Xyecoc.net і інші
Сьогодні мова піде про популярних нині віруси, які розміщують на робочому столі порно-банер або порно сайт в браузері, при цьому блокуючи все робочий простір. Причому, що найдивніше, на всіх компах, заражених цими вірусами, незалежно від модифікацій, на банерах були зображені гомосек, тикати один в одного своїми піпіськамі.
Одна справа, коли у тебе на робочому столі розташувалися прекрасні панянки (у багатьох вони і без вірусів там знаходяться), але зовсім інше, коли на тому ж місці знаходяться ці задньопривідні ... Соромно і перед дружинами і перед дітьми)) Привозячи мені комп з таким вірусом, народ сором'язливо ховав очі і неохоче пояснював в чому суть поломки. Так що, вірусостроітелі знову потрапили в точку - гомосек однозначно приносять більший дохід ніж класичне двостатеве порно))
Але на одних гомосека відмінності від аналогічних вірусів не закінчуються. Якщо з попередніми модифікаціями можна було боротися за допомогою залипання клавіші Shift або комбінації клавіш Win + U і подальшої чистки автозавантаження, то в цей раз все подібні махінації ні до чого не приводять. Диспетчер завдань як і раніше заблокований, але баннер має найвищий пріоритет і розташовується поверх будь-яких вікон, незалежно від їх пріоритету. Пуск як би є, але на натискання не реагує. До того ж заблокований безпечний режим. Загалом, попа, причому попа чоловічий ...
Перший варіант являє сайт xyecoc.net, про вміст якого зрозуміло за назвою домену. Сайт відкривається в браузері. Крім гомофоток, міститься наступний текст:
«Переглядаючи порно відео гомосексуального характеру [гей відео], і вступаючи [реєструючись] в суспільство прихованих гомосексуалістів [геїв], Ви погодилися з нашими правилами. Даний модуль носить рекламний характер, встановлюючи даний модуль, Ви погодилися з тим, що модуль буде розташовуватися на Вашому комп'ютері протягом ХХ діб з моменту акцептування договору і установки рекламного модуля. У разі якщо, з якихось причин, Ви захочете покинути суспільство прихованих гомосексуалістів [геїв], і видалити рекламний модуль завчасно, згідно акцептованої раніше угоди, Вам необхідно зробити наступні дії. Поповнити рахунок абонента БИЛАЙН № + 7ХХХХХХХ на суму ХХХ рублів. Після оплати, на виданому терміналом чеку оплати, Ви знайдете код, який необхідно ввести в поле розташоване нижче. Після введення коду модуль віддалиться автоматично »
Загалом, записали нас в суспільство прихованих гомосеков, причому нібито ми самі погодилися на посвяту в підари, та й розписали на совість - невже юриста спеціально наймали.
Викладу скріншот, тільки не сваріться - знімав на мобілу))
Друга модифікація виконана у вигляді банера. Текст наступний:
"УВАГА!!! Ви переглядали гей-порно відео в перебігу трьох годин. Час безкоштовного перегляду минув. Для того, щоб оплатити послугу, Вам необхідно поповнити через термінал експрес-оплати рахунок абонента Білайн ХХХХХХХ на суму ХХХ руб. Після оплати на квитанції Ви знайдете код активації. Введіть його в поле нижче і натисніть Enter »
Забавно, наскільки ввічливо до нас звертаються в обох випадках - на Ви, з великої літери. Та й Білайн в обох випадках світиться неспроста - з Білайну можна вільно знімати гроші готівкою або перевести на рахунок в банку.
Ну і навіщо, як годиться, мутний ... зате підорасіков в кутку можна розгледіти))
Тепер про те, як з цією гидотою боротися. Для асів вистачить одного рядка - залізти в мертвий реєстр і виправити параметри Userinit і Shell. Тепер для нормальних)))
Нам знадобиться LiveCD з Windows XP на борту. Зараз такі є практично на всіх реаніматорах. Скачайте з Інтернету або придбайте в магазинчику. Можна також використовувати ERD Commander, але особливої різниці немає, до того ж, ERD не завжди вантажиться.
Загалом, завантажується з LiveCD. Зайвий раз нагадаю як це зробити - після включення комп'ютера довбати по клавіші F8, перед цим засунувши диск в привід. Комп або відразу завантажиться з диска, або покаже меню для вибору джерела завантаження. Вибирайте те джерело, в якому міститься DVD (це так, на пальцях). Якщо удалость стартанути з диска - перед Вами з'явиться меню реаніматора, в якому треба тицьнути рядок, що містить LiveCD. Якщо ж F8 не допомагає - лізьте в BIOS (клавіша Del або F2 після включення комп'ютера) і шукайте по всьому меню рядок зі словом Boot, де виставляйте ваш DVD на перший план.
Ну ось, з вищою математикою розібралися)) Після завантаження з LiveCD ми побачимо ту ж Windows, тільки трохи спрощену. Запускаємо редактор реєстру (Пуск - Виконати - regedit). У лівій частині редактора реєстру натискаємо на розділ HKEY_LOCAL_MACHINE, після чого в верхньому меню вибираємо «Файл» - «Завантажити кущ ...». Відкриється віконце огляду, в якому переходимо за наступним шляхом: C: \ WINDOWS \ system32 \ config. У Вашому випадку не обов'язково буде диск C, може бути D або E, в залежності від того, в який розділ встановлена операційна система.
Добравшись до папки config, клацаємо двічі на файлі SOFTWARE. Редактор реєстру запропонувати ввести ім'я для нового розділу - вводимо що завгодно, наприклад 123. Розділ завантажений, побачити його Ви зможете в лівій частині вікна редактора реєстру. Тепер переходимо в цій же лівій частині до наступної гілці розділу - HKEY_LOCAL_MACHINE \ 123 \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Клікнувши на Winlogon, в правій частині вікна Ви побачите список параметрів.
З цих параметрів нас цікавить 2:
Shell - повинен містити значення Explorer.exe
Userinit - значення C: \ WINDOWS \ system32 \ userinit.exe,
Якщо у Вас не так - виправте, двічі клацнувши на потрібному параметрі. Зазвичай, шлях до файлу з вірусом знаходиться в параметрі Userinit. Перед його виправленням, запам'ятайте цей шлях і, перейшовши по ньому в провіднику, видаліть файл з вірусом. Наприклад, у мене це був файл wlock.exe, що знаходиться за адресою C: \ Documents and Settings \ UserXP \ wlock.
Все, можна перезавантажувати комп'ютер і радіти повернулася Винда))
Сісадмінскій анекдот:
Один програміст любив комп'ютери. Поки його за цим справою не застукали ...