Цены на вирусы падают!! :)

Что порадовало в новом пойманном баннере, так это снижение цен на разблокировку - всего 350 рублей и ссылка на "windows security".

Молодцы все таки эти "windows security", бдят, чтобы гей-порно не распространялось :), только вот работают почему-то через МТС (89179525609), а не через официальный какой-то телефон.

Вирус ограничивает подвижность курсора мыши границами баннера, отключает клавиатуру и ввод кода возможен только при помощи кнопок, расположенных на баннере.

В остальном все как обычно:

• гей порно;
• телефон МТС 89179525609 (конечно бывают и другие);
• блокировка на 12 часов под угрозой уничтожения windows и BIOS (то есть надо быстрее платить.

Как лечил:

• загрузился с alkid live cd.
• запустил regedit (редактор реестра).
• первым делом проверил ветку реестра "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon".

• в параметре "Shell" обнаружился искомый вирус и его расположение "с:\Temp\9b88.exe".
• изменил параметр (оставил там только explorer.exe).
• исходное название файла "idhy.exe". Так что наверное имеет смысл поискать в системе еще и это название.

• удалил файл 9b88.exe.
• перезагрузился в нормальном режиме.

Cкачал cureit!, проверил систему и предварительно сохраненный в специальной папке файл вируса.

Поскольку вирусы  не были найдены, упаковал вирус в архив и отправил в адрес drweb.

Он-лайн проверка на ресурсе касперского показала, что вирус известен:

Но, к сожалению, предалагемый на ресурсе коды для разблокировки не работают. Да и долго перебирать их, если честно.

P.S. Почему то все встреченные мной баннеры просят пересылать смс именно на МТС. Наверное политика этого мобильного оператора чрезвычайно лояльна к таким вот вещам.

Читать дополнительно:

Загрузочный диск (АЗЫ ручного вирусомочения).

Джентельменский набор софта!? Да пожалуйста!

Жизнь после вируса (восстановление windows XP бесплатной утилитой AVZ)