REANIMATOR
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: komppomow  
Форум » Тестовый раздел » ПОЛЕЗНЫЕ СОВЕТЫ » Вирус, требующий активации Windows по sms (Вирус, требующий активации Windows по sms)
Вирус, требующий активации Windows по sms
ПьяныйСанычДата: Четверг, 28.01.2010, 12:54 | Сообщение # 1
Admin
Группа: Верховный Администратор
Сообщений: 53
Репутация: 100
Статус: Offline
В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Trojan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.

Если картинка или ее вариации(видел более топорные варианты, где даже не пытались "закосить" под Майкрософтовское оформление) Вам знакомы, то вы сейчас читаете именно тот дневник, который Вам нужен
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.

Добавлено (09.11.2009, 10:36)
---------------------------------------------
Удаление вируса, который просит отправить код по SMS. Часть 2

Волна вредоносного вируса, который просит отправить код по SMS, до сих пор не прекращается. Злодеи поиздевались над многими домашними пользователями персональных компьютеров, заражая СМС вирусом через различные источники передачи данных.

SMS вредоносный код приходит по ICQ, при посещении некоторых зараженных сайтов и при скачке непроверенных файлов. Причем эта падла, настолько имеет много разных модификаций и видов, что борьба с SMS вирусом в каждом случае индивидуальна.

Выше изложено как удалить вредоносный код требующий отправить СМС на указанный злоумышленниками номер – это одно решение и подойдет оно не всем.

На днях такая беда sad случилась на компьютере родителей, пришлось поехать и разобраться с гадом. Причем, форма СМС вируса была совершенно другой. Выводилась табличка непристойного содержания в верхней части экрана при загрузке любого браузера, и не давала даже использовать поисковую форму, чтобы найти дополнительные варианты решения проблемы.

При попытке изменить настройки браузера, в каждом открывающимся окне настроек появлялось это всплывающее окно вредоносного вируса, и не давало ничего сделать.

Решил попробовать более простой способ, нежели полную переустановку операционной системы, а именно восстановить систему из контрольной точки восстановления, где то месяца 2 назад – и знаете получилось! СМС вирус полностью пропал wink как будто его и не было.

* РЕШЕНИЕ: Пуск – Программы – Стандартные – Служебные – Восстановление системы – далее выбираете прошлый период и запускаете восстановление с контрольной точки.

И не в коем случае, не вздумайте поддаваться призыву отправить SMS, чтобы получить код для разблокировки вредоносного кода, ваш телефонный счет опустошат и ничего взамен не получите!

Добавлено (27.01.2010, 23:22)
---------------------------------------------

Если загрузка компьютера блокирована и на экране появилось окно с надписью "WINDOWS ЗАБЛОКИРОВАН" - вы стали жертвой семейства вредоносных программ Trojan.Winlock. он же Win32.Blocker, предназначенных для шантажа и вымогательства.
При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС.
Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер.
В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
Как справиться с этой заразой, мы и попытаемся выяснить...

Самое главное: Не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS, блокировка всё равно не снимется, а денег снимут прилично !

Сам по себе Trojan.Winlock. он же Win32.Blocker несложно удалить при помощи AVZ, AVPTool, Dr.Web CureIt! или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

Что делать, как быть ?

Во первых, если под рукой есть другой компьютер с интернетом, то для вас компания Dr.Web сделала генератор кодов разблокировки. Здесь вы можете найти данный генератор.
Просто введите ваш текст СМС, и сгенерируйте код активации. После этого вы сможете попасть на рабочий стол и бороться дальше.

Второе, чем можно воспользоваться: это диск с Live CD и одна из антивирусных утилит, я предпочитаю Dr.Web CureIt!. Скачать последнюю версию всегда можно здесь. Вставляем диск с LiveCD в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся. Потом запускаем Dr.Web CureIt! с флешки или с диска, и проверяем системный раздел.

И третье: есть ещё один метод входа в систему без использования LiveCD
1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ, AVPTool, или Dr.Web CureIt! и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

Можно попытаться уничтожить эту заразу вручную:

Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»
В нашем случае вирус дописал в конце данной строчки свой запуск.
Ищем файл, прописанный в данной строчке и прибиваем его

Искать вирус надо примерно в таких папках:
с:\windows\temp
c:\windows\system32\название вируса*.exe
C:\Documents and Settings\User\Local Settings\Temp
C:\Documents and Settings\User\Local Settings\Temorary innternet files
Названия всегда разные

Когда он только появился, то он самоуничтожался через два часа, теперь этого не происходит.
Судя по комментариям и сообщениям в интернете эта зараза постоянно модифицируется. Меняется номер и код для sms-сообщений, меняются имена файлов. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.

Удачи вам в борьбе с этим зловредным вирусом !

Взято с сайта http://chipxp.ru

Добавлено (27.01.2010, 23:24)
---------------------------------------------
ЕЩЕ ВАРИАНТ

Источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:Documents and SettingsAll UsersApplication Data.
После их удаления система загружается нормально.

Для тех, кто столкнулся с данным трояном:

0. Во-первых, НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС!

Во-вторых, решить проблему можно следующим образом:

1. Грузимся с Live CD Вы не можете скачивать файлы с нашего сервера , видящего файловую систему.
2. Заходим c:/documents and settings/all users/application data/
3. Удаляем оттуда два файла: blocker.exe и blocker.bin
4. Перегружаемся в нормальную систему.
5. ОБЯЗАТЕЛЬНО, обновляем антивирус и сканируем ВСЮ систему.

P.S: 1.Специалисты Dr. Web написали crack (генератор кодов) для разблокирации. C мест сообщают, что вроде подходит код активации 3893879
2. Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 Вы не можете скачивать файлы с нашего сервера. Этот пак сам установит все обновления до апреля месяца.
3. Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его.

Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе.
Так что будьте бдительны!

Добавлено (28.01.2010, 12:54)
---------------------------------------------
НАЙДЕНО РЕШЕНИЕ

www.drweb.com

ИЛИ

http://support.kaspersky.ru/viruses/deblocker

ВСЕ КТО СТОЛКНУЛСЯ С ТРОЯНОМ ВАМ ПО ССЫЛКЕ ВЫШЕ)


 
volkepДата: Среда, 19.01.2011, 11:26 | Сообщение # 2
Рядовой
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
аа как мне быть?у меня проблема вирус есть но какой то дохлый т.к я его закрываю через диспетчер задач но папку Application найти не могу что делать подскажи пожалуйста!!!!
 
aktarget71Дата: Суббота, 22.01.2011, 01:26 | Сообщение # 3
Рядовой
Группа: Проверенные
Сообщений: 1
Репутация: 0
Статус: Offline
Папка c:/documents and settings/all users/application data/ является скрытой, поэтому её и не видно.
 
zombaДата: Вторник, 29.03.2011, 01:04 | Сообщение # 4
Рядовой
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
Вот хорошая вещь http://www.zip-host.ru/file44328
 
ПьяныйСанычДата: Воскресенье, 08.05.2011, 14:48 | Сообщение # 5
Admin
Группа: Верховный Администратор
Сообщений: 53
Репутация: 100
Статус: Offline
Разблокировать Windows через терминал?

Поделиться...

Однако следует заметить, что способ, описанный на http://shperk.ru/sovety/ochen-prostoj-sposob-spravit… несколько изменился. Однако не слишком сильно.

Давайте почитаем, что теперь пишут мошенники:

Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранения возможности распространения данных материалов с Вашего ПК в сети Интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счет абонента БИЛАЙН №89055449221 на сумму 400 рублей
После оплаты, на выданном терминалом чеке оплаты, Вы найдете, который необходимо ввести в поле, расположенное ниже
По завершении оплаты, на выданном чеке оплаты, Вам будет выдан код разблокировки, который необходимо ввести в форму расположенную ниже. После разблокировки системы, Вам необходимо удалить все незаконно размещенные материалы на Вашем ПК.
В случае отказа от платы, все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены, в связи с угрозой Вашего ПК пользователям сети Интернет. пароли выложенные на сайте не помогают.

Как видим, ничего нового. разве что вместо СМС появились терминалы. Хрен редьки не слаще. По-прежнему следует понимать, что платить мошенникам ни за какие “услуги” не следует. Виндоус надо лечить. Причина всех этих блокировок – банальный вирус. Даже если вы заплатите, вирус в компьютере останется и кто знает, когда он в очередной раз проснется?

По сути, все рекомендации, данные мной в статье Очень простой способ справиться с вымогателями, или “Microsoft заблокирован, для разблокировки отправьте sms на номер 3055. У вас з часа” сохраняют свою силу.

Хотя кое-что все же следует помнить:

Заблокировали Windows – не пугаемся, а звоним другу и просим открыть страницу http://www.drweb.com/unlocker/index/ и заполняем поля “Номер” и “Текст СМС”
Если вас просят пополнить счет через терминал, а не отправить смс, то вводите просто номер этого счета в поле “Номер” , а поле “Текст смс” оставляете пустым.
Если вас просят пополнить счёт, который выглядит как idxxxxxxx, то отбрасываем id и вводим в поле (номер) только цифры.
Если номер выглядит, как 8xxxxxxx, то пробуем вводить в поле (номер) номер с 8 и без восьмерки и проверяем все коды.

Вот и все. После этого прогоняете компьютер антивирусом. например, бесплатным антивирусом Cure.iT от того же доктора Веба. Можно прогнать антивирусом Зайцева (AVZ).

Обязательное условие – загрузите новую версию антивируса. Тот, который у вас стоял (если стоял) почему-то пропустил вирус. Возможно, вирус его заблокировал или повредил. Так что загружайте новый.

Будьте осторожны при лечении. В последнее время часто попадаются сообщения, что при удалении вируса можно повредить системные файлы и Виндовс потом восстановить будет очень сложно. У меня недавно была именно такая ситуация – оказалось, что проще переустановить Windows 7, нежели восстановить ее после последствий некорректного лечения антивирусом Avira, который стоял на домашнем компьютере.

Если по каким-то причинам технология “Звонок другу” не работает, то можно попытаться воспользоваться загрузочным диском Windows (LiveCD). Если у вас нет такого диска, то обязательно скачайте образ и создайте его – в момент “Ч” он может вам очень пригодиться.

Вот как описывает процесс такого леченияСергей0011 на сайте Dr.Web:

Лечим Trojan.Winlock.2194.

Симптомы уже описаны ниже: черный экран, злобное сообщение о блокировке Виндовс в результате якобы пиратского использования ПО, требуется отправить 400 рублей на некий телефон оператора БИЛАЙН. Я излечил данный недуг с помощью BartPE, можно также использовать и LiveCD и любую другую приблуду, загружающую операционку с CD, лишь бы до реестра добраться. Грузим операционку с CD, Пуск – Выполнить вводим команду regedit(редактирование реестра), появляется редактор реестра, но не тот что нам нужен. Нам нужен реестр того пользователя из-под которого работает вирус. Для этого в открывшемся редакторе реестра выбираем ветку HKEY_USERS, открываем её. Выбираем меню Файл – Загрузить куст. В появившемся окне ищем папку с нужным нам пользователем. Обычно это C:\Documents and Settings\нужный пользователь\ В этой папочке находим файл ntuser.dat выбираем его и жмем Открыть. В следующем окне вводим имя ветки HKEY_CURRENT_USER жмем ОК. Во вновь загруженной ветке находим раздел RUN он располагается по такому пути:HKEY_USERS\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Вот здесь мы и найдем первую половину камня преткновения. У меня это был параметр PC Health Status со значением C:\Documents and Settings\user\Application Data\iqjeqdpg.exe Сразу видно белиберда какая то. Безжалостно мочим этот параметр. А вместе с ним и файл, расположенный по этому пути. Смотрим мож еще чего нить там заблудилось неправильного на ваш взгляд с подобной белибердой. Но аккуратненько, можно и лишнего замочить. В общем в этой ветке дело сделано. Снова выбираем ветку HKEY_USERS, там выделяем нашу загруженную HKEY_CURRENT_USER и жмем Файл – Выгрузить куст. Далее загружаем куст HKEY_LOCAL_MACHINE. Для этого вновь Файл – Загрузить куст, идем по следующему пути c:\Windows\System32\config, там выбираем куст под наименованием software, загружаем его в окне с именем раздела пишем тоже software. В данной ветке идем по пути HKEY_USERS\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Здесь также удаляем тот же самый параметр PC Health Status У вас может быть и что то другое, так же смотрим на наличие неких посторонних параметров, их тоже удаляем. Далее обязательно идем по ветке HKEY_USERS\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем параметр Shell, его значение должно быть только explorer.exe, если оно иное, запоминаем путь до вредоносного файла, прописанного в данном параметре и удаляем этот файл, изменяем параметр на explorer.exe. После всего этого пробуем перезагрузиться уже с нормальной операционкой а не с CD… и поздравляем себя, и интернет!

Описано все верно. Кстати, очень часто после лечения пользователи жалуются на то, что диспетчер задач блокирован администратором. Справиться с проблемой можно путем правки ветви реестра < “HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies\ System” из которой нужно удалить “DisableTaskMgr”

Диспетчер задач станет доступен.


 
павелчикДата: Воскресенье, 03.07.2011, 19:24 | Сообщение # 6
Рядовой
Группа: Пользователи
Сообщений: 2
Репутация: 1
Статус: Offline
у меня бан просит пополнить счет номера тел 89182015619,и в биос не магу зайти просит пароль,что мне делать и винду не ставит,не один диск не грузит????????????????????????????????????
 
ПьяныйСанычДата: Четверг, 28.07.2011, 23:34 | Сообщение # 7
Admin
Группа: Верховный Администратор
Сообщений: 53
Репутация: 100
Статус: Offline
павелчик, ответил в этой теме http://komppomow.ucoz.ru/forum/5-6-2#133

 
AdminДата: Пятница, 11.05.2012, 22:57 | Сообщение # 8
Рядовой
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
Мне помог этот сервис , советую, быстро все решилось.
 
fixtoolzДата: Суббота, 09.03.2013, 11:57 | Сообщение # 9
Рядовой
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
"Windows заблокирован" Баннер. Сам лично друзям вылечил недуг!!! Делюсь своим опытом!
В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя  xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)
   Кодов разблокировки не существует!!!
Быстро исправляем проблему самостоятельно, в два шага, 
грузимся в "безопасный режим с поддержкой коммандной строки" и выполняем:

1. команда cleanmgr
2. команда rstrui
Кому не понятно читаем здесь 
http://fixtoolz.ru/instrukcii-dokumentaciya-opisanie-rukovodstva-po-kategorii/zablokirovalsya-kompyuter-windows/04-02-2013-trojan-winlock-6613-xxx_video-vash-kompyuter-zablokirovan-za-prosmotr-shtraf-2000-rubley

А MBR lockerы прекрасно лечатся "Утилита Kaspersky WindowsUnlocker" http://support.kaspersky.ru/8005
 
Форум » Тестовый раздел » ПОЛЕЗНЫЕ СОВЕТЫ » Вирус, требующий активации Windows по sms (Вирус, требующий активации Windows по sms)
  • Страница 1 из 1
  • 1
Поиск:

Copyright MyCorp © 2024
Яндекс.Метрика