.

Всем удачи!