Вирус с красным окном
Ваш браузер обнаружил, что Ваш компьютер заражён вирусами. Необходимо срочно проверить компьютер на наличие вредоносных программ.
Стоит ли впадать в панику?
Недавно, во время поисков по просторам интернета обнаружил одну "штуковину" и хотел бы поделиться некоторыми наблюдениями.
Сведения о вопросе
Блуждая по просторам сети в поисках красивой музыки, открыл одну из страничек. Внимание привлекло небольшое окно в углу: извещение центра безопасности о якобы обнаруженных угрозах. Окошко было оформлено в стиле Windows XP, хотя у меня система по-новее, да и цвета выбраны другие. Центр, который в Windows следит за безопасностью, называется "Центр поддержки". Такие окошки попадались и раньше, я их просто игнорирую, но это издавало душераздирающий звук в стиле знаменитого антивирусного продукта.
Любопытство перевесило. Несмотря на то, что этого никогда нельзя делать, нажал кнопку "лечить".
Впрочем, нажатие "отмена" вызвало бы те же действия. Не нажимайте!
Появилось окно, похожее на окно "Компьютер" проводника, затянутое "туманом" зловещего предупреждения: "Внимание! Ваш браузер обнаружил, что Ваш компьютер заражён вирусами. Необходимо срочно проверить компьютер на наличие вредоносных программ".
Конечно, в спокойной обстановке пользователь бы задумался над вопросом: "А как это браузер может обнаружить заражение, это же не антивирус?" Но тут надо быстрее что-то делать. Жмём на кнопку "ОК". Туман исчезает и начинается "сканирование". Замечу, что для прогрессбара лучше подошло бы отдельное окно, а не соседство в одной таблице с дисковыми устройствами.
Несколько секунд мультфильма и, как в кинотеатре, Вы уже забыли, что находитесь в браузере, а не в проводнике. Сканирование закончено - появляется внушительный список угроз. Найдено аж 390 файлов! Появляется окошко с требованием ввести номер своего телефона. Только зачем? Отодвинем его в сторону.
Посмотрим лучше, что же там за угрозы?
Передвинув бегунок пониже, уже начинаешь понимать, что тебя разыгрывают: список явно не дотягивает до заявленных 390. Вполне по пальцам можно пересчитать!
Последняя угроза в списке особенно развеселила.
Ни закрытие вкладки, ни красная кнопка с крестиком, ни из панели задач! Заблокировано! Может всё же нужно телефон ввести? Ни в коем случае! Только этого от Вас и ждут. В следующий раз Вы получите фальшивое SMS из банка или от платёжной системы. Простое нажатие на "Активировать" приводит к сообщению об ошибке.
Что же делать? А ничего. Эта "штуковина" создала несколько десятков вкладок и сгруппировала их в одну, создав впечатление "незакрываемого приложения". Нужно всего лишь закрыть их все. Но спектакль эффектный получился.
В моей рабочей почте обнаружился неожиданный подарок - цифровой пропуск для передвижения по Москве . Вот только такой пропуск я не запрашивал и уж точно не указывал этот адрес электронной почты.
И это же насторожило. Затем пришел еще один пропуск, и еще один, и еще один. Всего пропусков прилетело штук шесть. Все на один и тот же период. Но с разными цифрами и буквами.
Проверка (молодцы столичный Департамент информационных технологий) тут же показала - код недействительный, рожден спамерами. В этом случае в окне проверки кода появляется надпись красными буквами "Вы не прошли проверку CAPTCHA".
Проверка тут же показала - код недействительный Фото: Александр МИЛКУС
Но все же. Где-то злоумышленники личные данные подсмотрели. Значит есть уязвимость. На моем компьютере, у провайдера интернета, на столичном сайте (хотя последнее очень сомнительно - если бы воровали с этого сайта, фальшивка пришла бы на другую почту, которую я специально завел для официальной переписки и общения с интернет-магазинами).
В общем, пара незаметных, на первый взгляд, проколов злоумышленников выдала.
Среди данных два числа из номера паспорта указаны верно Фото: Александр МИЛКУС
Теперь вопрос - а зачем они рассылают такие письма? Во-первых, это такая подстава: любой патруль просканирует код и. вот вам штраф. Вы пользуетесь недействительным разрешением. Но, думаю, более вероятно второе: в письме есть ссылки. Для того, чтобы получить QR -код нужно по ссылке пройти. А это именно то, что нужно создателям фальшивки. Как только вы нажимаете на ссылку и пытаетесь перейти на следующую страницу, вы пускаете в свой компьютер зловреда. Это может быть вирус, который заберется вглубь ваших данных и украдет цифры кредитной карточки, например. А может со временем начать удалять ваши файлы. Много чего могут натворить непрошеные гости в вашем компьютере.
Я, кстати, тоже сделал ошибку - прошел по ссылке. И. браузер завис. Пришлось компьютер перезагружать. С первого раза он не включился. А теперь подозрительно греется, выполняя простейшую работу. Пришлось срочно запускать антивирус. Хотя в случае с фишинговыми рассылками он далеко не всегда помогает.
В общем, на антивирус надейся, а сам не плошай. Любое подозрительное письмо не раскрывая и уж тем более не проходя по ссылке не задумываясь - в корзину.
КСТАТИ
Локатор коронавируса ворует ваши банковские данные
Цифровые злоумышленники очень быстро сообразили, как погреть руки на пандемии. Уже больше месяца по сети гуляет банковский троян Ginp, который посвящен COVID-19. Он прикидывается веб-страницей под названием Coronavirus Finder (локатор коронавируса). И предлагает за очень небольшую сумму показать сколько инфицированных живет по соседству с вами. А если вы хотите узнать точное место жительства заболевших - заплатите небольшие деньги (в Европе просят всего 75 центов). Ну это же копейки! Как не воспользоваться такой возможностью!
Вы вводите данные вашей банковской карточки. И. и ничего не происходит. Вы не получаете адресов. Но и деньги с вашей карточки не списываются. Сбой? Ошибка? Как бы не так. Данных про заболевших у создателей трояна нет. Но зато у них есть теперь данные вашей банковской карточки. Сразу списывать большую сумму - попасть под подозрение. А вот через несколько месяцев начать вас аккуратно "доить" - это "святое" дело.
Цифровые злоумышленники очень быстро сообразили, как погреть руки на пандемии Фото: Александр МИЛКУС
Да, по данным Лаборатории Касперского , большинство жертв Ginp находилось в Испании . И снял он свой "урожай" как раз в разгар эпидемии, когда запертые в квартирах люди искали в Интернете важную информацию о распространении вируса.
Так что - маски, перчатки, ограничение передвижения - это наши нехитрые средства борьбы с коронавирусом. А корзина и длительность помогут в борьбе с вирусом компьютерным.
Я не считаю СOVID-19 надуманной опасностью. Это самый страшный вызов человечеству за последние десятилетия. Я понимаю мотивы сторонников тотальной самоизоляции и жестких карантинов. Но все, что мы знаем про этот вирус и вирусы вообще на данный момент, доказывает: жесткий тотальный карантин в борьбе с пандемией ничем не лучше точечного для групп риска. Карантины по всему миру придется отменять независимо от реального хода пандемии в ближайшие несколько недель. Идущее на наших глазах всемирное убийство экономики не спасает людей от вируса. Зато, если вовремя не остановиться, приведет к сотням миллионам жертв от голода и других болезней.
Если не остановить карантинное безумие в ближайшие несколько недель, люди начнут прекращать его сами: просто потому, что смерть от голода ничем не лучше смерти от вируса. Только таких смертей может быть на порядки больше.
При реальном трезвом рассмотрении ситуации оба эти довода не выдерживают критики.
Нет никаких оснований уверенно утверждать, что Китай победил пандемию. В частности, 23 марта в Китае за сутки было зафиксировано вдвое больше новых случаев заражения, чем 22-го. Один из ведущих специалистов по коронавирусам в мире Ральф Бэйрик на днях в подкасте This Week in Virology со ссылкой на своих китайских коллег сообщил, что Китай просто прекратил тестирование и реагирует только на клинические признаки болезни. Даже если предположить, что китайские вирусологи нагло соврали американским, очевидно, что как минимум в Южной Корее (23 марта там впервые было меньше новых случаев, чем в Китае) и Японии, где таких жестких карантинов не было, принудительно на удаленку никого не отправляли, справились с пандемией (опять же, если справились — уверенно говорить об этом рано) точно не хуже.
Показательно, что в Китае удивительным образом начали выходить из тотального карантина ровно тогда, когда вышли официальные данные по экономическим показателям страны за февраль. К февралю 2019 года промышленное производство упало на 13,5%, а розничный товарооборот — на 20,5%. Такое падение может происходить только в разгар разрушительной войны в стране, которая эту войну проигрывает. Это даже не падение, а катастрофический обвал. Американские инвестиционные банки прогнозируют обвал на 20-30% главной экономики мира — американской. Из-за варварских методов борьбы с коронавирусом мы можем получить больший ущерб, чем нанесла Вторая мировая война. И уморить голодом больше людей, чем погибли на этой самой кровавой войне в истории человечества. И намного больше, чем убьет сам этот коронавирус.
С большой долей вероятности, китайские власти просто осознали, что когда сотни миллионов умрут от голода на карантине, никакой вирус уже никто и не вспомнит. А на одних штрафах за нарушение карантина (тоже всеобщее поветрие) экономику не поднимешь. Отчаянная толпа голодных людей сильнее любой армии и партии.
Второй довод сторонников жесткого карантина — что это поможет затормозить скорость пандемии до подхода вакцины, чтобы всем тяжелым больным хватило мест в больницах и дополнительных оборудованных помещениях, а также аппаратов ИВЛ — еще более смехотворен. Лечить вирус мы не умеем и в ближайшие недели не научимся. Более того, вирусов, как пишут специалисты, по всей видимости не один, а два и на них может быть разная реакция организма. Вакцину самые оптимистические прогнозы обещают через 9-11 месяцев. Эксперты ВОЗ — не раньше, чем через год. Притом, что пока ни от одного из коронавирусов, которых нам известно четыре десятка, человечество вакцину не создало.
Как вы себе представляете 9-11 месяцев на всемирном карантине, когда нигде не работает ничего, кроме продуктовых магазинов и аптек? Кто привезет вам еду? Кто вас будет лечить? Откуда у вас появятся деньги на еду через 9-11 месяцев этого тотального карантина?
В России, например, нет никаких сбережений более чем у половины населения. Миллионам людей на долгом карантине платить никакие деньги не будет никто — потому что эти люди перестанут эти деньги зарабатывать. И бесплатной едой вас никто не обеспечит, можете не сомневаться.
К тому же даже при самом всеобъемлющем карантине все равно всех не изолируешь. Кому-то надо снабжать едой и лекарствами живущих на удаленке. Отлавливать нарушителей карантина. Лечить заболевших. Или вы думаете, что другие болезни, в том числе куда более страшные и уносящие гораздо больше жизней, дружно прекратятся, дожидаясь вакцины от китайского вируса?
Свои доводы сторонники жесткого карантина морально мотивируют гуманистическими соображениями: разве вам тяжело две-три недельки посидеть дома, чтобы не умереть самим и спасти своих стариков? Конечно, две-три недели — не тяжело. Конечно, мы не хотим умирать. Конечно, мы еще меньше хотим смерти своим старикам, детям, да и вообще незнакомым людям любого другого возраста. Конечно, безмерно жалко каждого умершего от коронавируса.
Где гарантия, что вирус не доставит вам прямо на дом курьер по доставке еды, которую вы так предусмотрительно заказали в интернете?
Вы можете заразиться, даже просто высунувшись подышать воздухом из окна, живя на низких этажах, ведь вирус, как нам говорят вирусологи, держится молодцом в воздухе 2-3 часа? Или выйдя из своей изоляции за продуктами в любом месте на улице, в том числе на пути к машине — она же не припаркована прямо у входа в квартиру.
В места скопления людей лучше действительно не ходить, руки с мылом мыть. Добровольная удаленка с разрешения работодателя при сохранении зарплаты — на здоровье. В дальние путешествия какое-то время (кстати, какое?) не ездить, не плавать и не летать. Но в остальном надо жить и работать совершенно обычно.
Если зараженных в реальности существенно больше (что, скорее всего, правда и в чем безусловно убеждены сторонники тотальных карантинов), значит, смертность от этого вируса существенно меньше тех цифр, которые нам сообщают.
Кстати, что мы видим по официальной статистике пандемии?
Знаете, какая самая зараженная страна мира прямо сейчас? Не прекрасная Италия, которую мы все так искренне и дружно оплакиваем, а крошечное государство Сан Марино, до которого, кажется, никому нет дела. Знаете, какой мировой рекорд по заражениям? Около 5600 человек на миллион.
В США, нынешнем мировом лидере по количеству зараженных, этот показатель пока в районе 250 человек на миллион. В Испании — чуть больше 1200. В Китае, который дал старт пандемии и долго лидировал по общему количеству зараженных — 56 человек на миллион.
В Италии этот показатель на 26 марта составлял 1332 человека на миллион. При этом в самой Италии,(которая вышла на первое место по числу жертв пандемии и 27 марта, как и США, опередит Китай по общему числу выявленных зараженных) глава службы гражданской обороны Анджело Боррелли, каждые сутки объявляющий новые цифры зараженных и умерших, специально публично поясняет: речь идет о смертях людей с коронавирусом, а не ОТ него. Но люди, кажется, утратили способность понимать разницу. Италия — абсолютный мировой лидер по смертности от вируса. Знаете, сколько она составляет? 135 человек на миллион по состоянию на полночь 27 марта. Самая высокая удельная смертность тоже в Сан Марино — 619 человек в пересчет на миллион популяции. Почти в четыре раза выше, чем в Италии.
Причем сами вирусологи говорят: при вскрытии умершего невозможно доказать, что он умер именно от этого вируса. В такой ситуации пандемия закончится примерно тогда, когда ее провозгласят закончившейся — разумеется на фоне повсеместного замедления количества и процента новых случаев и новых смертей.
Более того, уже есть важный показатель, свидетельствующий об ослаблении смертельного эффекта пандемии. Среди тех случаев болезни, которые уже завершились каким-то исходом, смертельных примерно 16%. А среди новых кейсов, которых уже почти в три раза больше, чем завершенных, количество серьезных и критических случаев в последние полторы недели не превышает 5%, в чем можно убедиться на странице мировой статистики по коронавирусу.
То есть за почти четыре месяца вирус стал потенциально менее опасным более чем в три раза.
Даже самые мрачные прогнозисты утверждают, что от пандемии за год или два по всему миру могут скончаться десятки миллионов человек. Но это не точно, потому что никто доподлинно не знает, как, когда и чем закончится эта эпидемия. Спору нет, это ужасно. Ужасная каждая человеческая смерть.
Но проблема голода — а тотальные карантины с закрытием национальных экономик по всему миру, если они продлятся дольше 4-8 недель, приведут к полному разорению огромного количества людей — все равно ужаснее.
Согласно самым свежим пока данным ООН, опубликованным 15 июля 2019 года, количество людей, которым угрожает голод, в 2018 году составляло 821 млн человек. Если сложить вместе страдающих от недоедания и тех, на чью долю остается пища запредельно низкого качества, то к зоне риска, по оценкам ООН, можно отнести 2 млрд. человек. И это происходило в момент, когда мировая экономика росла почти на 4% в год, а сейчас из-за экономического самоубийства человечества, которое мы коллективно совершаем в эти дни и недели, рецессия практически неизбежна и голодной смертью могут умереть сотни миллионов человек. Никакой вирус таких результатов не добьется. Только мы своими причудливыми способами борьбы с ним. Мы вынуждены выбирать между плохим и худшим. Увы. Этот вирус вообще неизбежно придется оценивать не применительно к отдельной человеческой жизни, а применительно ко всей человеческой популяции.
Тотальный карантин и закрытие всего и вся больше чем на три-четыре недели — полнейшее безумие со всех точек зрения, включая гуманитарную и гуманистическую. Достаточно изолировать уже заболевших, членов их семей, прилетевших из других стран в последние две недели, и стариков, обеспечивая их всем необходимым.
Что градус идиотизма в человечестве высок и сильно нарастает, можно было предположить хотя бы по тому, что мы наблюдали в международной политике в последние годы. Но то, как мир скатился в коллективное помешательство, по сути провалился на шесть веков назад, в эпоху стихийной беспомощной борьбы с чумой (тогда тоже вводили совершенно бесполезные карантины), за считанные недели, показывает, что мы можем заморить себя голодом и уничтожить практически в считанные месяцы без всякого ядерного оружия. Достаточно одного китайца или, как теперь выяснилось, китаянки, съевшей летучую мышь.
Никакая изоляция не гарантирует никому, что он не заразится и не заразит других. Никакая точка выхода из жесткого карантина не гарантирует ни одной стране, что пандемия прошла окончательно и не вернется. Не надо превращать коронавирус в оружие массового уничтожения человечества, многократно умножая его и без того заметный смертельный эффект собственной вселенской глупостью.
Всплывающие окна с рекламой на всех сайтах в браузере - вирус!
С недавнего времени пользователей интернета стал преследовать новый вид вирусов - это всплывающая реклама на всех сайтах, в том числе и на Яндексе, Маиле и прочих популярных и не очень сайтах.
Выглядит это следующим образом: после открытия любого сайта, например, Яндекса, Маила, ВКонтакте, Одноклассники и т.д. через короткое время выскакивает реклама. Часто эта реклама совсем непристойная. Примеры показаны ниже.
Нужно отметить, что реклама выскакивает на всех сайтах, а не только на сайтах социальных сетей и поисковиков. О чем это говорит? О том, что проблема не в файле hosts. Если просканировать компьютер антивирусом, то и в этом случае ничего не изменится. Часто реклама и сообщения в браузерах появляется на всех компьютерах в домашней сети, в том числе на планшетах и макбуках.
Тот, кто сталкивается с таким вирусом впервые будет сильно озадачен. Поэтому выкладываю инструкцию по удалению.
Принцип действия вируса
Принцип появления рекламных баннеров и сообщений в браузерах прост. Изначально на зараженном компьютере запускается троян, который меняет адрес DNS-сервера на компьютере и в роутере на "вирусный". В дальнейшем при попытке перейти на любой сайт, вы попадаете на "вирусный" прокси-сайт, где к содержимому добавляются всплывающие окна и рекламные сообщения. Поскольку неправильный DNS прописывается в роутере, то реклама на сайтах появляется на всех устройствах, подключеных к Интернету через него.
Часто троян остается в системе зараженного компьютера. Это приводит к тому, что при перенастройке роутера с этого компьютера неправильный адрес DNS-сервера снова автоматически прописывается в него.
Как удалить вирус "всплывающие окна с рекламой"
На самом деле удалить вирус не так сложно. Главное знать что и в какой последовательности делать. Вирус распространяется по сети, а точнее прописавается в роутере. Макбуки и планшеты часто не требуют каких-либо дополнительных действий, кроме перенастройки роутера, а вот компьютер-разносчик заразы на базе ОС Windows требует чистки.
Для работы потребуется бесплатный антивирусный сканер DrWEB CureIt и лечащая утилита AVZ. Предварительно необходимо скачать эти утилиты на флешки на незараженном компьютере. Итак, приступим.
1. Чистка системы.
Прежде всего необходимо почистить систему от мусора и проверить на вирусы. Для этого загрузите систему в безопасном режиме и запустите утилиту AVZ от имени администратора (правая кнопка мыши -> Запустить от имени администратора). В меню AVZ выберите пункт меню Файл - Мастер поиска и устранения проблем.
В появившемся окне в меню Категория проблем выберите Чистка системы, Степень опасности - Все проблемы. Теперь нажмите кнопку Пуск для поиска проблем.
Теперь нужно выполнить быстрое сканирование утилитой CureIt.
После сканирования и обезвреживания найденных угроз следует загрузить компьютер в обычном режиме.
2. Проверка настроек DNS на компьютере
Щелкните мышкой на значек локальной сети в правой части панели задач и выберите пункт Центр управления сетями и общим доступом.
В открывшемся окне выберите пункт Изменение параметров адаптера. 
Щелкните правой кнопкой мыши по значку Подключение по локальной сети и выберите пункт контекстного меню Свойства.
Выберите пункт Протокол Интернета версии 4 (TCP/IPv4) и нажмите кнопку Свойства.
Если компьютер подключен напрямую к кабелю провайдера и предусмотрена ручная настройка IP адреса, то следует сверить значения DNS-сервера с предоставленными провайдером настройками.
Если ручная настройка не предусмотрена или компьютер подключен к роутеру, поставьте галочку Получать адрес DNS-сервера автоматически.
На рисунке показаны изменения, сделанные вирусом. Установленный адрес DNS-сервера переадресовывает браузер на сайты с рекламными баннерами.
После изменения параметров нажмите ОК. Теперь нужно проверить настройки для Беспроводного подключения (если имеется) тем же способом.
3. Сброс кэша DNS
Зайдите в меню Пуск и в строку Найти программы и файлы введите cmd. Правой кнопкой щелкните на значек командной строки и выберите пункт Запуск от имени администратора.
В открывшемся окне командной строки введите команду
ipconfig /flushdns и нажмите Enter. После этого закройте окно.
4. Отключите надстройки браузеров
Отключите компьютер от локальной сети. Теперь отключите все неизвестные надстройки в браузерах и проверьте стартовую страницу. Сделайте это во всех установленных браузерах. Теперь снова подключите компьютер к сети.
5. Настройка роутера
Сбросьте настройки роутера кнопкой Reset на задней стенке роутера. Обычно для этого следует удерживать ее нажатой в течении 7 секунд. После загрузки роутера заново настройте его в соответсвии с настройками провайдера.
Теперь проверьте работу браузеров. Иногда Оперу приходится переустановить, чтобы в ней перестала появляться всплывающая реклама. Для этого нужно ее удалить через Панель задач - Программы и компоненты. При удалении надо поставить галочку на пункте Удалить пользовательские данные.
Статья о страшном вирусе MrsMajor2.0, второй версии, которая была написана еще в 2018 году, как ни странно была и остаётся популярной. Не так давно, появилась уже третья версия этого файла, а также запросы, которые поступают в Метрику дают об этом понять, насколько многих это интересует.
MrsMajor 3.0 это вирус с графическим интерфейсом, который одновременно и жуткий и интересный. Сегодня, как раз рассмотрим 3 версию этого вируса, которая может удивить не меньше, чем предыдущая. И как итог, попробуем запустить на виртуальной машине данный вирус, и понять, как он работает, и как от него мы сможем защититься.
Запуск
На нашем рабочем столе находится архив под названием MrsMajor_3.0.rar, который мы разархивируем. Внутри имеем всего один файл MrsMajor 3.0.exe, весом в 382 КБ. В этот раз нас встречает ярлык в виде необычной матрёшки, с привычными вирусу цветами красный и чёрный.
Здесь простая информация о том, чтобы мы в поиске Google не искали связанное с антивирусами, и о том, что если загуглить у Вас появится синий экран смерти.
В целом эти правила можно не успеть дочитать, так как Ваш ПК начнёт перезагрузку. Кстати перед перезагрузкой было заметно создание файла ReadMe (MrsMajor 3.0).txt на рабочем столе с ярлыком глаза, и весом в 606 байт.
После перезагрузки
Откроем тот самый файл ReadMe (MrsMajor 3.0).txt, хотя читать конечно уже не так легко, через кровавый экран. При этом мы пока не будем пытаться избавиться от этого вируса, и посмотрим, что будет дальше.
Прошло 2 минуты, и в целом забавно то, что данная версия вируса заливает весь экран красными красками, в итоге использовать какое-то ПО становится сложнее.
Кстати, подождав пока уровень крови закончится нам выскакивает синий экран смерти. И даже если система выполнила восстановление, то всё равно уходит в синий экран.
Лечение MrsMajor 3.0
Если проделать тоже самое с taskmgr.exe (диспетчером задач), переместить на рабочий стол и переименовать, то выдаёт ошибку.
Перезагружаемся, заходим снова в powershell.exe и ищем что-нибудь ещё.
Процесс dwm.exe отвечает за графическую часть вируса (кровь на экране, пиксели и уровень крови), если этот процесс убить, то получается заморозить уровень, и обновить графическую часть.
Ищем в стандартном поиске по файлам, приложение tobi0a0c.exe в папке Windows.
Находится он по пути: C:\Windows\winbase_base_procid_none\secureloc0x65
Размер: 5,06 МБ
Ну а как только мы переходим в папку winbase_base_procid_none, то система подвисает и в итоге снова срабатывает Blue screen — синий экран.
В этой папке находятся 4 приложения, 2 звуковых Wav файла, vbs-файл скрипт запуска, указатель и иконка глаза. Это как раз всё то, что связано с этим вирусом. Возможно, как раз файл bsector3.exe затирает загрузочный сектор.
Список файлов MrsMajor 3.0, в папке secureloc0x65 :
- tobi0a0c.exe (5 191 КБ)
- ui65.exe (116 КБ)
- ui66.exe (2 969 КБ)
- bsector3.exe (72 КБ)
- mainbgtheme.wav (2 466 КБ)
- 0x000F.wav (2 466 КБ)
- WinRapistI386.vbs (1 КБ)
- rcur.cur (5 КБ)
- winsxs.ico (492 КБ)
Попробуем удалить файлы из этой папки. Удалить получается всё кроме файла tobi0a0c.exe, который на данный момент запущен. Но в любом случае мы удалили часть важных файлов, среди которых был запускаемый скрипт-файл.
Перезагружаем теперь нашу виртуальную машину, и смотрим что из этого вышло.
Как итог, после удаления данных файлов вируса, заметно сразу, что потрепались иконки наших ярлыков, звуковые файлы мы удалили, также графическая часть восстановлена.
Проверим работает ли диспетчер задач.
Открываем PowerShell, и вводим команду taskmgr, и нам выводит окно, о том, что диспетчер задач отключен администратором.
Чтобы решить эти проблемы, вводим некую команду gpedit.msc (Редактор групповой локальной политики).
Как итог комбинация клавиш Ctrl+Shift+Esc теперь будет работать и запускать диспетчер задач. Редактор реестра также будет работать.
Теперь удалим из автозагрузки оставшееся событие от скрипта который мы удалили, что бы оно не выскакивало, при следующей загрузке системы. При этом, мы не найдём это событие в Автозагрузке, через msconfig, его там нет! Его нет не в списке автозагрузки, не в планировщике задач, при этом событие каждый раз срабатывает при включении ПК! Это странно.
Поэтому ищем WinRapistI386.vbs по поиску в редакторе реестра.
Как оказалось это событие скрипта vbs прописалось к запуску рабочего стола (Shell).
Поэтому, редактируем значение этого параметра Shell, оставив только explorer.exe
Читайте также:
