-
Junior Member
- Вес репутации
- 48
Смс-вымогатели. Стелим соломку.
По поводу программ смс-вымогателей:
Лучше заранее соломку подстелить.
Для пользователей Windows XP.
Написал небольшой скриптик smskill.vbs
Лежит тут: http://fayloobmennik.net/529403
Его надо поместить в автозагрузку. И все.
Он тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает в параметры исходное значение.
Если появится сообщение о просящее смс, то просто перезагружаете компьютер. И вымогатель пропадет.
При загрузке появится окошеско, в которомбудет указан путь к файлу, который просил денюжку. Надо удалить его вручную.
Та как его тело останется в компьютере. Потом обязательно нужно проверить комп на вирусы.
Во всяком случае этот скрипт возвращает управление пользователю до следующего "прихода" "смс-вымогателя".
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
harry_nsk
Он тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает в параметры исходное значение.
А вирь тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает свои параметры.
...причиняю добро и наношу непоправимую пользу...
-
-
хорошо бы чтобы данный скрипт сначала убивал процессы которые были прописаны в параметрах "Shell" и "Userinit", а потом исправлял реестр
-
Сообщение от
tar
хорошо бы чтобы данный скрипт сначала убивал процессы которые были прописаны в параметрах "Shell" и "Userinit", а потом исправлял реестр
Не обязательно будут эти процессы. Если файл прописанный в этих ключах - дроппер | лоадер | инжектор.
...причиняю добро и наношу непоправимую пользу...
-
-
Junior Member
- Вес репутации
- 48
Большинство вирусов, на текущйи момент, пользуются подменой експлорера на свой файл, в указанной ранее ветке.
Во всяком случае 9 из 10 точно.
Вполне возможно что кроме вымогателя в компе уже живет еще живность. Но она во всяком случае не блокирует действий пользователя, можно будет запустить CureIt или сделать другие дейстсвия.
Этот скрипт просто дает возможность вернуть эксплорер при запуске.
Во всяком случае после перзагрузки - вирус не запускается ,пок сам его снова не стартанешь.
В принципе можно и убивать тело вируса.
Но я посчитал, что пользователь должен хотя бы знать, где лежит вирус и сам его удалит.
Думаю все же добавлю удаление вируса.
Добавлено через 3 часа 33 минуты
Сообщение от
Iron Monk
А вирь тупо проверяет наличие изменения в параметрах "Shell" и "Userinit" в ветке реестра "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\" и в случае их изменения возвращает свои параметры.
Да действительно, на другой версии вируса не работает. Буду разбираться.
Последний раз редактировалось harry_nsk; 17.04.2011 в 17:18.
Причина: Добавлено