Вирус, требующий активации Windows по sms

[DiM]

Вирус, требующий активации Windows по sms

В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Troyan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации"

 

[morfeus]

Спасибо, на будущее буду иметь ввиду...

 

[Dram]

подобная ерунда была еще на Эксплоере. А вот не ужто так сложно пробить номерок на кого оформлен и приехать к нему с битой.

 

[SerGrey]

А вот не ужто так сложно пробить номерок на кого оформлен и приехать к нему с битой.

Очень сложно, там целая группа подставных лиц, причём многие даже не знают про данный номер.

 

[Dram]

SerGrey а ты откуда знаешь. А? не все можно найти и узнать все равно даже если симка ну чужого оформлена то деньги переводят на банковский счет.
Просто кто создал этот вирь явно в хороших отношениях($) с чиновниками работаюших в этой сфере.

 

[SerGrey]

Я в МТС работал, там часто с такими махинациями приходили.

 

[VipeR]

антивирус надо нормальный иметь, с последними апдейтами ... и лазить только по проверенной парнухе, если неймется
вирус слишком прост, чтобы заразить ухоженную машину

 

[VedebellO]

подобная ерунда была еще на Эксплоере.

Если имеется в виду IE (да и прочие браузеры, где страница с СМС не выпадает, но все равно большинство известных сайтов блокируется), то эта проблема решается правкой файла hosts (WINDOWS\system32\drivers\etc\hosts) - файл открывается блокнотом и все что стоит после слова localhost, удаляется.
Кстати, проги типа WinPatrol отслеживают изменения в файле hosts.

 

[Aleksan]

Скажу сразу - Такую хрень у меня поймала кадровичка.
По порнухе она не лазила это 100% (стоят запреты и по логам все видно)
Где поймала - хз.
Антивирус нод 2,70 (базы день-в-день), не справился.

 

[SerGrey]

Скажу сразу - Такую хрень у меня поймала кадровичка.
По порнухе она не лазила это 100% (стоят запреты и по логам все видно)
Где поймала - хз.
Антивирус нод 2,70 (базы день-в-день), не справился.

Она могла установить прогу. Недавно с такой хернёй бился, всё вирусы удалил, а окно всё равно появляется. Оказалось программа установилась. Я её Анлокером и убрал.

 

[Aleksan]

Она могла установить прогу.

Исключено. Согласно политике безопасности, пользователям домена запрещен доступ к диску С. (разумеется, рабочий стол и документы не в счет)

 

[morfeus]

Поднимаю эту тему, чтоб со всеми поделиться: ловится вирус из социалок, сейчас лечил это у девушки в компе этим методом (не открываются сайты вообще):

Если имеется в виду IE (да и прочие браузеры, где страница с СМС не выпадает, но все равно большинство известных сайтов блокируется), то эта проблема решается правкой файла hosts (WINDOWS\system32\drivers\etc\hosts) - файл открывается блокнотом и все что стоит после слова localhost, удаляется.
Кстати, проги типа WinPatrol отслеживают изменения в файле hosts.

Всем удачи

 

[solo1398]

По этой ссылке можно подобрать код активации
Dr.Web - инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз.

 

[Xploit]

По этой ссылке можно подобрать код активации
Dr.Web - инновационные технологии информационной безопасности. Комплексная защита от интернет-угроз.

не всегда срабатывает. проще вручную убрать.

 

[Мажжка]

В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Troyan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации"

Сделала все как описано в данном сообщении. и при повторной загрузке действительно появился значек где надо нажимать "ок" для входа в систему,НО после нажатия через секундочку на экране появляется:"завершение работы" и дальше "сохранение параметров."Тоесть зайти в систему мне не удается, и даже в безопасном режиме....Че теперь делать то, а??????

 

[Aleksan]

Все очень просто - вирус убил важный файлик с прописью Вашего профиля.
Есть три варианта:
1.Самый простой, быстрый и надежный - переустановка ОС.
2.Зная пароль администратора (если таковой ставили при установки ОС), можно попробовать сделать дубликатный профиль или создать новый.
3.С другого компьютера попробовать подсунуть профильный файлик, и отредактировать некоторые другие.

 

[Stanislav]

LiveCD это что за штука такая? (прошу прощения, опыта еще мало, не сталкивался с такой еще...)

 

[Eli]

это диск с "ос",которая работает без установки на пк.(просто загрузка в память компьютера) можно и без жесткого диска работать тоже.
(как ос линукс ,к примеру. до установки на хард)

 

[Krasavchik]

зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Temp там я обнаружил целый вагон временных папок и файлов, которые снес все подчистую.

У меня в результате этих действий система пишет: что база dll/mshnet32.dll не найдена. Как ее востановить и как восстановить файл desktop.ini, а то я его снес с папки LocalSettings?

 

[Anatoly_V]

В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Troyan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации"

Поправьте опечатку, а то люди не то удалят (как в примере Мажжка).
Значение параметра Userint до воздействия вируса, C:\windows\system32\userinit.exe, а вот usrinit.exe - как раз вредоносная программа, тоже в каталоге system32 - сам недавно устранял такую у клиентов.