Сегодня речь пойдет о популярных нынче вирусах, которые размещают на рабочем столе порно-баннер или порно сайт в браузере, при этом блокируя всё рабочее пространство. Причем, что самое необычное, на всех компах, зараженных этими вирусами, независимо от модификаций, на баннерах были изображены гомосеки, тыкающие друг в друга своими пиписьками.

Одно дело, когда у тебя на рабочем столе расположились прекрасные барышни (у многих они и без вирусов там находятся), но совсем другое, когда на том же месте находятся эти заднеприводные… Стыдно и перед женами и перед детьми)) Привозя мне комп с таким вирусом, народ стыдливо прятал глаза и неохотно объяснял в чем суть поломки. Так что, вирусостроители опять попали в точку – гомосеки однозначно приносят больший доход нежели классическое двуполое порно))

Но на одних гомосеках отличия от аналогичных вирусов не заканчиваются. Если с предыдущими модификациями можно было бороться с помощью залипания клавиши Shift или комбинации клавиш Win+U и последующей чистки автозагрузки, то в этот раз все подобные махинации ни к чему не приводят. Диспетчер задач по-прежнему заблокирован, но баннер имеет наивысший приоритет и располагается поверх любых окон, независимо от их приоритета. Пуск как бы есть, но на нажатия не реагирует. К тому же заблокирован безопасный режим. В общем, попа, причем попа мужская…

Представлю Вам 2 модификации подобных вирусов, которые мне удалось запечатлеть.

Первый вариант представляет сайт xyecoc.net, о содержимом которого понятно по названию домена. Сайт открывается в браузере. Кроме гомофоток, содержится следующий текст:

«Просматривая порно видео гомосексуального характера [гей видео], и вступая [регистрируясь] в общество скрытых гомосексуалистов [геев], Вы согласились с нашими правилами. Данный модуль носит рекламный характер, устанавливая данный модуль, Вы согласились с тем, что модуль будет располагаться на Вашем компьютере в течении ХХ суток с момента акцептирования договора и установки рекламного модуля. В случае если, по каким либо причинам, Вы захотите покинуть общество скрытых гомосексуалистов [геев], и удалить рекламный модуль раньше времени, согласно акцептированного ранее соглашения, Вам необходимо совершить следующие действия. Пополнить счет абонента БИЛАЙН № +7ХХХХХХХ на сумму ХХХ рублей. После оплаты, на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле расположенное ниже. После ввода кода модуль удалится автоматически»

В общем, записали нас в общество скрытых гомосеков, причем якобы мы сами согласились на посвящение в пидоры, да и расписали на совесть – неужто юриста специально нанимали.

Выложу скриншот, только не ругайтесь – снимал на мобилу))

Вторая модификация выполнена в виде баннера. Текст следующий:

«ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течении трех часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить через терминал экспресс-оплаты счёт абонента Билайн ХХХХХХХ на сумму ХХХ руб. После оплаты на квитанции Вы найдете код активации. Введите его в поле ниже и нажмите Enter»

Забавно, насколько вежливо к нам обращаются в обоих случаях — на Вы, с большой буквы. Да и Билайн в обоих случаях светится неспроста – с Билайна можно свободно снимать деньги наличными или перевести на счет в банке.

Ну и скриншот, как полагается, мутный… зато пидорасиков в углу можно разглядеть))

Теперь о том, как с этой гадостью бороться. Для асов хватит одной строчки – залезть в мертвый реестр и исправить параметры Userinit и Shell. Теперь для нормальных)))

Нам понадобится LiveCD с Windows XP на борту. Сейчас такие имеются практически на всех реаниматорах. Скачайте с Интернета или приобретите в магазинчике. Можно также использовать ERD Commander, но особой разницы не имеется, к тому ж, ERD не всегда грузится.

В общем, загружаемся с LiveCD. Лишний раз напомню как это сделать – после включения компьютера долбите по клавише F8, перед этим засунув диск в привод. Комп либо сразу загрузится с диска, либо покажет меню для выбора источника загрузки. Выбирайте тот источник, в котором содержится DVD (это так, на пальцах). Если удалость стартануть с диска – перед Вами появится меню реаниматора, в котором надо тыкнуть строку, содержащую LiveCD. Если же F8 не помогает – лезьте в BIOS (клавиша Del или F2 после включения компьютера) и ищите по всем меню строку со словом Boot, где выставляйте ваш DVD на первый план.

Ну вот, с высшей математикой разобрались)) После загрузки с LiveCD мы увидим ту же Windows, только малость упрощенную. Запускаем редактор реестра (Пуск – Выполнить – regedit). В левой части редактора реестра нажимаем на раздел HKEY_LOCAL_MACHINE, после чего в верхнем меню выбираем «Файл» — «Загрузить куст…». Откроется окошко обзора, в котором переходим по следующему пути: C:\WINDOWS\system32\config. В Вашем случае не обязательно будет диск C, может быть D или E, в зависимости от того, в какой раздел установлена операционная система.

Добравшись до папки config, щелкаем дважды на файле SOFTWARE. Редактор реестра предложить ввести имя для нового раздела – вводим что угодно, например 123. Раздел загружен, увидеть его Вы сможете в левой части окна редактора реестра. Теперь переходим в этой же левой части к следующей ветке раздела — HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.

Из этих параметров нас интересует 2:

Shell – должен содержать значение Explorer.exe

Userinit – значение C:\WINDOWS\system32\userinit.exe,

Если у Вас не так – исправьте, дважды щелкнув на нужном параметре. Обычно, путь к файлу с вирусом находится в параметре Userinit. Перед его исправлением, запомните этот путь и, перейдя по нему в проводнике, удалите файл с вирусом. К примеру, у меня это был файл wlock.exe, находящийся по адресу C:\Documents and Settings\UserXP\wlock.

Все, можно перезагружать компьютер и радоваться вернувшейся Винде))

Сисадминский анекдот:

Один программист любил компьютеры. Пока его за этим делом не застукали…

13 комментария(-ев) к статье “Xyecoc.net и другие”