Технический форум - Показать сообщение отдельно - Вирус, требующий активации Windows по sms

DiM · 03.06.2009, 09:30

В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Troyan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации"

03.06.2009, 09:30	#1 (permalink)
DiM IDDQD Регистрация: 16.03.2008 Адрес: Москва Сообщений: 16,206 Записей в дневнике: 3 Сказал(а) спасибо: 1,040 Поблагодарили 261 раз(а) в 122 сообщениях Репутация: 43234	Вирус, требующий активации Windows по sms В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Troyan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника. Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса. Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться. Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще. Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел. Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию. Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации" __________________

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070