Как справится с вирусом, который просит Вас отправить смс сообщение на определённый номер и ввести активационный код

Как справится с вирусом, который просит Вас отправить смс сообщение на определённый номер и ввести активационный код.
Есть важные моменты: вирус встроился в библиотеки Internet Explorer, Вы его скачали и открыли.
Очень часто бывает так, что на определённом сайте Вас просят скачать плагин или флеш плеер.
Вы его скачиваете и устанавливаете. Но эффекта от этой программы Вы не замечаете.
После перезагрузки компьютера у Вас на экране появляется окно, которое невозможно убрать, закрыть и свернуть. В этом окне Вас просят отправить смс сообщение на определённый номер и ввести активационный код. Даже если вы отправите это смс, получите код активации и введёте его, то программа может и не исчезнуть.
Есть очень много подобных вирусов. В данной статье я буду описывать вирус Get Access. Это вирус явно пишет кто он. Он сообщает, что он действует в соответствии с пользовательским соглашением.
Если Вы установили неизвестное приложение и его эффект незаметен ( и вы ещё не перезагружали компьютер ), то постарайтесь найти его в панели управления ( его имя заканчивается на Get Access ) и удалить, а лучше ваобще не устанавливать то в чём неуверенны.
Если у вас не открывается Мой компьютер и любая другая папка, то нужно подождать 20 – 30 минут и всё прогрузится и откроется.
После удаление вируса из Установки и удаления программ, перезагрузите компьютер.
При включении программа может ещё быть на экране, подождите 20-30 минут и она может самоудалится.
Если и этого не произошло, то подождите 2-3 часа, должно помочь

--- File Downloader ---

Если у вас вирус явно заявляет что он File Downloader, то переведите время на 10 лет назад, перезагрузите, переставьте на текущий год, должно помочь.
Можно переставить время на час назад с того момента как вылазит это окно.
На него AVZ, NOD 32 и др.Web не действуют.
Можно попробовать ввести данный код 3490969281

При подобных вирусах можно почистить реестор: пуск > выполнить
Вводим в строку regedit находим раздел hkey_current_user или hkey_local_machine - software - microsoft - windows - currentversion - run или runonce
Все подозрительные ссылки можно удалять.
Второй способ.
Сканируете систему антивирусом, он найдет C:\Documents and Settings\!!!Ваш профиль!!!\Главное меню\Программы\Автозагрузка\siszud32.exe ( он есть, он скрыт, видится в Тотал командер ) ( удалите или заблокируйте), потом в \WINDOWS\system32\drivers\etc\hosts и удаляем там все пути кроме 127.0.0.1 localhost (если такой имеется), затем в реестре находим поиском наше любимое назвние file downloader и удаляем ВСЮ ветвь, содержащую эти ключи. перезагружаем, еще раз сканируем систему антивирусом, перезагружаем, должно помочь.

--- Get Accelerator ---
Данный тип вируса не удалить через пуск-> выполнить = msconfig и реестр, автозагрузка чиста.
Этот вирус как и все подобные просит отправить смс на определённый номер и ввести код активации. Так вот, этот вирус удалается спомощью антивирусной программы AVZ
Но возможны проблемы, у этого вируса есть много версий и все они имеют разные способы работы и разные имена файлов.
Чтобы удалить Get Accelerator нужно в AVZ зайти в Файл -> Выполнить скрипт
Существует множество подобных скриптов:
Скрипт 1: begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(’%WinDir%\dmgr134.sys’,»);
QuarantineFile(’%WinDir%\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’,»);
DeleteFile(’%WinDir%\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’);
DeleteFile(’%WinDir%\dmgr134.sys’);
DelBHO(’6D7B211A-88EA-490c-BAB9-3600D8D7C503?);
DeleteService(’Windows System Service’);
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard(’TSW’, 1, 1, true);
ExecuteWizard(’BT’, 1, 1, true);
RebootWindows(false);
end.
Вот скрипт 2:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID(’28ABC5C0-4FCB-11CF-AAX5-81CX1C735612?);
DelCLSID(’08B0E5C0-4FCB-11CF-AAX5-90401C608512?);
QuarantineFile(’C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe’,»);
QuarantineFile(’c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe’,»);
QuarantineFile(’C:\Program Files\NewDotNet\newdotnet3_88.dll’,»);
QuarantineFile(’%WinDir%\ctfmon.exe’,»);
QuarantineFile(’C:\RECYCLER\S-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe’,»);
QuarantineFile(’%WinDir%\dmgr134.sys’,»);
QuarantineFile(’%WinDir%\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’,»);
DeleteFile(’C:\RECYCLER\S-1-5-21-9787202201-6185584220-830988926-4613\mwau.exe’);
DeleteFile(’C:\WINDOWS\ctfmon.exe’);
DeleteFile(’c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe’);
DeleteFile(’C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe’);
BC_ImportAll;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Во скрипт 3:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(’%WinDir%\dmgr134.sys’,»);
QuarantineFile(’%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’,»);
DeleteFile(’%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’);
DeleteFile(’%WinDir%\dmgr134.sys’);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Вот скрипт 4:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\system32\regedit.exe','');
DelBHO('{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}');
QuarantineFile('C:\PROGRA~1\IEDOCT~1\adflr.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe','');
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%WinDir%\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%WinDir%\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe');
DeleteFile('C:\PROGRA~1\IEDOCT~1\adflr.dll');
Если не помогло, добавьте эту строку DeleteFile(’C:\WINDOWS\system32\regedit.exe’);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Ну и последний вариант скрипта:
begin
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile(’%WinDir%\System32\aekgoprn.dll’,»);
QuarantineFile(’%WinDir%\system32\DRIVERS\agp440.sys’,»);
QuarantineFile(’%WinDir%\dmgr134.sys’,»);
DeleteFile(’%WinDir%\dmgr134.sys’);
DeleteFile(’%WinDir%\System32\aekgoprn.dll’);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + ‘boot_cleaner.log’);
BC_Activate;
RebootWindows(true);
end.
Должно сработать...


Важно: если у вас какой-то вирус который просит отправить смс и т.д. то проверьте генератор кодов от Dr.Web

--- ВАЖНО ---
ВАЖНО: И ещё раз повторю, чтобы вирусы не посещали ваш компьютер нужно:
Проводить антивирусное сканирование ( иногда ).
В электронной почте: Если вы незнаете отправителя или просто письмо кажется подозрительным, то не скачивайте и не открывайте прикреплённые файлы имеющие расширения COM EXE BAT CMD VBS VBE JS JSE WSF WSH GIF JPG JPEG PNG TIF TIFF
На разных сайтах: Если вас просят установить какой-то плагин, плеер или программу, и если она размером меньше 1 Мб, то неустанавливайте её ( и ещё все плееры должны скачиваться с официального сайта флеш плееров и т.п ).
Чтобы никто не узнал ваш пороль от какой-нибудь социальной сети или сайта:
Если Вам пришло письмо от сайта где вы зарегистрированны, где Вас просят ввести свои данные ( логин, пароль ) на этом сайте ( есть ссылка ), и что они якобы могли потерять ваши личные данные в результате системной ошибки или чего нибудь ещё, то переходя по ссылке на этот сайт посмотрите его адрес, если он отличается от правильного хотя бы одним символом ( даже если это одна точка ), то это подстава и вас разводят ( чтобы вы сами собственноручно ввели ваши пароль и логин на их сайт ) ( и им ничего не предъявить, ибо сам виноват )