Путеводитель по сайту

qw2jd.exe: очередной блокировщик Windows

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

·Статьи

·Статьи о ПК и PC

·Страничка Настроения

 

Find us on Facebook·Find us on Facebook

·ВКонтакте





 

 

 

 

***

С начала ноября 2013 г. автор статьи на многих флешках и ПК обнаруживает новый блокировщик Windows – qw2jd.exe (6267180.exe).

 

***

Симптомы заражения

После запуска Windows в центре Рабочего стола появляется «непотопляемое» окно информера с сообщением:

«Windows заблокирован!

Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование материалов, содержащих элементы педофилии, насилия и гей-порно…».

 

qw2jd.exe: очередной блокировщик Windows

 

 

Для разблокировки Windows предлагается перечислить 1000 рублей на номер абонента Билайн +79063402878 (закреплён за ОАО «Вымпел-Коммуникации»/Билайн, Самарская область).

 

Так как окно информера – непотопляемое (его нельзя ни закрыть, ни свернуть, ни переместить) и находится в центре экрана, то работать на ПК невозможно.

При этом не удается запустить ни Диспетчер задач, ни Интерпретатор команд, ни Реестр Windows.

 

 

***

Что представляет собой вирус информера

Исполняемый (Portable Executable) файл вируса имеет имя qw2jd.exe (или 6267180.exe; размер – 179 001 байт). Предназначен для 32-битной платформы ОС Windows с процессором x86. Осуществляет импорт системных библиотек: MFC42u.DLL, MSVCRT.dll, KERNEL32.dll, USER32.dll, GDI32.dll, ADVAPI32.dll.

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Для маскировки вируса и обмана пользователей мошенники используют широко известный brand-name: название антивируса Microsoft Security Essentials.

 

Родина вируса – Россия.

Этот информер является типичным трояном – блокировщиком Windows.

На момент написания статьи ни один антивирус не идентифицировал зловреда.

 

 

***

Как происходит заражение

Распространяется вирус с помощью Глобальной (варезные, «халявные», порно-ресурсы…), локальных, p2p-сетей, а также съемных носителей.

Самостоятельно информер не устанавливается, – установку осуществляет пользователь, кликнувший по ссылке информера и санкционировавший установку (при этом предлагается установить обновленную версию флеш-плеера, или скачать кодеки, или скачать бесплатно порно, видео и т.д.).

 

 

***

Деструктивные действия

– для обеспечения автоматического запуска в разделе Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder] создается подраздел

\C:^Documents and Settings^Имя_пользователя^Главное меню^Программы^Автозагрузка^qw2jd.exe, содержащий строковые (REG_SZ) параметры:

backup (имеющий значение C:\WINDOWS\pss\qw2jd.exeStartup),

command (значение – C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\qw2jd.exe),

item (значение – qw2jd),

location (значение – Startup),

path (значение – C:\Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\qw2jd.exe);

 

qw2jd.exe: очередной блокировщик Windows

 

 

– после загрузки ПК вирус блокирует запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig;

– вирус полностью блокирует работу пользователя ПК;

– на экран монитора выводится окно информера, который своей раздражающей назойливостью провоцирует пользователя отправить деньги на указанный номер;

– …

 

 

***

Как уничтожить вирус и устранить деструктивные последствия

Пытаться лечить систему, когда вирус активен, – бессмысленное занятие: вы не сможете ни выгрузить его из памяти, ни удалить его ключи из Реестра.

Отключитесь от Интернета и от локальной сети;

загрузите Windows в Безопасном режиме (Safe Mode) (если не удается загрузить Безопасный режим, для удаления исполняемого файла вируса воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);

– в каталоге \Documents and Settings\Имя_пользователя\Главное меню\Программы\Автозагрузка\ (WindowsXP, в Windows Vista и Windows 7 – в каталоге \Users\Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\) удалите исполняемый файл вируса qw2jd.exe (6267180.exe);

 

– в каталоге \Windows\pss\ удалите файл qw2jd.exeStartup (6267180.exeStartup);

 

– запустите Редактор реестра Windows:

Windows XP: нажмите Пуск –> Выполнить… –> regedit –> OK;

Windows Vista: нажмите Пуск, в текстовое поле Начать поиск Windows 7Найти программы и файлы) введите regedit;

– в появившемся перечне нажмите правой кнопкой мыши regedit.exe;

– из контекстного меню выберите Запуск от имени администратора;

– введите пароль, если появится соответствующий запрос;

– в открывшемся окне Редактор реестра откройте раздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder];

удалите подраздел

\C:^Documents and Settings^Имя_пользователя^Главное меню^Программы^Автозагрузка^qw2jd.exe;

– закройте Редактор реестра;

 

– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);

– при необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7) восстановите загрузку в Безопасном режиме;

 

– нажмите Пуск –> Выполнить… –> в поле Открыть введите regsvr32 /i shell32.dll –> OK;

– появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно», нажмите OK;

 

– в автономном режиме (не подключаясь к Интернету!) запустите веб-браузер;

очистите историю посещений;

– очистите кэш интернет-файлов;

при необходимости измените стартовую страницу веб-браузера на первоначальную;

– при необходимости восстановите оригинальный hosts-файл;

 

– перезагрузите ПК;

– включите восстановление системы;

– просканируйте систему антивирусом со свежими базами.

 

 

Примечания

1. Не следует отправлять деньги по указанному номеру, – ответа вы, скорее всего, не получите, просто подарите деньги вымогателям, создавшим информер.

2. Информер самостоятельно не устанавливается, – для его установки пользователю нужно кликнуть по ссылкам, предлагающим скачать или флеш-плеер, или «халяву», или порно, и санкционировать установку…

3. Антивирус и брандмауэр зачастую в таких случаях помочь не могут, здесь одна надежда – на здравый рассудок пользователя (не ищи халявы – ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

4. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

5. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

6. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).

7. Отключите автозапуск компакт-дисков, съемных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съемных дисков и флешек?).

8. Кстати, вычислить (и – при желании! – покарать!) автора и распространителей этого блокировщика для достославного Управления «К» МВД РФ не составит труда: достаточно выяснить, на кого зарегистрирован телефонный номер +79063402878

9. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!..

 

Валерий Сидоров

 

 

***

Вирусы vs. антивирусы

Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?

Что делать, если недоступен пункт меню «Свойства папки»?

Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?

Что делать, если после лечения от вирусов не открывается флешка?

Как устранить последствия вирусной атаки?

Windows: что делать, если не запускается Утилита настройки системы msconfig?

Windows: как отобразить скрытые файлы и папки?

Знакомьтесь: CMedia и FieryAds – очередные порно-sms-вымогатели

Как избавиться от порно-информера?

Очередной порно-информер – блокировщик Windows

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

Аксессуары для сотовых телефонов


SAPE.RU – покупка и продажа ссылок

 


 

Путеводитель по сайту


© old-netler 2013. All rights reserved.

При использовании материалов сайта «Слово» прошу указывать источник информации!