Смс-вымогатели. Стелим соломку.

**harry_nsk** · 08.04.2011, 22:47

По поводу программ смс-вымогателей:
Лучше заранее соломку подстелить.
Для пользователей Windows XP.
Написал небольшой скриптик smskill.vbs
Лежит тут: http://fayloobmennik.net/529403

Его надо поместить в автозагрузку. И все.
Он тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает в параметры исходное значение.
Если появится сообщение о просящее смс, то просто перезагружаете компьютер. И вымогатель пропадет.
При загрузке появится окошеско, в которомбудет указан путь к файлу, который просил денюжку. Надо удалить его вручную.
Та как его тело останется в компьютере. Потом обязательно нужно проверить комп на вирусы.
Во всяком случае этот скрипт возвращает управление пользователю до следующего "прихода" "смс-вымогателя".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Iron Monk** · 08.04.2011, 23:15

Сообщение от harry_nsk

Он тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает в параметры исходное значение.

А вирь тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает свои параметры.

**tar** · 09.04.2011, 15:41

хорошо бы чтобы данный скрипт сначала убивал процессы которые были прописаны в параметрах "Shell" и "Userinit", а потом исправлял реестр

**Iron Monk** · 09.04.2011, 17:46

Сообщение от tar

хорошо бы чтобы данный скрипт сначала убивал процессы которые были прописаны в параметрах "Shell" и "Userinit", а потом исправлял реестр

Не обязательно будут эти процессы. Если файл прописанный в этих ключах - дроппер | лоадер | инжектор.

**harry_nsk** · 17.04.2011, 16:39

Большинство вирусов, на текущйи момент, пользуются подменой експлорера на свой файл, в указанной ранее ветке.
Во всяком случае 9 из 10 точно.
Вполне возможно что кроме вымогателя в компе уже живет еще живность. Но она во всяком случае не блокирует действий пользователя, можно будет запустить CureIt или сделать другие дейстсвия.

Этот скрипт просто дает возможность вернуть эксплорер при запуске.
Во всяком случае после перзагрузки - вирус не запускается ,пок сам его снова не стартанешь.

В принципе можно и убивать тело вируса.
Но я посчитал, что пользователь должен хотя бы знать, где лежит вирус и сам его удалит.
Думаю все же добавлю удаление вируса.

Добавлено через 3 часа 33 минуты

Сообщение от Iron Monk

А вирь тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает свои параметры.

Да действительно, на другой версии вируса не работает. Буду разбираться.

Смс-вымогатели. Стелим соломку.

Опции темы

Смс-вымогатели. Стелим соломку.

Похожие темы

lockdir и другие шифровальщики вымогатели: подстилаем соломку

смс-вымогатели

СМС Вымогатели !!!

SMS вымогатели

Метки для этой темы

Ваши права в разделе