Не смотря ни на что надо отдать должное изобретательности вирусописателей ибо, как-никак, наживаться на пользователях пиратской версии Windows (Почему именно пиратской? Потому, что в лицензионной, постоянно обновляющейся Windows XP этот вирус попросту не работает) идея шикарная и, как я понимаю, прибыльная, ибо вирус постоянно модифицируется и улучшается. Во-вторых, дело даже не столько в идее, сколько в реализации, ибо сие чудо не прописано банально в автозагрузке, а заложено поглубже и срабатывает даже в безопасном режиме и при диагностическом запуске (загрузка только основных драйверов и служб).
В общем мне понравилось, но не остановило, а посему я предлагаю Вам набор решений по устранению этой гадости, а так же поведаю о том, что делать, если после удаления вируса у вас чистый рабочий стол или другие проблемы.
Решения
Описанные ниже решения актуальны почти для всех версий вируса.
Вариант 1 (коды раблокировки):
На сайте dr.web есть коды разблокировки и найти их можно тутПросто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки. Так же, как вариант, Вы можете ввести номер куда просят отправить смс и текст сообщения, а затем нажать на кнопку “найти” и получить код.
После разблокировки тут же начинаем лечить систему нормальным антивирусом.
Если после разблокировки у Вас чистый рабочий стол, то читайте конец статьи.
Вариант 2 (почти руками):
Берем рабочий компьютер и флешку\диск.
Скачиваем avz, записываем его на флешку или диск.
Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“ .
Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
Вставляем диск\флешку в компьютер.
В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
Ждем пока появится знакомый нам “Мой компьютер“
Заходим на флешку\диск и запускаем avz.exe
Выбираем “Файл - Мастер поиска и устранения проблем“. В появившемся окошке выбираем: “Системные проблемы” – “Все проблемы” и жмем кнопочку “Пуск“. Ставим все галочки кроме тех, что начинаются с “Разрешен автозапуск с..” и “Отключено автоматическое обновление системы“. После чего жмем “Исправить отмеченные проблемы“.
Там же выбираем “Настройки и твики браузера” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.
Там же выбираем “Приватность” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.
Далее жмем “Закрыть“, а затем, все в том же AVZ, выбираем “Сервис” – “Менеджер расширений проводника” и в появившемся списке снимаем галочки со всех строчек, которые написаны чернымт (а не зеленым цветом).
После этого запускаем “Сервис” – “Менеджер расширений IE” и удаляем (именно удаляем, методом нажатия крестика) ВСЕ строки в списке.
Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.
PS: Если этот способ не помог, то либо воспользуйтесь способом третьим (ниже по тексту), либо просто все в том же “Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том
Вариант 3:
1. Берем рабочий компьютер и флешку\диск.
2. Скачиваем avz, записываем его на флешку или диск.
3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“.
4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
5. Вставляем диск\флешку в компьютер.
6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
7. Ждем пока появится знакомый нам “Мой компьютер“
8. Заходим на флешку\диск и запускаем avz.exe
9. Выбираем “Файл” – “Выполнить скрипт“.
10. Вставляем в появившееся окно скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Где вместо Ваш_аккаунт надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть sonik, может быть vasya или что-то еще, т.е. имя пользователя под которым Вы входите в систему.
Жмем кнопочку “Запустить“. Ждем окончания работы скрипта.
Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.
PS: Если этот способ не помог, то все в том же”Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том
Вариант 4
Заходим в BIOS (кнопочка DEL сразу после включения/перезагрузки компьютера) и переводим там часы на неделю вперед. Вирус, возможно, отключится, после чего запускаем систему и проверяемся нормальным антивирусом.
Вариант 5
Используем LiveCD от компании Dr.web, который позволяет просканировать систему с CD-диска и очистить её от этой гадости.
Что касается установки. Нам надо записать образ на диск. Сделать это можно несколькими способами, но я рекомендую один единственный, а имеено:
1. Берем чистый диск, вставляем его в CD-ROM
2. Скачиваем программку для записи SCD Writer
3. Скачиваем образ по ссылке выше.
4. Запускаем SCD Writer, там выбираем Диск - Записать ISO-образ на диск, выбираем скаченный образ на диске, выставляем скорость записи и ждем окончания записи.
Дальше нам, собственно, надо сделать так, чтобы загрузка происходила не с жесткого диска, а с только что записанного CD. Для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM. После чего сохранить изменения и перезагрузить компьютер. Загрузившись с диска выбираем первый пункт в появившемся меню, а затем запускаем Dr.Web Scanner, запускаем само сканирование кнопочкой Start и ждем окончания, после чего, обрабатываем найденные вирусы.
Решаем проблемы после удаления
Просто удалить вирус не всегда достаточно, т.к. он меняет настройки реестра, а именно, скорее всего после удаления Вы увидите чистый рабочий стол и курсор мышки. Скорее всего не откроется ни диспетчер задач, ни что-либо еще, не будет никакого доступа в панель пуск и никуда вообще. Можно конечно попробовать вылечить систему из безопасного режима, но, как правило, и он заблокирован и компьютер попросту перезагружается при попытке входа туда. Однако есть способ лечения.
Раз компьютер не загрузить с жесткого диска, то мы будем грузить его с CD, благо есть дистрибутивы загрузочных дисков Windows XP, которые позволяют грузится с себя напрямую. И так, что делаем:
Берем другой компьютер, флешку и диск.
Скачиваем вот этот архивРаспаковываем. Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скаченный образ на диске, выставляем скорость записи и ждем окончания записи.
Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, – тогда откройте мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, – во второй раз откажитесь, если все уже проделали.
В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, – в окне редактора они слева). Одни, – это текущие, т.е. той системы в которой мы сейчас находимся, а другие, – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой, после чего справа появляется список настроек этого раздела. Там должна быть строка shell где вместо того, что там указано надо написать (два раза щелкнув по настройке мышкой) ничто иное как explorer.exe. Так же там есть строка userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если конечно папка с системой на диске C, если же нет, то укажите свою букву диска). Внимание! Эта строка должна заканчиваться запятой! Так же внимательно просмотрите все другие строчки на предмет наличия левых путей, ведущих не в систему.
Далее мы открываем Мой компьютер и идем в папку с системой, а именно в windows/system и там ищем user32.exe. Его может и не быть, но если находим – удаляем. Затем смотрим корневые разделы дисков (открываем диск С, диск D если есть и т.д. – все диски что у вас есть) и удаляем оттуда файлы autorun.inf и любые файлы с расширением .exe. После этого загружаем dr.web cureit и проверяем зараженную систему.
Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.
Обязательно сканируемся на вирусы хорошим антивирусом.
Если Windows таки не загрузился вообще, то пытаемся перегрузиться в безопасном режиме.
На случай, если не работает диспетчер задач:
Скачиваем avz.
Распаковываем архив, запускаем программу.
В окне программы выбираем “Файл” – “Восстановление системы”
Ставим галочку “Разблокировка диспетчера задач” и давим в кнопочку “Выполнить отмеченные операции“.
Закрываем программу, пробуем запустить диспетчер задач.
Я ему ссылку на АСЮ сбросил! 
прикол :DDD
