Как удалить СМС-вирус?

SMS-вирусы в последнее время стали настоящей напастью для многих пользователей. «Подцепить» такой вирус можно где угодно – на сайтах, при загрузке приложений с трояном, открывая вредоносные ссылки. Вирус в большинстве случаев блокирует запуск приложений, висит всегда поверх всех окон и требует отправить СМС на указанный номер для разблокировки системы. Естественно, услуга эта платная, и может стоить больших денег. К тому же, нет гарантии, что в ответ придёт код разблокировки.

Первый раз вирус проявляет себя при запуске Windows и отображает на экране окно. SMS-вирус часто маскируется под антивирусную программу (Security Tool) и сообщает, что на компьютере множество вирусов, а для их удаления нужно активировать программу. Из-за этого многие пользователи, решив, что имеют дело с антивирусной программой, отправляют сообщение и далеко не всегда получают ответное СМС. Другой появляется при запуске браузера, маскируясь под рекламный порно баннер. Занимает он большую часть экрана и располагается всегда поверх всех окон. Ещё одна разновидность – вирус-подделка под кодеки. Обычно такой «кодек» пользователь сам скачивает с непроверенного сайта и запускает. Дальше в дело вступает СМС-вирус.

Общие черты у всех разновидностей СМС-вирусов: блокирование запуска программ, диспетчера задач, отображение поверх всех окон, предложение отправить SMS на указанный номер.

Универсальный способ борьбы с СМС-вирусами пока не придуман. Всё потому, что существует множество разновидностей подобных вирусов и каждый заражает систему по-своему. Однако есть несколько проверенных способов избавиться от этой «заразы».

Подбор кода разблокировки СМС-вируса на сайтах антивируса Касперского и Dr. Web

Хоть известные антивирусы и пропускают SMS-вирус, всё же разработчики придумали способ подбора секретного кода. Проходим по ссылкам: http://www.drweb.com/unlocker/index или http://support.kaspersky.ru/viruses/deblocker и вводим данные. Нам потребуется ввести номер, на который предлагается отправить СМС, текст сообщения и выбрать тип вируса. После чего будет выдан код разблокировки. В случае успешной разблокировки не торопимся радоваться, теперь нужно выполнить очистку системы от следов вируса. Ведь через некоторое время вирус опять может проявиться и снова затребовать отправки СМС.

Удаление из списка процессов

Любой вирус является процессом и его можно попытаться увидеть в списке запущенных процессов. Нажимаем Ctrl + Alt + Delete или Ctrl + Shift + Esc и внимательно просматриваем список. Диспетчер задач отображает процессы и позволяет удалить любой процесс. Тут трудно указать точные названия, так как вирусы модифицируют свои названия и невозможно точно сказать, как он будет называться. Заметим, что обычно не бывает процессов, имеющих в названии одни лишь цифры или случайный набор символов (букв, цифр и других знаков). Например, процессы 10347815.exe и _ex-05.exe скорее всего являются файлами вируса. Заметим, многие СМС-вирусы блокируют указанные комбинации клавиш и запуск диспетчера задач невозможен. Если не блокируется запуск приложений и доступ в интернет, можно скачать сторонние утилиты — аналоги Диспетчера задач и использовать их.

Вычислить посторонние процессы можно и в окне Настройка системы. Открываем Пуск – Выполнить – вводим msconfig – вкладка Автозагрузка. В столбце Команда указан полный путь до запускаемого файла и, найдя в списке подозрительные файлы, можно легко определить, где они лежат. Ненужные процессы можно отключить из автозапуска, убрав флажки напротив их названия (аналогичным способом их потом можно вернуть). Отключённые в этом окне процессы не будут автоматически запускаться при включении Windows.

Проверка в списке назначенных заданий

Некоторые модификации СМС-вирусов прописывают себя в списке назначенных заданий и периодически запускают свой исполняемый файл. Чтобы открыть Пуск — Все программы – Стандартные – Служебные – Назначенные задания. В списке заданий внимательно изучаем задания. Как правило, если ранее не менялось расписание, в списке может быть одно-два задания. Часто вирус добавляет задание под названием SYS CHECK. Просто удаляем задание, предварительно посмотрев в свойствах задания полный путь к исполняемому файлу SMS-вируса.

Удаление SMS-вируса в безопасном режиме Windows

Перезагружаем компьютер в безопасном режиме (жмём несколько раз после перезагрузки клавишу F8), ищем файлы под названием blocker.exe и blocker.bin и удаляем их (названия файлов могут отличаться, на этот случай есть другие способы).

Затем открываем редактор реестра (Пуск – Выполнить — regedit), проходим последовательно по ветке HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon и смотрим значение параметра userinit. Оно должно быть равно C:/WINDOWS/system32/userinit.exe, (и ничего более, так как вирус может дописать путь для запуска после запятой), в противном случае вписываем это значение вручную (двойной клик на userinit). Любое другое значение говорит о том, что вирус прописал свои данные в реестре. Кстати, всё, что приписано после запятой, может нам пригодиться. Дело в том, что путь говорит нам о том, где искать файл вируса. Заходим в папку и удаляем его (если папку не видно, включаем отображение скрытых файлов — Свойства папки – вкладка Вид – Показывать скрытые файлы и папки).

На всякий случай проверяем и значение параметра Shell, оно должно быть Explorer.exe. Также смотрим содержимое ветки HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run. Если в списке присутствуют подозрительные программы, удаляем их. Возможно, троян стартует именно из автозагрузки.

Напоследок можно проверить систему антивирусом, не выходя из безопасного режима. Заметим, некоторые модификации СМС-вирусов точно также ведут себя и в безопасном режиме, так что предложенный способ неэффективен.

Выключение компьютера на некоторое время

Самый простой способ, однако возлагать больших надежд на него не стоит. Тем не менее, есть много свидетельств, что через некоторое время вирус больше не появляется. Достаточно выключить компьютер и включить его через несколько часов, вирус вроде бы должен самоудалиться.

Определение подозрительных файлов и поиск их на дисках

СМС-вирус всегда где-то сохранён, поэтому можно попробовать его поискать на дисках компьютера. Как правило, обитать «зараза» может в папках Windows, Program Files, Documents and Settings/имя_пользователя. Если точно известна дата заражения системы, есть возможность найти файлы вируса по дате. Если использовать средства Windows, то идём в Пуск – Поиск, раскрываем раздел Когда были произведены последние изменения?, выбираем опцию Указать диапазон, выбрать вариант Создан и ввести дату появления SMS-вируса. Система найдёт все файлы, созданные в указанный промежуток времени и попытаться проанализировать, какие из них могут являться вирусами. Для проверки можно не удалять их, а переименовать и перезагрузить систему. Если после перезагрузки вирус пропал, значит его файл был одним из переименованных.

Чистка антивирусом на другом компьютере

Если есть доступ в системный блок компьютера (отсутствуют магазинные пломбы), можно снять жёсткий диск (винчестер) и подключить его в другом незаражённом компьютере. Там запустить антивирусную программу и проверить все диски. Не помешает и вручную просмотреть все системные папки на наличие подозрительных файлов, об этом в следующем способе.

Переустановка или восстановление системы

Если никакие предлагаемые меры не помогают избавиться от СМС-вируса, и нет возможности вызвать специалиста, если восстановление работы системы требуется в как можно быстрые сроки, можно только порекомендовать полную переустановку Windows или восстановление системы (если были созданы точки восстановления).

Проверка после удаления СМС-вируса

Если какой-то из предложенных способов помог, желательно выполнить полную проверку компьютера антивирусом. Хорошо удаляет последствия «работы» вируса утилита от Dr. Web под названием CureIt.