Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 03.06.2009, 09:30   #1 (permalink)
DiM
IDDQD
 
Аватар для DiM
 
Регистрация: 16.03.2008
Адрес: Москва
Сообщений: 16,206
Записей в дневнике: 3
Сказал(а) спасибо: 1,040
Поблагодарили 261 раз(а) в 122 сообщениях
Репутация: 43234
По умолчанию Вирус, требующий активации Windows по sms

В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Troyan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации"
__________________
DiM вне форума   Ответить с цитированием

Старый 03.06.2009, 09:30
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Не ругайтесь, но вам нужно прочитать похожие темы

Вирус Windows не до конца загружается
Windows требует активации
Борьба с Trojan. Winlock. Вирус, требующий отправки SMS
Программа активации Windows
Код активации на месяц
Microsoft обновляет систему активации в Windows 7

Старый 03.06.2009, 11:34   #2 (permalink)
morfeus
in a matrix...
 
Аватар для morfeus
 
Регистрация: 20.12.2007
Сообщений: 9,039
Сказал(а) спасибо: 222
Поблагодарили 17 раз(а) в 14 сообщениях
Репутация: 15197
По умолчанию

Спасибо, на будущее буду иметь ввиду...
morfeus вне форума   Ответить с цитированием
Старый 03.06.2009, 11:53   #3 (permalink)
Dram
Экономичный вид памяти
 
Аватар для Dram
 
Регистрация: 19.02.2008
Сообщений: 2,632
Записей в дневнике: 1
Сказал(а) спасибо: 6
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2794
По умолчанию

подобная ерунда была еще на Эксплоере. А вот не ужто так сложно пробить номерок на кого оформлен и приехать к нему с битой.
Dram вне форума   Ответить с цитированием
Старый 03.06.2009, 12:03   #4 (permalink)
SerGrey
Специалист
 
Аватар для SerGrey
 
Регистрация: 25.11.2007
Сообщений: 2,186
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 808
По умолчанию

Цитата:
Сообщение от Dram Посмотреть сообщение
А вот не ужто так сложно пробить номерок на кого оформлен и приехать к нему с битой.
Очень сложно, там целая группа подставных лиц, причём многие даже не знают про данный номер.
SerGrey вне форума   Ответить с цитированием
Старый 03.06.2009, 12:23   #5 (permalink)
Dram
Экономичный вид памяти
 
Аватар для Dram
 
Регистрация: 19.02.2008
Сообщений: 2,632
Записей в дневнике: 1
Сказал(а) спасибо: 6
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 2794
По умолчанию

SerGrey а ты откуда знаешь. А? не все можно найти и узнать все равно даже если симка ну чужого оформлена то деньги переводят на банковский счет.
Просто кто создал этот вирь явно в хороших отношениях($) с чиновниками работаюших в этой сфере.
Dram вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 03.06.2009, 14:29   #6 (permalink)
SerGrey
Специалист
 
Аватар для SerGrey
 
Регистрация: 25.11.2007
Сообщений: 2,186
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 808
По умолчанию

Я в МТС работал, там часто с такими махинациями приходили.
SerGrey вне форума   Ответить с цитированием
Старый 03.06.2009, 15:22   #7 (permalink)
VipeR
Имперская инквизиция
 
Аватар для VipeR
 
Регистрация: 14.02.2007
Сообщений: 6,097
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 3046
По умолчанию

антивирус надо нормальный иметь, с последними апдейтами ... и лазить только по проверенной парнухе, если неймется
вирус слишком прост, чтобы заразить ухоженную машину
VipeR вне форума   Ответить с цитированием
Старый 05.06.2009, 03:36   #8 (permalink)
VedebellO
Member
 
Аватар для VedebellO
 
Регистрация: 13.05.2008
Сообщений: 719
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 278
По умолчанию

Цитата:
Сообщение от Dram Посмотреть сообщение
подобная ерунда была еще на Эксплоере.
Если имеется в виду IE (да и прочие браузеры, где страница с СМС не выпадает, но все равно большинство известных сайтов блокируется), то эта проблема решается правкой файла hosts (WINDOWS\system32\drivers\etc\hosts) - файл открывается блокнотом и все что стоит после слова localhost, удаляется.
Кстати, проги типа WinPatrol отслеживают изменения в файле hosts.
VedebellO вне форума   Ответить с цитированием
Старый 20.06.2009, 07:53   #9 (permalink)
Aleksan
IT - Specialist
 
Аватар для Aleksan
 
Регистрация: 08.12.2007
Сообщений: 6,815
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 6316
По умолчанию

Скажу сразу - Такую хрень у меня поймала кадровичка.
По порнухе она не лазила это 100% (стоят запреты и по логам все видно)
Где поймала - хз.
Антивирус нод 2,70 (базы день-в-день), не справился.
Aleksan вне форума   Ответить с цитированием
Старый 20.06.2009, 12:13   #10 (permalink)
SerGrey
Специалист
 
Аватар для SerGrey
 
Регистрация: 25.11.2007
Сообщений: 2,186
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 808
По умолчанию

Цитата:
Сообщение от Aleksan Посмотреть сообщение
Скажу сразу - Такую хрень у меня поймала кадровичка.
По порнухе она не лазила это 100% (стоят запреты и по логам все видно)
Где поймала - хз.
Антивирус нод 2,70 (базы день-в-день), не справился.
Она могла установить прогу. Недавно с такой хернёй бился, всё вирусы удалил, а окно всё равно появляется. Оказалось программа установилась. Я её Анлокером и убрал.
SerGrey вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 04:00.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.