Розовый порнобаннер mssoft.exe, номер: 8353 текст: 4956****

К стыду своему вчера поймал порнобаннер. При загрузке Windows вылезает окошко с тремя голыми тетками и просит отправить SMS за 25 рублей на номер 8353 с текстом вида 4956****. Поиск выявил списки ключей разблокировки на антивирусных форумах, но мне ни один не подошел. Пришлось заняться чисткой вручную, OSAM помог вычислить злодея. Когда узнал имя файла — поискал по нему, нашел инструкцию, аналогичную моим действиям, прикладываю в конце.

Но меня очень сильно интересует вопрос — как эта зараза ко мне пробралась? Я в Сети как бы не первый год, антивирусом не пользуюсь, но заразу не ловил уже очень долго. Посмотрел по дате создания файла (сутки до обнаружения при перезагрузке) и по Google Web History — в это время открывал безобидную картинку на хостинге keep4u.ru. Не знаю, есть ли связь. Сильно сомневаюсь, что я пустил вирус сам. Тогда через какую дырку он полез? Описания, похоже, ещё нет…

Вот что писал Darkman на форуме DrWeb:

1. Включаем комп F8 (F5) и Выбираем — Безопасный режим с поддержкой командной строки
2. Жмем Ctrl+Alt+Delet и в появившемся Диспетчере Задач идем Файл>Новая задача(выполнить) пишем explorer и OK
3. Заходим C:\Program Files\Common Files\Microsoft Shared и удоляем mssoft.exe
Файл mssoft.exe — скрытый (если не видите, то включите отображение «Скрытых файлов»)
4. Пуск — Выполнить — ввести: regedit
Далее:
«HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion»
Прокручиваем список вниз до Winlogon
Далее:
Видим 2 таких папки: 1- Winlogon (реальная системная папка) и 2- winlogon (создана вирусом)
нам нужен 2-ой: winlogon
*как видим отличие только в 1-ой букве (в 1 — с большой; во 2 — с маленькой)
Выбираем папку winlogon — и удоляем её (не перепутайте)
4.1 Теперь заходим в Winlogon: ищем ключ: «Shell» — жмём Изменить — в поле Значение стираем всё кроме: Explorer.exe
4.2 Возможно: «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon» если ключ Userinit был изменен, то: восстановить значение на «C:\Windows\system32\userinit.exe,»
4.3 Проверить hosts находящийся в C:\Windows\System32\Drivers\Etc\ ,если есть подозрительные адреса — удалить эти строчки
5. Можете перезагружаться в «Обычном режиме» и проверяться с помощью Dr.Web CureIt!® или штатного Антивируса
Не забудьте обновить базы данных Антивируса

06.07.2010  Метки: , ,   Рубрики: Интернет, Программы

Один комментарий

  1. гоогле поисковик « Блоголента - 06.07.2010

    […] allex пишет: Поиск выявил списки ключей разблокировки на антивирусных форумах, но мне ни один не подошел. Пришлось заняться чисткой вручную, OSAM помог вычислить злодея. Когда узнал имя файла — поискал по нему, нашел инструкцию, аналогичную моим действиям … Посмотрел по дате создания файла (сутки до обнаружения при перезагрузке) и по Google Web History — в это время открывал безобидную картинку на хостинге keep4u.ru. Не знаю, есть ли связь. Сильно сомневаюсь, что я пустил вирус сам. … […]

Написать комментарий