Lost your password?

СМС на номер 6681 - как "убить" этот вирус?

 

На днях приключилась со мной интересная вещь - при попытке открыть Асю(у меня QIP 8095) или Skype появляется сообщение о заблокированной учетной записи за рассылку спама. Вот такое:

Skype QIP

Мой любимый НОД32(ESET NOD32) ничего подозрительного не обнаружил. Т.е. вирусов как бы на моем компьютере нет, по его мнению. Естественно я считаю иначе, т.к. СМС отправлять не желаю, а общаться по Асе и Скайпу хочется. Пошел искать вирус вручную. И нашел. Если вдруг с Вам произошла подобная беда, то опишу весь процесс поподробнее:

Дабы выявить подобный вирус первым делом надо найти процесс в Диспетчере задач, который не относится к служебным и является на Ваш взгляд лишним. Как правило такие процессы относятся только к учетной записи, а не к системе. На скрине ниже Вы можете наблюдать именно тот процесс, который и послужил причиной написания данной статьи(smss.exe)
Диспетчер задач
Как видите, процесс ссылается на некую службу Windows timing service. Я не помню, чтобы такая присутствовала ранее, да и имя процесса тоже какое-то неоднозначное. Решил проверить - запустил асю, появилось назойливое жадное окно. После этого я выделил указанный процесс и нажал "Завершить процесс". Окно исчезло. Значит процесс выявлен верно. Теперь дело за малым - найти папку хранения исполняющего файла и ветку в реестре, чтобы все это удалить.

Тут еще одна хитрость вируса: прежде чем искать его местоположение обязательно необходимо завершить процесс данной программы, т.к. вирус не дает просмотреть реестр и закрывает окно проводника при попытке зайти в папку с программой.

Папку хранения процесса можно выявить следующим образом: перед завершением процесса нажмите правой кнопкой мыши на процессе и выберите свойства. Свойство размещение покажет папку, в которой хранится исполняемый файл. Правда, посмотреть свойства таким образом получится только в версиях Windows, начиная с Vista. У меня это оказалась папка: C:\Program Files\Common Files\PerfLogs

Теперь переходим в реестр. Для перехода в реестр необходимо нажать кнопку Пуск-Выполнить. В окне пишем: regedit и жмем Ок. Выделяем ветку HKEY_LOCAL_MACHINE. Теперь, чтобы не лазить по реестру вручную идем в: Правка-Найти. В окне набиваем наш процесс - smss - жмем найти далее. Все записи реестра, которые ссылаются на найденное слово необходимо удалить. Только внимательно удаляйте: если не знаете о чем речь, лучше попросить кого-то, кто разбирается в таких вещах, т.к. неверное удаление может привести к сбоям системы, что в свою очередь может привести к переустановке ОС. У меня это были записи:

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6000.16386_none_aa03e6011c468ee6

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6001.18000_none_ac3aa7fd19319fba

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6002.18005_none_ae26210916536b06

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss-bootexecute_31bf3856ad364e35_6.0.6000.16386_none_1eff3a5d1192ed4a

Надеюсь данная статья помогла Вам избавиться от подобной проблемы.


Вот, написал на досуге программку, которая удаляет данный вирус с компа напрочь. Надо просто запустить программу и нажать "Убить вирус СМС".

При запуске появляется ошибка - "Component ?COMDLG32.OCX? or one of its dependencies not correctly registered: a file is missing or invalid."

Сразу оговорюсь: программа тестировалась лишь у меня на компьютере(Windows Vista Houm Premium 32/x86). Так что Вы применяете эту программу на свой страх и риск и я не гарантирую, что результат будет 100%.

Скачать

  Kill_SMS_Virus.zip (243,6 KiB, 1 564 скачиваний)

Внимание: программа распространяется бесплатно. Распространение данной программы в коммерческих целях запрещено


Статья помогла? Сделай твит, поделись ссылкой с друзьями!
Обсуждение: 4 комментария
  1. Kenesov:

    Дополнение: Такие вирусы обычно скрываются системным процессом, чаще всего под svchost: svlhost или svccost вот это вирусы.
    У меня вирусы делают так: Запускаешь программу, например открываю браузер Maxthon и тут сразу запускается несколько процессов под названием Maxthon.exe. Закрывают браузер, процессы остаются. При запуске любой программы так получается, и если не выгружать их, то таковых может быть и 100.

  2. svchost может быть не в единственном кол-ве в процессах даже без вирусов. Это его особенность.

  3. Лис:

    Мне помогла только смена DNS сервера вручную - вражеский убрал и стало сразу ок!
    поменял на 8 8 8 8 и 8 8 4 4 (это бесплатные ДНС гугла)

Поделитесь своим мнением

Комментарии, не имеющие отношения к комментируемой статье, могут быть удалены без уведомления и объяснения причин. Если есть вопрос по личной проблеме - добро пожаловать на Форум


Для оформления сообщений Вы можете использовать следующие тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Тренинги

Заказать
Юридическая информация

Использование материалов сайта

Политика Конфиденциальности

ИП Щербаков Дмитрий Валентинович
ОГРНИП: 318502700083307
ИНН: 504013350772

Наши партнеры

Перейти

Счетчики

Рейтинг@Mail.ru Яндекс.Метрика
© 2024 Excel для всех   Войти