lexapass
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Появилась еще одна разновидность - drweb уже определяет, остальными не проверял. Ошибки в тексте, так сказать, авторские. Код: ООО "InformSecurity" Уважаемый пользователь! Ваш компьютер зажарен () вирусом "Trojan-Spy.Win32.Zbot.ikh" Ваша система заблокирована! Наша компания настоятельно рекомендует излечить вирус на Вашем компьютере. В Нашей программе заложен код, который сканирует зараженные компьютеры на наличие сетевого вируса. Этот вирус заражает компьютеры через http протокол и в дальнейшем распространяется через уязвимость переполнения буфера MS08-067 в сервисе «svchost.exe». Для удаления вируса необходимо послать sms с текстом "isdrweb" без кавычек на номер 6005. Стоимость смс зависит от вашего оператора (не больше 149 р.) Как только вы отправите смс Наши специалисты восстановят Вам систему в течение нескольких минут. Вам придет код, уникальный для каждой системы. Введите код восстановления и нажмите кнопку Лечить. После ввода кода и нажатия кнопки активизируется целый ряд программных алгоритмов очищающий компьютер от вируса и гарантирующий дальнейшую работу компьютера. Внимание!! Переустановка Windows может обернутся потерей всех данных, поскольку вирус вносит ряд непоправимых изменений в BIOS | Зараза (C:\Windows\system32\portmap.exe) прописывается в автозагрузку в нескольких местах (в том числе и нестандартных, но не в Userinit). Их аж три штуки в процессах висело. После своего запуска убивает процесc проводника и блокирует в реестре вызов таскменеджера и правку реестра. Фокус со справкой не работает, по-другому скрывает окна. Проще всего под WinPE или аналогами убить сам файл, а потом, нормально загрузившись, поиском (portmap.exe) вычистить реестр. Еще - комп остается доступным по сети, можно удаленно подключиться к реестру, убивать процессы, удалять файлы... | Всего записей: 566 | Зарегистр. 11-10-2004 | Отправлено: 23:16 23-04-2009 | Исправлено: lexapass, 23:27 23-04-2009 |
|