Технический форум
Вернуться   Технический форум > Дневники > Мой дневник


Это Дневник DiM
Рейтинг: 4.27. Голосов: 11.

Вирус, требующий активации Windows по sms

Запись от DiM размещена 02.06.2009 в 16:42
Обновил(-а) SQL 02.06.2009 в 21:37

Млин, думал в каком разделе форума это запостить, решил забложить маленько, тем более давненько не брался за дневник, привычка со школы .
В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Trojan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Если картинка или ее вариации(видел более топорные варианты, где даже не пытались "закосить" под Майкрософтовское оформление) Вам знакомы, то вы сейчас читаете именно тот дневник, который Вам нужен
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации" А обсудить тему или задать возникшие вопросы можно прямо в дневнике или здесь с уважением DiM
Размещено в Без категории
Просмотров 75043 Комментарии 15 Редактировать метки
Всего комментариев 15

Комментарии

  1. Старый комментарий
    Аватар для Eli
    приветик Дима - как на пк фронте дела?

    хорошая статья

    думал в каком разделе форума это запостить
    может в Компьютерная безопасность ?
    permalink
    Запись от Eli размещена 02.06.2009 в 18:41 Eli вне форума
  2. Старый комментарий
    Аватар для Валерий
    Да, эту тему надо в компьютерную безопасность.
    permalink
    Запись от Валерий размещена 02.06.2009 в 20:32 Валерий вне форума
  3. Старый комментарий
    Аватар для SQL
    Да. Труе! Надо подкорректировать.
    permalink
    Запись от SQL размещена 02.06.2009 в 21:36 SQL вне форума
  4. Старый комментарий
    Аватар для DiM
    Привет всем Все, я ее в Компьютерную безопасность воткнул.
    permalink
    Запись от DiM размещена 03.06.2009 в 09:32 DiM вне форума
  5. Старый комментарий
    Аватар для neio
    Отличная тема!
    permalink
    Запись от neio размещена 04.06.2009 в 09:29 neio вне форума
  6. Старый комментарий
    Вчера на одном из сайтов (подозреваю что это был Kasparov.ru) подхватил подобную дрянь.
    Что имеем: баннер синего цвета во весь экран с призывом отправить SMS-текст "wwwers" на номер 4460 и неработающие (кроме Ctrl+Alt+Del) кнопки. Все интернет-советы по запуску проводника, как впрочем и сканирование дополнительным антивирусом, не помогло.
    Как избавился:
    После операции выход/вход в учётную запись баннер появляется с задержкой в 5 минут. За это время через диспетчер программ выявил что запущен неизвестный процесс ybuuk.exe. Через закладку "Автозапуск" в программе msconfig определил что файл расположен в папке C:\Documents and Settings\MyLogin\Application Data, где и обнаружил искомый файл размером 18432 и ещё 170 его братьев-близнецов.
    После отключения (с помощью msconfig) автозапуска ybuuk.exe баннер не появляется.
    При просмотре папок в C:\Documents and Settings\MyLogin\Local Settings\Temporary Internet Files выявлен источник заразы - файл k.php.
    Осталось только вычистить реестр от упоминаний о файлах-заразах.
    permalink
    Запись от J.K. размещена 19.06.2009 в 15:45
  7. Старый комментарий
    Здравствуйте уважаемый DiM, во-первых огромное спасибо за ваш пост, с помощью него восстановил винду с кучей геморойноустанавливаемого софта. Только вот остался один вопрос у меня: я снес все в папке temp как вы и говорили, но так как я человек малопонимающий во всей этой компьютерной теме то ничего не понял что делать далее, вопрос мой заключается в следующем - необходимо ли производить дальнейщие действия или и без них система будет работать? И если необходимо то очень прошу написать об этом поподробнее. Заранее огромное спасибо.
    permalink
    Запись от Andrew540 размещена 26.09.2009 в 12:39
  8. Старый комментарий
    Аватар для DiM
    Здравствуйте Далее вам необходимо подчистить хвостик этого вируса, который найти можно здесь Пуск-ищем там строчку Выполнить и забиваем в ней regedit. Тем самым мы попадаем в реестр. Здесь ищем ветку (слева читаем название на желтых папках имеющих древовидную структуру) Идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел. В параметре этой строки все остальное, кроме этого, можно убрать. Тоесть строчка должна выглядеть как C:\windows\system32\usrinit.exe
    Andrew540, ну и после этого рекомендую вам скачать бесплатную утилитку от DrWeba и вкачестве профилактики просканировать своего железного друга в безопасном режиме, при загрузке F8 - Безопасный режим. Она не требует установки и уже установленные антивирусы не являются препятствием ее работы. Если не понятно, не стесняйтесь пишите, выложу скриншоты или постараюсь объяснить еще подробнее.
    permalink
    Запись от DiM размещена 04.10.2009 в 14:56 DiM вне форума
  9. Старый комментарий
    Спасибо DiM за идею. Сегодня вычистил 2 компа с подобным вирусом. Однако процесс, порождающий окно с вымогательствами запускался из файла c:\windows\ctfmon.exe. Соответственно удаление этого файла и ссылок в реестре на него компьютер вылечили. Напомню, что "правильный" системный ctfmon находится по следующему пути c:\windows\system32\ctfmon.exe
    permalink
    Запись от Skrip размещена 06.10.2009 в 01:05
  10. Старый комментарий
    Аватар для DiM
    Skrip, спасибо за дополнение темы , думаю этот опыт встречи с вариацией проблемы и способы борьбы с ней будет полезен столкнувшимся с подобной заразой.
    permalink
    Запись от DiM размещена 06.10.2009 в 10:53 DiM вне форума
  11. Старый комментарий
    всем привет.очень хорошая статья.скажите пожалуйста просто оч надо где можно стопроцентно поцепить этот вирус и как?
    permalink
    Запись от GamBit93 размещена 14.01.2010 в 00:26
  12. Старый комментарий
    Аватар для DiM
    Привет Объявление вот здесь http://www.tehnari.ru/f17/ подайте, в разделе подхвачу. Я даже не спрашиваю, хотя любопытно, но догадываюсь для чего надо
    p/s хотя здесь как и в жизни, обычно чтобы что-нибудь такое подхватить достаточно просто не предохраняться
    permalink
    Запись от DiM размещена 15.01.2010 в 12:45 DiM вне форума
  13. Старый комментарий
    Тоже недавно столкнулся с подобным баннером, только черного цвета, и не блокировка Windows, а просто уведомление об установленной программе для просмотра эротических роликов кажется. Хочу добавить два уточнения.
    1) Чистый реестр выглядит как HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - значение параметра Userint - C:\windows\system32\[B]userinit.exe[/B]
    А вот [B]usrinit.exe[/B] - это как раз и есть троян, и запись в реестре появляется в этом же разделе в качестве второй записи с указанием того же каталога system32.
    2) сканером Cureit.exe от DrWeb он не ловится.
    Загрузиться с загрузочного диска и отредактировать реестр удобно с помощью ERD Commander.
    permalink
    Запись от Anatoly_V размещена 14.12.2010 в 12:19 Anatoly_V вне форума
    Обновил(-а) Anatoly_V 14.12.2010 в 12:25
  14. Старый комментарий
    я тоже столкнулся с программой USRINIT.EXE
    экран черный с натписью время бесплатного просмотра кончилось заплати бабло и

    отправь смс
    мои действия у меня( виндовс 7 установлен) перезагружаю комп появляется опять окно

    я начинаю нажимать на кнопку свертки окна, начинает промиргивать нижняя строчка

    понели в это время левой кнопкой мыши я начинаю шелкать по всему подрят что

    проявляется в понели и пытаюсь запусть дапустим тотал или игрушку (свертывать и

    шелкать нужно однавременно) если удалось запустить или открыть эта картинка

    всеровно будет по верх всех окон, далее надо опять нажать на кнопку перезагрузки,

    при загрузки нижняя часть должна немножко освободится наведите курсор на программу

    Lock Em All или XXX_video шелкнети лев. или .прав. кнопкой мыши должно появится

    маленькое окошечко дальше разберетесь сами.
    если нижяя часть не приоткрылась проведите всю манепиляцию занова и так пока не

    приоткроется.
    далее заходим в мой комп вы бираем диск С в поисковик забиваем XXX_video если

    нашил то удаляем потом Lock Em All если нашил то тоже затем самое главное набираем

    в поисковик usrinit комп найдет вот это C:\windows\system32\userinit.exe
    это и есть вирусноя программа удаляем ее на.....й
    по сктиптам
    никогда не играйте в казено не вый граете ни когда все ходы прощитываются программа

    перезагружается постоянно не верти не какому реффералу

    удачи вам всем stifander2
    permalink
    Запись от stifander2 размещена 19.12.2010 в 11:20
  15. Старый комментарий
    всем привет, словил баннер(помню не все что на нем указано, обьясню почему ниже):
    весь экран черный в середине баннер положите 400 рублей на МТС номер ..... и тд.....
    номер не помню потому что решил убрать баннер сам, так как были раньше у меня похожие баннеры без черного экрана, который все доступы перекрывает, в безопасном режиме эффект тот же. тут случайно при входе на своего пользователя, пока было окно "Подождите пожалуйста" решил нажать на контрл+альт+делит (винда у меня 7) появилось окно с которого я запустил Диспетчер задач, до этого он никак не запускался,(но при этом остался черный экран а банер пропал), через него как Новые задачи попытался воспользоваться восстановлением системы - не помогло, потом залез в интернет также через Новую задачу - получилось, решил перезагрузить комп чтобы опять взглянуть на банер и посмотреть номер указанный на нем, но он так и не появился , а осталься лишь черный экран!!! так что такая проблемма незнаю что делать, подскажите!
    ctacccccc@ya.ru
    permalink
    Запись от ctacccccc размещена 14.01.2011 в 23:22
 


Часовой пояс GMT +4, время: 22:57.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.