Рент ИТ - качественный ИТ сервис!
 Антивирусная защита (удаление вирусов)
 Хостинг
 Построение корпоративных сетей
 Хостинг почты
Абонентское обслуживание компьютеров
 Монтаж локальных компьютерных сетей (СКС)


Главная
О компании
Услуги
Лицензирование ПО Майкрософт
Контакты
Клиенты
Отзывы клиентов
Помощь OnLine
Дистрибутивы
Документация
Почта

Удаление вируса "отправьте SMS сообщение на номер ХХХХ"

Последнее время появилось много проблем с вирусом который просит отправить SMS на некий платный номер, при этом работать на компьютере невозможно.

Мы настоятельно не рекомендуем отправлять SMS сообщения на эти номера.

Симптомы:
  • На экране по центру размещается окно с различным содержимым в котором просят отправить сообщение на платный номер для разблокировки работы компьютера.
  • Заблокированы средства редактирования реестра regedit, а тек же не доступен диспетчер задач.
  • Не работают или полностью заблокированы антивирусы. Попытки запуска или поиска антивирусных программ приводят к перезагрузке компьютера или "пропаданию" всех значков на рабочем столе

Комментарии к способам лечения вирусов.

Если Вам повезло и вы нашли или подобрали коды деактивации, или поменяли время на месяц или два назад тем самым отключили сообщение на экране это еще не значит, что вы "побороли" вирус.
Мы настоятельно рекомендуем выполнить лечение т.к. вирус самостоятельно скачивается из интернет (недели через две) и история повторяется...

Принцип работы вируса "отправить СМС на номер"

Принцип работы вируса простой - вирус использует две части, работающие в тандеме. Первая загружает вирус с сети интернет (sdra64.exe или другой файл), вторая показывает сообщение и блокирует программы.

Для работы вируса используется средства автоматического запуска программ и, если пользователь обладает правами администратора, ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs.

Все библиотеки, указанные в этом ключе, автоматически загружаются в адресное пространство всех запускаемых процессов, использующих библиотеку User32.dll. В этом параметре может хранится список из нескольких DLL, разделённых пробелом или запятой. Если DLL лежит в системном каталоге Windows (например, C:\Windows\System32), то достаточно указать только имя файла.

После перезагрузки компьютера (на Windows NT 4) или завершения сеанса (на Windows 2000 и старше) система сохраняет изменения. Теперь при проецировании библиотеки User32.dll на адресное пространство любого нового процесса, она последовательно вызовет LoadLibrary для каждой библиотеки из списка, что, в свою очередь, приведёт к загрузке этих библиотек.

Другими словами если Вы запускаете любую программу, автоматически активируется вирус, который имеет возможность контролировать запущеную Вами программу. Именно по этой причине Вы не можете загрузить антивирус или использовать существующие утилиты для борьбы с вирусом.

Вылечить вирус отправьте SMS на номер просто

Способ 1 Лечение вируса отправьте SMS на номер

Если у Вы работаете под учетной записью без прав администратора лечение вируса отправьте SMS на номер является достаточно простой процедурой:

  • Перезагрузите компьютер в безопасном режиме или просто перезагрузите (не важно)
  • Войдите в систему под учетной записью имеющей права администратора
  • Настройте проводник на отображение скрытых и системных файлов (Вид/Свойства папки)
  • Удалите два каталога в "зараженном" профиле:
  • C:\Documents and Settings\login\Local Settings\Temp
  • C:\Documents and Settings\login\Local Settings\Temporary Internet Files
  • Необходимо проверить, что в зараженном профиле не осталось "лишних" файлов в перечисленных каталогах НЕ должно быть исполняемых файлов. Если они есть - удалите:
  • C:\Documents and Settings\login\Local Settings\Application Data
  • C:\Documents and Settings\login\Application Data
  • Открываем программу regedit (Пуск ->Выполнить -> regedit)
  • В открывшейся программе выбираем HKEY_LOCAL_MACHINE
  • Нажимаем Файл->Загрузить куст. И выбираем файл, который мы хотим открыть Х:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\NTUSER.DAT (возможно Вам прийдется предварительно включить отображение "скрытых" и "системных" файлов. Проводник Сервис - Свойства папки )
  • На запрос как назвать ветку пишем USER
  • Открываем ветку реестра HKEY_LOCAL_MACHINE\USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Если есть параметр Shell в нем должно быть explorer.exe. Если написано что-то другое - Файл прописаный в параметре необходимо переименовать, а сам параметр Shell удалить из реестра
  • Перезагрузите компьютер и войдите под "зараженной" учетной записью
  • Запустите программу AVZ ( Бесплатные антивирусные утилиты) и откройте меню Файл -> Восстановление системы и выполните все скрипты, кроме 14 15 18
  • Перезагрузите компьютер
  • Обновите антивирусные программы, просканируйте систему при помощи AVZ и антивируса
  • Перезагрузите компьютер и можете работать

Способ 2 Лечение вируса отправьте SMS на номер

Если Вы все же работаете как истинный хакер под учетной записью с правами администратора лечение вируса отправьте SMS на номер процедура не такая простая, как хотелось бы:

  • В процессе лечения помните - ненадо работать с правами администратора!
  • Запустить компьютер с LiveCD содержащего средства работы с реестром. (думаю google и запрос "LiveCD winPE скачать" вам помогут)
  • Если предыдущий пункт Выполнить не удалось - можно снять винчестер с компьютера и подключить его к другому. Главное иметь возможность удалять файлы и редактировать реестр.
  • Итак, мы загрузились с LiveCD и нам доступен зараженный диск. Начинаем удалять:
  • X:\Documents and Settings\\Local Settings\Temp
  • X:\Documents and Settings\\Local Settings\Temporary Internet Files
  • X:\windows\system32\sdra64.exe
  • Открываем программу regedit (Пуск ->Выполнить -> regedit)
  • В открывшейся программе выбираем HKEY_LOCAL_MACHINE
  • Нажимаем Файл->Загрузить куст. И выбираем файл, который мы хотим открыть Х:\WINDOWS\system32\config\software
  • На запрос как назвать ветку пишем Soft
  • Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Windows находим параметр AppInit_DLLs - его значение должно быть пустое. Если там что-то написано - необходимо открыть этот ключ и почистить.
  • Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр Userinit должно быть нечто похожее на C:\WINDOWS\system32\userinit.exe и больше ничего!!!
  • После этого компьютер можно выключать, если вынимался винчестер вставляем его обратно в компьютер и запускаемся.
  • Запустите программу AVZ и выполните Восстановление системы - все скрипты, кроме 14 15 18
  • Перезапустите компьютер и сканируйте его на вирусы
  • Можно работать


    • Если Вам помог материал, описанный в статье - рекомендуйте друзьям

    Авторские права на материал принадлежат ЧП "Рент ИТ".
    Мы разрешаем публикацию этого материала с указанием первоисточника (Ссылка на статью).

    Если Вы можете дополнить статью или хотите сказать спасибо - пишите нам


Рент ИТ - качественный ИТ сервис
Обслуживание компьютеров: Абонентское обслуживание компьютеров, Аренда программного обеспечения Майкрософт, Удаление вирусов (антивирусная защита), Монтаж локальных компьютерных сетей, Построение корпоративных сетей,