На днях приключилась со мной интересная вещь - при попытке открыть Асю(у меня QIP 8095) или Skype появляется сообщение о заблокированной учетной записи за рассылку спама. Вот такое:

Skype QIP

Мой любимый НОД32(ESET NOD32) ничего подозрительного не обнаружил. Т.е. вирусов как бы на моем компьютере нет, по его мнению. Естественно я считаю иначе, т.к. СМС отправлять не желаю, а общаться по Асе и Скайпу хочется. Пошел искать вирус вручную. И нашел. Если вдруг с Вам произошла подобная беда, то опишу весь процесс поподробнее:

Дабы выявить подобный вирус первым делом надо найти процесс в Диспетчере задач, который не относится к служебным и является на Ваш взгляд лишним. Как правило такие процессы относятся только к учетной записи, а не к системе. На скрине ниже Вы можете наблюдать именно тот процесс, который и послужил причиной написания данной статьи(smss.exe)
Диспетчер задач
Как видите, процесс ссылается на некую службу Windows timing service. Я не помню, чтобы такая присутствовала ранее, да и имя процесса тоже какое-то неоднозначное. Решил проверить - запустил асю, появилось назойливое жадное окно. После этого я выделил указанный процесс и нажал "Завершить процесс". Окно исчезло. Значит процесс выявлен верно. Теперь дело за малым - найти папку хранения исполняющего файла и ветку в реестре, чтобы все это удалить.

Тут еще одна хитрость вируса: прежде чем искать его местоположение обязательно необходимо завершить процесс данной программы, т.к. вирус не дает просмотреть реестр и закрывает окно проводника при попытке зайти в папку с программой.

Папку хранения процесса можно выявить следующим образом: перед завершением процесса нажмите правой кнопкой мыши на процессе и выберите свойства. Свойство размещение покажет папку, в которой хранится исполняемый файл. Правда, посмотреть свойства таким образом получится только в версиях Windows, начиная с Vista. У меня это оказалась папка: C:\Program Files\Common Files\PerfLogs

Теперь переходим в реестр. Для перехода в реестр необходимо нажать кнопку Пуск-Выполнить. В окне пишем: regedit и жмем Ок. Выделяем ветку HKEY_LOCAL_MACHINE. Теперь, чтобы не лазить по реестру вручную идем в: Правка-Найти. В окне набиваем наш процесс - smss - жмем найти далее. Все записи реестра, которые ссылаются на найденное слово необходимо удалить. Только внимательно удаляйте: если не знаете о чем речь, лучше попросить кого-то, кто разбирается в таких вещах, т.к. неверное удаление может привести к сбоям системы, что в свою очередь может привести к переустановке ОС. У меня это были записи:

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6000.16386_none_aa03e6011c468ee6

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6001.18000_none_ac3aa7fd19319fba

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss_31bf3856ad364e35_6.0.6002.18005_none_ae26210916536b06

HKEY_LOCAL_MACHINE\COMPONENTS\DerivedData\Components\x86_microsoft-windows-smss-bootexecute_31bf3856ad364e35_6.0.6000.16386_none_1eff3a5d1192ed4a

Надеюсь данная статья помогла Вам избавиться от подобной проблемы.


Вот, написал на досуге программку, которая удаляет данный вирус с компа напрочь. Надо просто запустить программу и нажать "Убить вирус СМС".

При запуске появляется ошибка - "Component ?COMDLG32.OCX? or one of its dependencies not correctly registered: a file is missing or invalid."

Сразу оговорюсь: программа тестировалась лишь у меня на компьютере(Windows Vista Houm Premium 32/x86). Так что Вы применяете эту программу на свой страх и риск и я не гарантирую, что результат будет 100%.

Скачать

  Kill_SMS_Virus.zip (243,6 КиБ, 1 578 скачиваний)

Внимание: программа распространяется бесплатно. Распространение данной программы в коммерческих целях запрещено

Loading

4 комментария

  1. Дополнение: Такие вирусы обычно скрываются системным процессом, чаще всего под svchost: svlhost или svccost вот это вирусы.
    У меня вирусы делают так: Запускаешь программу, например открываю браузер Maxthon и тут сразу запускается несколько процессов под названием Maxthon.exe. Закрывают браузер, процессы остаются. При запуске любой программы так получается, и если не выгружать их, то таковых может быть и 100.

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.