Однажды я сижу как всегда за компьютером, работаю... и тут вдруг в нижней правой части экрана появляется вот такое окно:
Правда, окно было не совсем такое, как показано на скриншоте: отличие лишь в том, что слова "Доступ в интернет заблокирован" были крупными. Я сразу понял, что это вирус, т.к. я такой программы даже не устанавливал, а во вторых существует куча вирусов, которые точно также разводят людей на отправку СМС, вроде:
"Windows заблокирован"
"Алгоритм шифрования вируса"
И другие...
19-20 октября 2009 года зафиксирован всплеск активности нового троянского вымогателя.
Наименование: Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)
Также известен как: Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Trojan.Winlock.366 (DrWeb)
Самоназвание: Get Accelerator
Я обошел различные форумы и использовал разные попытки для удаления вируса. Везде был показан именно такой скриншот, который вы видите в самом верху (т.е. где "Доступ в интернет заблокирован" написано маленькими буквами), и видимо противоядие было именно против этого вируса, а та версия (с большими буквами), которая попалась мне - видимо была новой..
Во всяком случае, какие бы подобные надписи вам не попадались, НИ В КОЕМ СЛУЧАЕ НЕ ОТПРАВЛЯЙТЕ СМС. Все эти вирусы - это лишь очередной способ мошенничества, вроде "Чтение чужих смс", "Поиска абонента по номеру", и т.д.
Для людей, кто столкнулся с той или иной версией этого вируса выкладываю различные инструкции по обезвреживанию:
Симптомы:
На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом acv<набор цифр>
Состав вредоносной программы:
Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.
1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо скачать антивирус AVZ (скачать можно на этой странице) выполнить скрипт в AVZ:
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Вот как это примерно делается:
Ну, а если ни у кого не получилось удалить вирус таким способом (т.е. если вам, видимо, попала версия вируса с большими буквами, как и мне), тогда читаем, как справился с ним я:
Все перечисленные выше шаги я, кстати, сделал. Также, я отсканировал компьютер антивирусами: Kaspersky Internet Security, Dr.Web, Malwarebytes' Anti-Malware, и Avira.
Каждый из этих антивирусов у меня нашел свою порцию вирусов (он видит, другие - нет).
А затем я на одном форуме нашел интересную информацию: дело в том, что этот вирус перестает работать, если в BIOS'е перестроить время дней на 5 вперед.
Т.к. у меня MacBook Pro с установленной на нем Windows XP Professional, у меня получилось сделать это не сразу, т.к. этот биос на маковском железе было сложно. Затем, я узнал еще одну интересную информацию: на Mac'ах НЕТ BIOS'А! И вообще, само название "BIOS" - чисто PC-шное. Поэтому я выполнил самые банальные шаги: перешел в операционку MacOS, перестроил там время на 5 дней вперед, вернулся в Windows... вируса как не бывало!
Конечно, при подключении к интернету, выскакивает сообщение о том, что время, установленное на компьютере, сильно отличается от мирового времени, и время перестраивается обратно на стандартное. Тем не менее, вируса больше не появлялось!
Хоровое пение в МосквеЖенский хор в Москве
2) 1-е и 3-е разводилка для дебилов и блондинок диву даюсь что на это вообще ведутся
3) проще всего формотнуть жескарь с виндой и не парится