Червь Reztrict калечит Windows

Червь Reztrict, который может распространяться довольно быстро, вносит множество изменений в Windows, а затем делает недоступными многие системные функции, что вызывает серьезное раздражение.

Reztrict в основном распространяется по электронной почте. Червь собирает необходимые адреса электронной почты из различных адресных книг на зараженных компьютерах. Вредоносная программа вносит в ПК ряд изменений, которые могут сильно раздражать. Например, он делает недоступными такие функции, как поиск, запуск, выключение компьютера, выход из системы и т. Д. Он также скрывает панель управления и изменяет домашнюю страницу Internet Explorer.

Червь Reztrict также может скачивать файлы через Интернет, которые он устанавливает на зараженные компьютеры.

При запуске червь Reztrict выполняет следующие действия:

1. Если вы ранее загрузили его на свой компьютер, вы увидите сообщение со следующим текстом:
No abras el virus 2 veces scared @ !!

2. Создайте следующий файл:
% UserProfile% \ Local Settings \ Temp \ VIRUS v2.0.vbs

3. Загрузите файл из Интернета, который был сохранен в каталоге «надстроек» Windows как svchost.exe.

4. Создайте следующую запись в базе данных регистрации:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Run "svchost" = "% Windir% \ addins \ svchost.exe"

5. Измените следующие разделы реестра:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer «NoFind» = «1»
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer «NoRun» = «1»
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer «NoClose» = «1»
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer "StartMenuLogOff" = "1"
Это делает недоступными команды Windows для поиска, запуска, завершения работы и выхода из системы.

6. Измените следующие разделы реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policy \ Explorer »» = «(valor no establecido)»
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer «NoDesktop» = «1»
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer «HideClock» = «1»
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentV ersion \ Policies \ Explorer «NoControlPanel» = «1»
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft "Homepag e" = "1"
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main "Стартовая страница" = "[http: //] prostitutas.com"
Это скрывает значки на рабочем столе, часы, панель управления и изменяет домашнюю страницу Internet Explorer.

7. Соберите адреса из Windows Messenger и сохраните их в файл% Windir% \ mis contactos.txt.

8. Просканируйте реестр, чтобы найти адреса электронной почты, и сохраните их в% Windir% \ mis contactos.txt.

9. Начните отправлять почту на собранные адреса электронной почты. Они могут включать:
COmo andan ??? tanto tiempo che !!
COmo andan ??? tanto tiempo che !!
MSN TQM !!! como estas?

10. Останавливает процесс explorer.exe.