Windows блокируется и просит код разблокировки...

  • Автор темы Alexxxl
  • Дата начала
Alexxxl

Alexxxl

Новичок
Регистрация
21.02.2006
Сообщения
8 035
Реакции
1
Баллы
0
Доброго.. если тема баян - слепитье с оригиналом плз...

Очень часто в последнее время обращаются люди с проблемой ... мол винда заблокировалась.. просит отправить СМС с кодом на номер для разблокировки...
НЕ ВЕРЬТЕ!!!! это вредоносная программа .. нацеленная на снятие бабла с вашего телефона....

вот некоторая полезная инфа на эту тему...

«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе

10 апреля 2009 года

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.



Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленный на компьютере Dr.Web оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами «Доктор Веб».

стырено тут: http://news.drweb.com/show/?i=304&c=5

_____________
и еще:

Давным давно сталкивался с такой бякой. В уже упомянутый "боекомплект" у меня входит LiveCD от DrWeb (качаем тут). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально
, а антивирусу было скомандовано обновиться и полностью проверить винт.

UPD C мест сообщают, что случай знакомых не единичный. Хабраюзеры ilzarka и ykcyc тоже стали жертвами вируса. И если первый "вылечился" как и я, то второй пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше
UPD2 C мест сообщают, что вроде подходит код активации 3893879

UPD3 В комментах подсказали, что специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://news.drweb.com/show/?i=304&c=5, вводите цифры с сообщения ВАШЕГО компьютера - получаете разблокировачный код.

UPD4 Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 я выложил здесь. Этот пак сам установит все обновления до апреля месяца.

взято тут, тут же есть генератор для разлочки: http://www.polyakov.net.ru/blog/2009-04-10-152
 
C

Cursed

Guest
и все это с моей подачи ;)
И еще полезно всетаки Баш читать! ))
 
OP
Alexxxl

Alexxxl

Новичок
Регистрация
21.02.2006
Сообщения
8 035
Реакции
1
Баллы
0
ващет с подачи моего папы ... дома стоит такой вот пациент... обещал отцу что найду инфу сегодня как бороться с этой какой.. а ты просто напомнил ))))).. так что сидите тихо пожалуйста ))))))
 
Инженер

Инженер

Активный участник
Регистрация
01.03.2009
Сообщения
2 571
Реакции
135
Баллы
63
Это вирь . А не витдоус ,Юзай каперского. Вчера ,знакомой лечил, такого. И включи обновления Виндоуса.
 
S

serg2110

LPD: Тайга
Регистрация
22.07.2007
Сообщения
619
Реакции
0
Баллы
16
Загрузаешься с какого-нибудь диска типа Live-cd, идешь в реестр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и строчку userinit приводишь к такому виду- C:\WINDOWS\system32\userinit.exe .
Когда машина зараженная, там после запятой идет путь на файл с вирусом. Его удали. Удачи.
 
W

welcomeinside

Guest
гы. вирьё галимое. лечил рукам... правда другой "интерфейс" был ;)...
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
как лечил?
 
Pest

Pest

Новичок
Регистрация
04.04.2007
Сообщения
3 364
Реакции
2
Баллы
0
парень одни лечил так

просто подождал 3 часа (там таймер шел) - типа забил ;)
затем вычистил реестр - дерево автозагрузки.
 
Макс

Макс

Активный участник
Регистрация
07.12.2006
Сообщения
7 394
Реакции
66
Баллы
48
сегодня эпидемия это гггг, лечили просто генерируем ключ на сайте др веба а потом нодом 32 нашли и обезвредили. Интересно только как нод пропустил данную гадость.
 
S

serg2110

LPD: Тайга
Регистрация
22.07.2007
Сообщения
619
Реакции
0
Баллы
16
Что с таймером, что как в посте №1 я лечил как я писал выше....
 
Kashey

Kashey

Участник
Регистрация
13.07.2007
Сообщения
2 621
Реакции
0
Баллы
36
Сегодня на работе у девушки похожая фигня выскочила, только на чёрном фоне в красном квадрате
 
Макс

Макс

Активный участник
Регистрация
07.12.2006
Сообщения
7 394
Реакции
66
Баллы
48
вчера тоже эпидемия была жуткая... 3 человека обратилось с такой проблемой.
 
Макс

Макс

Активный участник
Регистрация
07.12.2006
Сообщения
7 394
Реакции
66
Баллы
48
а его обновлять переодически пробовали??НЛ
тоже много обращений ((

Товарищ вы меня обижаете, :pooh_lol:, у меня смарт 4 лицензия...., да и у 50% обращающихся тоже лицуха с обновлениями естественно ....
 
N

Nikk

Участник
Регистрация
01.02.2007
Сообщения
2 024
Реакции
10
Баллы
38
Лечить проще всего так - загружаемся с LiveCD или вставляем этот диск в другой комп.

1. Чистим кеш IE - удаляем папку C:\Documents and Settings\*****\Local Settings\Temporary Internet Files\
где ***** - имя учетной записи, если их несколько - то в каждой.
2. через Total Commander делаем поиск файлов, созданных за последний день, если заражение произошло только что.
Удаляем все найденные "exe" файлы, и еще не забываем про папку C:\WINDOWS\Prefetch\ - в ней тоже удаляем все последние файлы (с расширением "pf" - они на самом деле тоже EXE-шники).

По сути дела - это натуральное вымогательство. Вот попадет этот вирус к какой-нибудь секретарше суда, например...
Автора возьмут за яйтса крепко и надолго.
 
Sinless

Sinless

Новичок
Регистрация
19.05.2008
Сообщения
501
Реакции
0
Баллы
0
В смс-биллинге чтоли рассказать весёлую историю =) Не поздоровится "хакеру".
http://smsrent.ru/tariffs/RU/3649/
 
Vovanich

Vovanich

Активный участник
Регистрация
27.07.2006
Сообщения
10 659
Реакции
930
Баллы
113
Сегодня сотрудница притащила домашний ноут с такой же фигнёй.
LiveCD не было под рукой, воспользовался генератором, что давали по ссылке выше.
Запустилась винда, но что интересно, по указанным путям в винде и в реестре ничего обнаружено не было.
Обновил касперу базы, запустил проверку, и он нашел в кеше Opera два файлика.
opr042ND.exe и opr042NF.exe. Касперыч говорит что это Trojan-Dropper.Win32.Blocker.gen.
 
А

Андрей21

Новичок
Регистрация
19.10.2008
Сообщения
8 664
Реакции
0
Баллы
0
На кол надо сажать этих смс умельцев. Через асю получил от знакомого.,типа посмотри на фотошоп похоже? Сам ярлачёк как о АСДС, щёлкнул по нему-Аутпост9про проснулся, заблокировал реестр. Ну потом ДВеб5 доделал дело. Замочили засранца.:a8e6cd7183adb9a51c1
 
Верх Низ