Как удалить вирус «канал перегружен»?

В глобальной сети Интернет была зафиксирована волна заражений, в ходе которой пользователи столкнулись с блокировкой доступа к Интернет, вместо запрашиваемых сайтов в окне браузера демонстрируется поддельный сайт поставщика услуг доступа к Интернет «Ростелеком». На этом сайте пользователю сообщают следующее: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. Если работа в сети Интернет на текущий момент для Вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, введите номер мобильного телефона и ответьте на входящее СМС-сообщение». Если пользователь вводит свой телефонный номер в соответствующую форму, а затем отвечает на входящее СМС-сообщение, с его счета незамедлительно списываются средства.

С этим безобразием нужно бороться, ведь, если задуматься, становится непонятно — какой еще резервный канал? Постараемся понять, как быстро и безболезненно удалить вирус блокирующий доступ в Интернет и вылечить систему от заражения.

Одним «Ростелеком» вирус не ограничивается, вот неполный список интернет-ресурсов, страницы которых подменяет данный троян: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт вирус перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответить на входящее СМС-сообщение.

Пример поддельного сайта «Ростелеком»:

Пример поддельного сайта «ВКонтакте»:

Пример поддельного сайта «Одноклассники»:

Пример поддельного сайта «Мэйл»:

Переходим от информационных сведений к практике, а именно процедуре удаления. Весь процесс лечения системы займет порядка 10-15 минут.

Итак, скачиваем и распаковываем антивирусную утилиту Зайцева (утилита №1 для восстановления системы после заражения). Запускаем программу и первым делом после запуска включаем защиту от запуска посторонних процессов «AVZGuard» (Меню — AVZGuard — Включить AVZGuard).

Далее выбираем пункт меню «Диспетчер процессов» (Меню — Диспетчер процессов). Внимательно просматриваем активные процессы и в случае обнаружения процессов помеченных красным цветом завершаем их.

Вот теперь можно приступить к удалению вируса. Открываем пункт меню «Отложенное удаление файла» (Меню — Файл — Отложенное удаление файла). Переходим в каталог /WINDOWS/system32/ и отсортировываем файлы по дате создания, здесь в частности нас интересует библиотека с расширением *.dll созданная на примерный момент заражения. Таких библиотек может быть несколько и они обычно имеют абсолютно хаотичное название.

Следующим действием открываем пункт меню «Выполнить скрипт» (Меню — Файл — Выполнить скрипт) и выполняем приведенный ниже скрипт:

begin
DeleteFile(‘C:\WINDOWS\system32\%имя подозрительного файла%.dll’);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После успешного выполнения скрипта компьютер автоматически перезапустится и система заработает в нормальном режиме. Теперь необходимо дополнительно выполнить полную проверку компьютера антивирусным программным обеспечением с актуальными вирусными базами на наличие иных вирусов. Можно, например, воспользоваться бесплатной утилитой лечения зараженного компьютера Kaspersky Virus Removal Tool. На этом все!

Мы настоятельно рекомендуем пользователям с осторожностью относиться к ссылкам на различные приложения, присутствующим в распространяемых среди пользователей социальных сетей рекламных рассылках и использовать только лицензионное антивирусное программное обеспечение для предотвращения заражения.