Форум по программам и оборудованию > >

Разблокировка заблокированного компьютера через смс.

27.05.2018 17:02


[ОТВЕТИТЬ]
07.01.2010 14:05
Vovantus
 
Полагаю, многие уже сталкивались с проблемой, когда после включения компьютера блокировалась ОС. Считаю, что пора прокачать эту тему и собрать в кучу опыт форумчан по борьбе с этой популярной напастью.

Исходя из своего личного опыта, могу предположить, что процесс заражения выглядит, приблизительно, следующим образом. Пользователь заходит на какой-то интернет-ресурс, приимущественно эротического характера (хотя, в последнее время заражение происходит и на музыкальных порталах). Клацает по ссылкам, пока не выскакивает какое-то сообщение, типа предложения обновить флэшплеер, либо под видом какого-то другого сообщения. На компьютер устанавливается особый вид программы, которая (обычно после перезагрузки) блокирует управление и выдаёт пользователю определённое сообщение. В некоторых случаях, программа маскируется под антивирусное ПО, которое в процессе работы, якобы, обнаружило на компьютере массу вирусов, но удалить которые можно только лишь после того, как ПО будет зарегистрировано, само собой, платно. В других случаях, в сообщении прямым текстом звучат угрозы уничтожить всю информацию с компьютера, если пользователь не оплатит деактивацию, период которой, для наглядности, сопровождается таймером отсчёта времени. Во всех случаях, для разблокировки системы, необходимо отправить смс, с определённым кодом, на определённый номер. Что характерно, стоимость отправки такой смс оценивается максимум в 1 у.е. и стоимость обязательно указывается в сообщении. Из всех случаев, которые в последнее время значительно участились, мне не попадалось ни одного похожего сценария! Все программы-вредители имеют какие-то отличия, начиная от внешнего вида и заканчивая алгоритмом поведения при одинаковой внешности.
Многие пользователи, даже продвинутые, отправляли требуемые смс. Реальная стоимость составляла от 10 у.е. В некоторых случаях, код активации у меня получалось подобрать, например, через подобный ресурс в интернете.
Но вчера произошёл случай, из рамок вон выходящий. Звонит вечером знакомая девушка. Грит, так и так, фигня какая-то с компом, выскакивает какое-то сообщение, закрывет собой рабочий стол, ничего не получается запустить, управление блокировано. Я предложил отложить до утра решение её проблемы, но девушке срочно нужен был интернет. Попробовал подобрать код активации чрезе соответствующий ресурс - нифига не получилось. Предложил, всёже, отправить смс, раз такая спешка, честно предупредив, что реальная стоимость сообщения составит порядка 600 р. (с большей суммой ниразу не сталкивался). Она отправила, в ответ пришёл код активации, который не подошёл! Хуже другое, каждые сколько-то там минут с её счёта списывалось по 300 р. В итоге, после того, как сумма перевалила за 1500 р. она дозвонилась оператору сотовой связи, который по её просьбе блокировал номер. Прихожу я сегодня с явным желанием побороть эту заразу. Запускаю систему. На первый взгляд, всё нормально. Никаких сообщений не выскакивает, но диспетчер задачь и командная строка блокированы. Пробую в безопасном режиме запустить антивирус - сразу происходит либо блокировака экрана, либо выключение компьютера. Пошёл другим путём. Закачал на флэшку антивирусный сканер avz. Вставил флэшку, зашёл в директорию, копирую на рабочий стол - копирует всё, кроме исполняемого файла и антивирусных баз. Пробую запустить с флэшки - сразу вырубает всю систему. В итоге, как выяснилось, при запуске приложений, происходит какая-то сверка названия по внутренней базе и если программа содержит определённое название - система либо блокируется, либо вырубается. Короче, попробовав различные утилитки и обломавшись, плюнул на всё и форматнул системный раздел.

Кто что думает по данному поводу? Поделитесь опытом, кто как боролся и что из этого вышло?
07.01.2010 14:44
Shlong
 
Ходила у нас по городу похожая муть, но никаких СМС и прочих требований не было... Вирус не давал устанавливать антивири удалял диспетчер задач, командную строку и все проги в system32 запускаемые через консоль... Победить заразу удалось сносом системы, хотя на тот момент это и системой назвать нельзя было... Поставил подружке Каспера с постоянно включенным монитором и пока все нормально.... У нее был бук поэтому запуститься с WinPE никак не получилось пришлось банально форматнуть...
07.01.2010 14:57
Vovantus
 
Цитата:
Shlong Ходила у нас по городу похожая муть, но никаких СМС и прочих требований не было...
в данном, конкретном, случае, речь идёт именно о банальном мошенничестве. всеми правдами и неправдами программа попадает на компьютер, далее производятся различные деструктивные действия и, в итоге, система полностью или частично блокируется. как я понял, никакого распространения на другие компьютеры не происходит. цель авторов этой вредятины - заразить компьютеры как можно большего числа пользователей и, тем самым, вымогать деньги за восстановление прежней системы. в некоторых случаях, на отправленное смс сообщение приходит, действительно, верный код активации и после его использования программа корректно самоликвидируется, включая все ранее отключенные функции.
07.01.2010 14:59
OlegON
 

Troyan.Winlock
Если 2 часа машину продержать включенной, а потом ребутнуть, вирус самоудаляется (надо сказать, что есть несколько версий этого вируса).
Открылся сервис и у Кошмарского :
Цитата:
Лечится снятием винчестера и проверкой на другой машине. Я использовал cureIT ( нашлась в темповой папке основного пользователя (внутри профиля). Дополнительно надо почистить реест на тему ключа userinit.exe, ибо к нему прицепляется вирус.
Цитата:
помогла чистка папки temp в его профиле и восстановление системы на предыдущий день.
Цитата:
-> Google -> ERD взять-взять -> System Restore на пару дней назад
несколько ответных кодов
Цитата:
смс с текстом id46144550 на номер 1046 21190
смс с текстом 402421 на номер 1171 himydarling
смс с текстом 40956 1315932 на номер 1171 hwz3ie
смс с текстом 526668 на номер 1171 5748839
смс с текстом 219981 на номер 1171 0000000
смс с текстом 733169 на номер 1394 66244623
смс с текстом 733169 на номер 1819 66244623
смс с текстом id4446333 на номер 2090 relax
смс с текстом id37641929 на номер 2090 зачислены
смс с текстом id38725679 на номер 2090 894002
смс с текстом id38948826 на номер 2090 пользователя
смс с текстом 88163922341 на номер 2332 111111111111111
смс с текстом LA bezee на номер 2332 111111111111111
смс с текстом 733167 на номер 2474 9242595
смс с текстом 70+96322 на номер 2893 47809123
смс с текстом 70+112701+kaspersky на номер 2895 930876718195
смс с текстом 70+111601 на номер 2895 381745019462
смс с текстом TIK на номер 3132 13616
смс с текстом 213131 на номер 3646 runfunc01
смс с текстом regmemb на номер 3649 ub5761
смс с текстом 906030 на номер 3649 572244
смс с текстом 40956 1316167 на номер 3649 4853713
смс с текстом 212115 на номер 3649 13616
смс с текстом 215478 на номер 3649 13616
смс с текстом 212525 на номер 3649 13616
смс с текстом 212117 на номер 3649 13616
смс с текстом 212727 на номер 3649 13616
смс с текстом 212828 на номер 3649 13616
смс с текстом 212929 на номер 3649 13616
смс с текстом 213030 на номер 3649 13616
смс с текстом 213232 на номер 3649 13616
смс с текстом 213434 на номер 3649 13616
смс с текстом 213535 на номер 3649 13616
смс с текстом 213636 на номер 3649 13616
смс с текстом 215410 на номер 3649 13616
смс с текстом 211287 на номер 3649 0000-000
смс с текстом 212478 на номер 3649 0000-000
смс с текстом old jaxx на номер 4161 vash
смс с текстом old oper на номер 4161 vash
смс с текстом old safin на номер 4161 vash
смс с текстом old serzh на номер 4161 vash
смс с текстом old muzzon на номер 4161 vash
смс с текстом old tupak на номер 4161 vash
смс с текстом wwwmicrosoft на номер 4161 K2AR5-Y7895-FTT65-H7D7D-68Y5D
смс с текстом 484643 на номер 4460 241
смс с текстом bbaktivation на номер 4460 fe3nhj6d
смс с текстом 9056765 на номер 4460 drwee44x
смс с текстом 51238524 на номер 4460 drwee44x
смс с текстом wwwers на номер 4460 aaaa8529
смс с текстом 301346 на номер 4460 drwee44x
смс с текстом 906030 на номер 4460 572244
смс с текстом 70+111601 на номер 5111 381745019462
смс с текстом 197435533 на номер 5370 1973143
смс с текстом 197387766 на номер 5370 1973143
смс с текстом 197325543 на номер 5370 1973143
смс с текстом 19794112 на номер 5370 1973143
смс с текстом 19798565 на номер 5370 installed
смс с текстом 19794112 на номер 5370 5748839
смс с текстом 1978106 на номер 5370 static
смс с текстом 197090767 на номер 5370 1234567
смс с текстом 19721112 на номер 5370 1234567
смс с текстом 197219009 на номер 5370 1234567
смс с текстом 19777877 на номер 5370 1971482
смс с текстом 1971482 на номер 5370 0000000
смс с текстом 197397 на номер 5370 installed
смс с текстом 19777877 на номер 5370 0000000
смс с текстом 197852 на номер 5370 0000000
смс с текстом 19793214 на номер 5370 0000000
смс с текстом 197971412 на номер 5370 0000000
смс с текстом 551222 на номер 5370 любые 7 символов
смс с текстом 551333 на номер 5370 любые 7 символов
смс с текстом 551444 на номер 5370 любые 7 символов
смс с текстом 551666 на номер 5370 любые 7 символов
смс с текстом 551777 на номер 5370 любые 7 символов
смс с текстом 5511003 на номер 5370 любые 9 символов
смс с текстом 5519342 на номер 5370 любые 9 символов
смс с текстом 197387766 на номер 5373 1973143
смс с текстом 19794112 на номер 5373 1973143
смс с текстом 197397 на номер 5373 installed
смс с текстом 19798565 на номер 5373 installed
смс с текстом 19794112 на номер 5373 5748839
смс с текстом 1978106 на номер 5373 static
смс с текстом 197090767 на номер 5373 1234567
смс с текстом 19721112 на номер 5373 1234567
смс с текстом 197219009 на номер 5373 1234567
смс с текстом 19777877 на номер 5373 1971482
смс с текстом 1971482 на номер 5373 0000000
смс с текстом 19777877 на номер 5373 0000000
смс с текстом 197852 на номер 5373 0000000
смс с текстом 19793214 на номер 5373 0000000
смс с текстом 197971412 на номер 5373 0000000
смс с текстом 551222 на номер 5373 любые 7 символов
смс с текстом 551333 на номер 5373 любые 7 символов
смс с текстом 551444 на номер 5373 любые 7 символов
смс с текстом 551666 на номер 5373 любые 7 символов
смс с текстом 551777 на номер 5373 любые 7 символов
смс с текстом id42156789 на номер 5373 golosa
смс с текстом 5511003 на номер 5373 любые 9 символов
смс с текстом 5519342 на номер 5373 любые 9 символов
смс с текстом 6401821 на номер 5537 129076564
смс с текстом 9+130547018 на номер 5537 48593
смс с текстом 9+130560403 на номер 5537 908324323
смс с текстом 9+130562884 на номер 5537 908324323
смс с текстом bb02123412 на номер 5537 VFM3H-J3QQ4-H3H2V-2HCH4-M3HK8
смс с текстом 70+115421+Текст на номер 5777 Сообщениедоставленно
смс с текстом +license на номер 6005 52849190
смс с текстом invites4 на номер 6006 21370
смс с текстом easycont38107 на номер 6008 0000000
смс с текстом he2ne1 на номер 6008 1111112
смс с текстом getcont38244 на номер 6008 0000000
смс с текстом anchcc на номер 6008 100001
смс с текстом getcont81379 на номер 6008 holopok
смс с текстом getstore37014 на номер 6008 0000000
смс с текстом getstore38244 на номер 6008 0000000
смс с текстом getter13940 на номер 6008 0000000
смс с текстом getter22954 на номер 6008 0000000
смс с текстом getter37725 на номер 6008 0000000
смс с текстом getter38107 на номер 6008 0000000
смс с текстом getter40723 на номер 6008 0000000
смс с текстом getter41061 на номер 6008 0000000
смс с текстом getter45688 на номер 6008 1200003
смс с текстом getter49244 на номер 6008 0000000
смс с текстом getter54479 на номер 6008 0000000
смс с текстом getter56546 на номер 6008 0000000
смс с текстом getter60676 на номер 6008 0000000
смс с текстом getter69411 на номер 6008 0000000
смс с текстом getter73624 на номер 6008 0000000
смс с текстом getter73836 на номер 6008 0000000
смс с текстом getter78474 на номер 6008 0000000
смс с текстом getter84766 на номер 6008 0000000
смс с текстом getter86482 на номер 6008 0000000
смс с текстом getter93005 на номер 6008 0000000
смс с текстом getter89497 на номер 6008 0000000
смс с текстом invites4 на номер 6008 21370
смс с текстом mhacop на номер 6008 2300005
смс с текстом mult 3998 на номер 6008 imufather
смс с текстом spaibo на номер 6008 21570
смс с текстом holly s3021 на номер 6008 123654
смс с текстом #comp1 t1038 на номер 6008 5748839
смс с текстом #comp1 t5764 на номер 6008 5748839
смс с текстом #win1 t5256 на номер 6008 5748839
смс с текстом #win1t5657 на номер 6008 5748839
смс с текстом #win1t5669 на номер 6008 5748839
смс с текстом #win1t2570 на номер 6008 5748839
смс с текстом #win1t2573 на номер 6008 5748839
смс с текстом #win1 t5400 на номер 6008 5748839
смс с текстом #start1 t5594 на номер 6008 5748839
смс с текстом #start1 t5596 на номер 6008 5748839
смс с текстом #start1 t5598 на номер 6008 5748839
смс с текстом #win1 t5595 на номер 6008 5748839
смс с текстом #win1 t5597 на номер 6008 5748839
смс с текстом #win1 t5599 на номер 6008 5748839
смс с текстом #win1 t5765 на номер 6008 5748839
смс с текстом payvideo17127 - ..67 на номер 6008 1200003
смс с текстом videopay17127 - ..67 на номер 6008 1200003
смс с текстом contentpay17127 - ..67 на номер 6008 1200003
смс с текстом videocont17127 - ..67 на номер 6008 1200003
смс с текстом videob17127 - ..67 на номер 6008 1200003
смс с текстом videoa17127 - ..67 на номер 6008 1200003
смс с текстом videoa16461 на номер 6008 12340
смс с текстом videob16462 на номер 6008 12340
смс с текстом videoa16463 на номер 6008 12340
смс с текстом videocont16464 на номер 6008 12340
смс с текстом videob16465 на номер 6008 12340
смс с текстом videob42929 на номер 6008 0000000
смс с текстом videob89356 на номер 6008 0000000
смс с текстом videocont16466 на номер 6008 12340
смс с текстом mm5p25 на номер 6008 1211113
смс с текстом 189368 на номер 6313 5550100
смс с текстом 258 193489 на номер 7122 hwz3ie
смс с текстом 1276504 на номер 7122 1276504
смс с текстом 1278544 на номер 7122 55555
смс с текстом fwэ161 на номер 7122 510632
смс с текстом GASTROLI на номер 7122 D16E23pu7r266t5PfK757y1JM9DY5Q8G
смс с текстом wz windows на номер 7132 312854-327650-801327-390101
смс с текстом gyggg на номер 7132 834759
смс с текстом regsys b15 на номер 7132 hwz3ie
смс с текстом VZ LKM на номер 7132 6661866131
смс с текстом vz resodo на номер 7132 9614561230
смс с текстом vz kaspersky на номер 7132 381745019462
смс с текстом WAP32504 на номер 7132 4443535
смс с текстом 1414 на номер 7132 5gns0bg
смс с текстом 2882304 на номер 7132 28101955
смс с текстом WAP32504 на номер 7138 4443535
смс с текстом 197435533 на номер 7250 1973143
смс с текстом 197387766 на номер 7250 1973143
смс с текстом 19794112 на номер 7250 1973143
смс с текстом 19798565 на номер 7250 installed
смс с текстом 197325543 на номер 7250 1973143
смс с текстом 19794112 на номер 7250 5748839
смс с текстом 197090767 на номер 7250 1234567
смс с текстом 19721112 на номер 7250 1234567
смс с текстом 197219009 на номер 7250 1234567
смс с текстом 19777877 на номер 7250 1971482
смс с текстом 1971482 на номер 7250 0000000
смс с текстом 197397 на номер 7250 installed
смс с текстом 19777877 на номер 7250 0000000
смс с текстом 197852 на номер 7250 0000000
смс с текстом 19793214 на номер 7250 0000000
смс с текстом 197971412 на номер 7250 0000000
смс с текстом 103452516058 на номер 7250 111111111111111
смс с текстом 551222 на номер 7250 любые 7 символов
смс с текстом 551333 на номер 7250 любые 7 символов
смс с текстом 551444 на номер 7250 любые 7 символов
смс с текстом 551666 на номер 7250 любые 7 символов
смс с текстом 551777 на номер 7250 любые 7 символов
смс с текстом TIK (оплата через 123ticket.com) на номер 7250 13616
смс с текстом +r444 18239 на номер 8055 135797531
смс с текстом +r444 18647 на номер 8055 135797531
смс с текстом +r444 39501 на номер 8055 135797531
смс с текстом +r444 65527 на номер 8055 135797531
смс с текстом +r444 72183 на номер 8055 135797531
смс с текстом +r444 73283 на номер 8055 135797531
смс с текстом +r444 88256 на номер 8055 135797531
смс с текстом +r444 96755 на номер 8055 135797531
смс с текстом vz zam на номер 8155 9895634168
смс с текстом 151169 на номер 8353 9990001
смс с текстом 151144 на номер 8353 555358
смс с текстом 210000 на номер 8353 runfunc01
смс с текстом 212113 на номер 8353 13616
смс с текстом wz zws на номер 8355 9895634168
смс с текстом VZ BIR на номер 8355 8991634226
смс с текстом VZ ACTIVE на номер 8355 12316063
смс с текстом 733166 на номер 8750 22582825
смс с текстом 733169 на номер 8885 66244623
смс с текстом 577800 на номер 9099 PozdRAvLyAeM
смс с текстом wz+476457 на номер 9099 879563640
смс с текстом wz+25245 на номер 9099 himydarling
смс с текстом 600530684 на номер 9691 6523
смс с текстом 4922 649 на номер 9693 623456
text733166 на номер 9800 7393936297
text733168 на номер 9800 4243352762
смс с текстом 733168 на номер 9800 9242595
смс с текстом 733187 на номер 9800 9434676
07.01.2010 15:24
Propil
 
Цитата:
В итоге, как выяснилось, при запуске приложений, происходит какая-то сверка названия по внутренней базе и если программа содержит определённое название - система либо блокируется, либо вырубается.
Помогает вариант переименования лечилки и смены расширения
Например avz.exe -> qwert.pif
Цитата:
У нее был бук поэтому запуститься с WinPE никак не получилось
Стоит иметь в кармане загрузочную флешку - нетбуков развелось..
Цитата:
пришлось банально форматнуть...
это не наш метод :)
07.01.2010 15:46
Vovantus
 
Цитата:
Propil Помогает вариант переименования лечилки и смены расширения
Например avz.exe -> qwert.pif
пробовал.. как только заходил в папку avz4 - сразу вырубало систему. пробовал, предварительно, на флэшке поменять название и потом запустить - один фиг вырубает при запуске! из всех исполняемых файлов, что запускал на компе, запустилась только игра zuma
07.01.2010 16:02
Propil
 
да, и такое бывает..
Вообще - большое значение имеет профилактика. Патчи на винду, отключение ненужных служб, работа под юзером с ограниченными правами, брандмауер, сложные пароли и пр.
А по теме, вот из свежего:

описание и способы лечения
08.01.2010 02:14
Vovantus
 
Цитата:
Propil Вообще - большое значение имеет профилактика. Патчи на винду, отключение ненужных служб, работа под юзером с ограниченными правами, брандмауер, сложные пароли и пр.
это всё хорошо и нужно, но только тогда, когда необходимо защищать систему от вирусов. которые, к слову сказать, нередко используют бреши в ОС и заражают её незаметно. в контексте темы, как я понял, пользователь сам принимает решение об установке программы. фактически, он сам, умышленно, её инсталлирует. как тут можно защититься? я ещё в школе прочухал, что обычные бат-файлы могут разнести всю систему в прах, а антивирус даже не пикнет. вот и тут похожая ситуация. пока антивирусы не узнают код инсталлятора программы, он будет являться обычным приложением. а как можно сказать, что будет производить какое-либо незнакомое приложение, если его запустить? ситуация напоминает мне те времена, когда стали массово появляться первые вирусы и утилиты, которые запускались с флэшек в процессе автозапуска. ох и намучался я тогда
08.01.2010 07:51
Propil
 
Цитата:
отключение ненужных служб, работа под юзером с ограниченными правами
плюс настройка доступа к реестру
08.01.2010 08:36
Dimon
 
Свежие обновления, нормальный антивирус, при повышенном желании лазить куда либо, контроль доступа на ресурсы. А лечится проще паренной) консольку то никто не отменял.. Tasklist, taskkill, врубаем диспетчер задач, желательно за ранее экспортировать веточку реестра дающую к нему доступ, затем поиском выуживаем вирусню в темповой папке, киляем ее и вперед... дышим полной грудью*84
08.01.2010 08:43
twix
 
Цитата:
Dimon Свежие обновления, нормальный антивирус, при повышенном желании лазить куда либо, контроль доступа на ресурсы. А лечится проще паренной) консольку то никто не отменял.. Tasklist, taskkill, врубаем диспетчер задач, желательно за ранее экспортировать веточку реестра дающую к нему доступ, затем поиском выуживаем вирусню в темповой папке, киляем ее и вперед... дышим полной грудью*84
я встречался с одним вымогателем, который не висел отдельным процессом, а, видимо, был подгружен какой-то длл к эксплорер.экзе. их список я просмотреть смог, а вот вычислить неприятеля - нет. потому что я банально не знаю на изусть все "белые" длл, которые проводник должен подгружать. в итоге оказалось проще винды переставить. двадцать минут, и система чистая (8
cureit, кстати, тогда еще ничего не нашел. видимо, виря была совсем новая.


да... вот и ссылка для тех, что хочет поиграть в игру вымогателей:

это чтобы список, который Олег привел, не запоминать
08.01.2010 13:00
Vovantus
 
Цитата:
Dimon А лечится проще паренной) консольку то никто не отменял.. Tasklist, taskkill, врубаем диспетчер задач, желательно за ранее экспортировать веточку реестра дающую к нему доступ, затем поиском выуживаем вирусню в темповой папке, киляем ее и вперед... дышим полной грудью*84
наивный парень. если бы всё было так просто. грюже, блокируется всё нафиг! и смд, и такслист и другие утилиты по убиению процессов, сторонние. даже сейф моде с поддержкой командной строки не запускается. похоже, единственный метод - это либо снимать винт и лечить его на другом компе, либо грузиться с лайвсиди и долбить вредоносный объект уже через него.
11.01.2010 13:09
Shlong
 
вот тут утила для подборки пароля сам не юзал и скорее всего не доведется...:viannen_68:
11.01.2010 17:43
zarakon
 
Вообще если есть инет и нет антивируса это как то даже опасно, что ле, есть же кучи бесплатных утилит тот же cureit, программы подобно рода очень хорошо лечит Avast, ну и для тех кто не хочет вкладывать деньги в антивиры и использует легальные ОСи есть конечно Microsoft Security Essentials, конечно не панацея но бесплатный, о пока что очень хорошо себя зарекомендовал
11.01.2010 17:45
zarakon
 
И еще , можно не вынимать винт, есть решените проще, использовать LIve ОС, с них спокойно качать что нужно и убивать)))
12.01.2010 02:02
Vovantus
 
Цитата:
zarakon есть же кучи бесплатных утилит тот же cureit, программы подобно рода очень хорошо лечит Avast
программы подобного рода, при похожем результате, имеют разную начинку. вчера друган один мой поведал, что загрузившись через лайв сиди и просканировав систему через свежие авиру и куреит, они не нашли вредоносную программу. пришлось сносить систему. единого способа лечения нет и не будет. программы подобного рода развиваются и совершенствуются, а пользователи будут всегда на шаг позади авторов.
12.01.2010 13:42
Vovantus
 
ещё одна победа!

сегодня позвонила женщина. грит, типа, сидела - работала с юридическими статьями в инете. на одном из сайтов увидела банеры эротического характера. решила немного разнообразить свою работу и посмотреть одним глазком. зашла на порносайт, выбрала ролик, выскочило какое-то сообщение с запросом, подтвердила. в итоге, выскочил классический банер, который перекрыл собой область рабочего стола. ну и, само собой, для удаления которого требовалось отправить смс. отправила. пришёл ответ с кодом деактивации. ввела. банер ей сказал, что код верный, но чтобы полностью удалится, попросил ещё одно смс отправить. отправила. в ответ пришёл ещё один код. ввела его в банер, но не проканало. думает, фигня какая. повторяет отправку, но в ответ приходит смс, типа денег нет на счёте. смотрит баланс, а там - 2000 р. после этого вызвонила меня. при активном банере, по краям всёже видно было немного рабочего стола. кое как открыл браузер, зашёл на сайт каспера, на страницу деактивации подобных программ, ввёл тескст сообщения, получил целую кучу кодов деактивации. два из них проканали, банер пропал. обновил версию каспера, потом скачал свежие базы, просканировал комп. в процессе сканирования обнаружился троян, тот, который типа деактивировался. каспер его с шумом удалил. всё, система работает, все довольны, я пошёл дальше варить свою гречневую кашу
12.01.2010 21:59
Dimon
 
Цитата:
Vovantus ещё одна победа!

сегодня позвонила женщина. грит, типа, сидела - работала с юридическими статьями в инете. на одном из сайтов увидела банеры эротического характера. решила немного разнообразить свою работу и посмотреть одним глазком. зашла на порносайт, выбрала ролик, выскочило какое-то сообщение с запросом, подтвердила. в итоге, выскочил классический банер, который перекрыл собой область рабочего стола. ну и, само собой, для удаления которого требовалось отправить смс. отправила. пришёл ответ с кодом деактивации. ввела. банер ей сказал, что код верный, но чтобы полностью удалится, попросил ещё одно смс отправить. отправила. в ответ пришёл ещё один код. ввела его в банер, но не проканало. думает, фигня какая. повторяет отправку, но в ответ приходит смс, типа денег нет на счёте. смотрит баланс, а там - 2000 р. после этого вызвонила меня. при активном банере, по краям всёже видно было немного рабочего стола. кое как открыл браузер, зашёл на сайт каспера, на страницу деактивации подобных программ, ввёл тескст сообщения, получил целую кучу кодов деактивации. два из них проканали, банер пропал. обновил версию каспера, потом скачал свежие базы, просканировал комп. в процессе сканирования обнаружился троян, тот, который типа деактивировался. каспер его с шумом удалил. всё, система работает, все довольны, я пошёл дальше варить свою гречневую кашу
Мораль - Не нужно мешать работу с юридическими документами с развлечениями) и дайте наконец поесть человеку каши)
Вопрос, а посторонние процессы были?
13.01.2010 03:09
Vovantus
 
Цитата:
Dimon Вопрос, а посторонние процессы были?
не успел задаться целью их найти. первый этап в решении подобного рода проблем - тупо подобрать код разблокировки, что у меня и получилось сделать
13.01.2010 09:56
zarakon
 
Как говориться за что боролись( Вчера моя девушка решила посмотреть нуху дома пока меня не было, ролик попросил скачать и установить флеш плеер, ну и соответственно перезагрузиться, естественно окно, но с ним можно было работать он закрывал только центр экрана( решения такой ситуации есть 2, безопасный режим и там через тырент, либо опять же в безопасном зайти в профиль пользователя/Application Data и там будет лежать интересующий нас контент, но это скорее всего просто непродуманная автором-вымогателем программа, хотя ето может быть из за Win7...
13.01.2010 11:25
Vovantus
 
Цитата:
zarakon ролик попросил скачать и установить флеш плеер
вот, теперь понятно, что за сообщение выскакивает, никто из пострадавших не мог объяснить толком. думается мне, в связи с этим, нужно писать служебную записку и под роспись каждому работнику офиса. есть информация о том, что программы-вымогатели распространяются и через музыкальные порталы. не дай бог одноклассников взломают, народа пострадает пипец. у нас в офисе мягкая политика пользования инетом. народа не так много и трафика потребляют мало. соответственно, шарятся, порой, по левым сайтам. не по порнушным, конечно, но на музыкальные порталы заглядывают изредка.
13.01.2010 11:45
zarakon
 
А на левых сайтах думаешь нет роликов порнушных? или то же музло, просят установить плеер и поехали.... причем он ставить в директорию пользователя , соотвественно ставить может каждый, в масштабах малого предприятия есть возможность поставить твикеры.... а в больших это очень проблематично и тратит чертовски много времени((
13.01.2010 12:34
twix
 
Цитата:
zarakon А на левых сайтах думаешь нет роликов порнушных? или то же музло, просят установить плеер и поехали.... причем он ставить в директорию пользователя , соотвественно ставить может каждый, в масштабах малого предприятия есть возможность поставить твикеры.... а в больших это очень проблематично и тратит чертовски много времени((
установить просят не только плеер. но и кодеки/дешифраторы/анонимайзеры и пр. хрень, которая якобы будет полезной и необходимой для просмотра прона

а в больших сетях нужно не ограничивать доступ куда не надо, а давать его только туда, куда надо.
16.01.2010 15:25
Vovantus
 
ещё один клиент "готов". завтра пойду воевать. тема набирает актуальности. для общего развития, советую почитать тут.
19.01.2010 09:58
Requin
 
Вчера с таким столкнулся. Повезло - лишних телодвижений не понадобилось *04. Загрузился в безопасном режиме, в автозагрузке какой-то подозрительный процесс mfo.exe стоял, убрал его - запрос кода пропал.
19.01.2010 12:24
Vovantus
 
Цитата:
Requin Загрузился в безопасном режиме, в автозагрузке какой-то подозрительный процесс mfo.exe стоял, убрал его - запрос кода пропал.
ещё желательно, на всякий случай, проверить систему каким-нить антивирусным сканером.
19.01.2010 14:28
barsss
 
На сайте DrWEB можно скачать загрузочный iso образ линуховый с их ftp. Как правило он постоянно обновляется. Весит метров сто. В последний раз именно им и "прибивал" подобные вымогатели у пользователей. Находит он именно сами дллки и куски этих вирусов, а вот записи реестра и прочее приходится поправлять именно ручками: то explorir вместо explorer, то ginadll другая. Но обычно всегда по одним и тем же местам бьют - подсовывание своей оболочки вместо стандартной.
Еще ни разу не переустанавливал систему, всегда удавалось все восстановить.
19.01.2010 14:44
twix
 
Цитата:
barsss На сайте DrWEB можно скачать загрузочный iso образ линуховый с их ftp. Как правило он постоянно обновляется. Весит метров сто. В последний раз именно им и "прибивал" подобные вымогатели у пользователей.
а я им в первый и последний раз решил воспользоваться в начале прошлого месяца. скачал, зарезал - не загрузилось )8
спасла флешка с убунтой и ClamAV'ом (;
кстати, DrWeb CureIt! отлично работает под wine'ом (: тоже не раз выручало
19.01.2010 14:44
Vovantus
 
Цитата:
barsss На сайте DrWEB можно скачать загрузочный iso образ линуховый с их ftp. Как правило он постоянно обновляется. Весит метров сто.
рекомендую вместо подобных образов использовать вот эту утилитку. с её помощью можно создать простой в использовании лайфсиди с минимальным набором софта, но с возможностью подключать плагины. закатать один раз на болванку и перед запуском подключать флэшку с джентельменским набором софта. не всегда куреит лечит заразу. я использую следующие утилиты:
ransomhide - как вариант для подбора када деактивации, в случае, если нет доступа в инет.
AnVir Task Manager, Process Killer, Process Explorer и pskill от sysinternals - для убиения зловредных процессов.
куреит, Avira Antivir, Vitus Removal Tool - для сканирования и чистки системы.
avz - для сканирования и разблокирования ранее заблокированных функций в ОС.
25.01.2010 10:48
izuware
 
Еще гдето вычитанный метод:
Все опсосы имеют базу коротких номеров и по запросу предоставляют координаты его сервисдека. Там обычно телефон вида 8-800-ххххххх на который звонишь и спрашиваешь код.
Якобы работает. Сам не пробовал.


Опции темы


Часовой пояс GMT +3, время: 17:02.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.