Баннеры PWNZ
Сегодня совершенно случайно словил при работающем Kaspersky Internet Security 2010 (!) печально знаменитый баннер (на этот раз с номером 5121). То ли я ненароком вырубил невовремя какие-то компоненты защиты Касперского, то ли что, но час возни этот чертов инструмент онлайн-мошенничества у меня отнял.
Значит так, если у вас посередине экрана висит баннер в стиле Internet Explorer, предлагающий за SMS на номер 5121 избавиться показа неприличных картинок, может быть, вам пригодится следующая информация (в других случаях, возможно, изложенный ниже алгоритм действий тоже поможет).
Первым делом, конечно же, я залез с мобильника cюда http://support.kaspersky.ru/viruses/deblocker . По идее, данная штука меня выручала не раз и не два, а практически постоянно, но в этот раз мне не так повезло - верного кода в базах не оказалось. Fail.
Вторым делом, как водится, с постороннего компа я закинул на флешку Dr.Web CureIt!, который на зараженном компьютере ровным счетом НИЧЕГО не нашел. Epic fail.
Третьим делом, как положено, я зашел в Панель Управления - “Свойства обозревателя”, затем вкладка “Программы”, “Надстройки” и там отключил абсолютно все подозрительное и неподозрительное.
Не найдя ничего лучшего, закинул с постороннего компа ProcessExplorer. Как оказалось - сделал очень верно: при запуске его на зараженном компьютере сразу обнаружился svhost.exe (не svchost.exe), “под руководством” которого были запущены regedit.exe (редактор реестра) и taskmgr.exe (диспетчер задач), а окна этих приложений были либо уведены за границы экрана, либо коллапсированы, в результате чего повторный их запуск становился невозможным. Более того, эта гадина “съела” exe-файл браузера Opera.
Перед убиванием svhost.exe глядим путь, где эта тварь проживает. У меня этот путь был таков: C:\Program Files\Common Files\SysAware Soft. С радостным гыканьем детерминируем svhost.exe, затем всю папку вместе с ним.
Теперь Пуск - “Выполнить”, пишем msconfig и жмем Enter. Отключаем на вкладке “Автозагрузка” все похожее на svhost.exe и все, что касается Adobe Reader. Применяем изменения и выходим.
Снова Пуск - “Выполнить”, пишем regedit и жмем Enter. “Правка” - “Найти”, ищем svhost и вычищаем все упоминания в реестре о нем. Проверяемся полностью на вирусы и радуемся.
