Новый sms-локер браузера

14 Feb 2013 | Автор: anchous |

Поймали тут в офисе прикольный вирь, который лочит бродилки (причем все) угрожающей надписью “STOP Содержимое сайта заблокировано, для разблокировки необходимо пройти процедуру активации”, причем что меня сначала озадачило- редиректит на сайт мелкомягких на скачку какого то софта.

Так что я даже сперва решил что это какая то навязчивая реклама RBK, но покопавшись понял что таки нет. Хотя признаюсь, выглядит очень даже симпатишно, так что прям так и хочется перевести денежку.

Содержимое сайта заблокировано

Естественно что в файле C:\Windows\System32\drivers\etc\hosts было написано куча всякой мути, причем не абы как, а в самом конце файла, так что пришлось его прокручивать вниз пару минут. Что естественно для беглого взгляда выглядит как обычный, ни чем ни примечательный hosts. Так что открыв его в блокноте чистим от всех записей отличных от
127.0.0.1 localhost

Судя по тому, что там содержались записи для социальных сетей Одноклассники и ВКонтакте, то видимо этот же локер блокирует и попадание в наиболее популярные социальные сети. Так что ввиду того, что сотрудник позвонил не с вопросом “почему я не могу зайти в контакт”,  а с вопросом “почему у меня не открывается РБК” можно наверное начислить ему премию за усердие.

Далее файл сохраняем- если он руагается, то тогда копируем hosts куда нить на диск (к примеру на рабочий стол), редактируем его там, а после это копируем обратно в C:\Windows\System32\drivers\etc\

Подтерев все эти левые записи, удаляем все временные файлы, как в папке  C:\Windows\Temp так и в  C:\Users\%USERNAME%\AppData\Local\Temp после чего очищаем кэш в бродилках:

для FF это Настройки -> Дополнительные -> Сеть -> Кэшированное веб-содержимое -> Очистить сейчас
для IE Панель управления -> Свойства обозревателя -> Общие  -> История просмотра -> Удалить
Также можно сбросить настройки IE: Свойства обозревателя -> Дополнительно   -> Сброс параметров настройки IE -> Сброс

После этого проверяем Планировщик, так как данная ботва идет более интеллектуальным путем и пишет автозагрузку не по-старинке в реестр, а нанотехнологично в планировщик: Пуск -> Все Программы -> Стандартные -> Служебные -> Планировщик заданий и там ищем подозрительные задания ссылающиеся на host, после чего их удаляем и перегружаем машину.

удаление sms-локера из автозапуска

Также я на всякий случай снес автозапуск pcalua.exe бравшего какой то файл из кэша IE. Хоть файл и системный и безопасный, но хуже точно не будет.

После этого стоит просканировать машину с помощью AVZ и Dr.Web CureIT! но в моем случае, после опустошения темпов, они уже ничего не нашли.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 2 votes)

Теги: ,

Ваш отзыв