Это Дневник DiM
Вирус, требующий активации Windows по sms
Метки sms активация windows, trojan.winlock, windows, автологин, активация windows по sms, активация windows по смс, активация windows через, активация виндовс по смс, активация по sms, вирус, вирус вымогатель
Млин, думал в каком разделе форума это запостить, решил забложить маленько, тем более давненько не брался за дневник, привычка со школы .
В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Trojan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Если картинка или ее вариации(видел более топорные варианты, где даже не пытались "закосить" под Майкрософтовское оформление) Вам знакомы, то вы сейчас читаете именно тот дневник, который Вам нужен
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации" А обсудить тему или задать возникшие вопросы можно прямо в дневнике или здесь с уважением DiM
В последнее время участились жалобы от клиентов на то, что их система вдруг в один прекрасный момент стала просить отправить sms на номер..... Имя этому вымогателю - Trojan.Winlock На экран выходит табличка с этой просьбой и что после этого в ответном sms придет ключ для повторной активации продукта Майкрософта. Самое глупое что можно сделать для решения этой проблемы это действительно отправить sms просящему. В этом случае с Вас спишут эную сумму денег, сам лично слышал о случаях вообще вопиющего лохоторна, когда человек после отправки sms и списания с него денег получал в ответ код активации с просьбой отправить этот код еще на четыре номера, якобы бесплатно, что после таких действий творится с его балансом думаю догадываетесь. Помните, Майкрософт свои продукты через sms не регистрирует, своими smsками вы лишь пополните карман злоумышленника.
Первый раз о вирусе-вымогателе я услышал от своего знакомого, когда он уже с ним столкнулся. Он поведал мне историю о своих методах "борьбы" с ним. Вобщем он сморозил глупость, sms отправил как от него и требовали и распрощался с тремястами рублями, никакого результата, кроме уменьшения баланса он, как и стоило ожидать, не получил, проблему решил радикально, снес Windows. Но к чему такие хлопоты, когда можно все решить проще, даже не прибегая к использованию антивируса.
Когда мне сегодня принесли такую машину на ремонт, моему взору, вместо загрузки предстало предупреждение о том, что если уважаемый пользователь хочет и дальше пользоваться своей системой, то ему стоит отправить sms на короткий номер. И, самое главное, предупреждение, что бы никто не пытался даже пробовать использовать антивирусники или предпринимать другие действия, кроме как sms сервиса, в противном случае с рабочей системой можно распрощаться.
Если картинка или ее вариации(видел более топорные варианты, где даже не пытались "закосить" под Майкрософтовское оформление) Вам знакомы, то вы сейчас читаете именно тот дневник, который Вам нужен
Ну мои действия были банальны, я загрузился с LiveCD и просканировал машину, правда признаюсь не с самыми новыми базами и врезультате нашел пару вирусов, которые как выяснилось не имели к проблеме никакого отношения. Так как качать новый Live было лень, а подключать к другой машине болящий хард не было времени (клиент был срочный и ему машина нужна была до обеда), вобщем я, посоветовавшись с одним человеком, поступил проще.
Повторяю, впринципе не понадобилось даже антивирусника, повторно загрузился с того же LiveCD, зашел в папку C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов, которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме. После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\userinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации" А обсудить тему или задать возникшие вопросы можно прямо в дневнике или здесь с уважением DiM
Всего комментариев 15
Комментарии
-
приветик Дима - как на пк фронте дела?
хорошая статья
думал в каком разделе форума это запостить
может в Компьютерная безопасность ?Запись от Eli размещена 02.06.2009 в 18:41 -
Запись от Валерий размещена 02.06.2009 в 20:32 -
Запись от SQL размещена 02.06.2009 в 21:36 -
Запись от DiM размещена 03.06.2009 в 09:32 -
Запись от neio размещена 04.06.2009 в 09:29 -
Здравствуйте Далее вам необходимо подчистить хвостик этого вируса, который найти можно здесь Пуск-ищем там строчку Выполнить и забиваем в ней regedit. Тем самым мы попадаем в реестр. Здесь ищем ветку (слева читаем название на желтых папках имеющих древовидную структуру) Идем по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел. В параметре этой строки все остальное, кроме этого, можно убрать. Тоесть строчка должна выглядеть как C:\windows\system32\usrinit.exe
Andrew540, ну и после этого рекомендую вам скачать бесплатную утилитку от DrWeba и вкачестве профилактики просканировать своего железного друга в безопасном режиме, при загрузке F8 - Безопасный режим. Она не требует установки и уже установленные антивирусы не являются препятствием ее работы. Если не понятно, не стесняйтесь пишите, выложу скриншоты или постараюсь объяснить еще подробнее.Запись от DiM размещена 04.10.2009 в 14:56 -
Запись от DiM размещена 06.10.2009 в 10:53 -
всем привет.очень хорошая статья.скажите пожалуйста просто оч надо где можно стопроцентно поцепить этот вирус и как?
Запись от GamBit93 размещена 14.01.2010 в 00:26 -
Привет Объявление вот здесь http://www.tehnari.ru/f17/ подайте, в разделе подхвачу. Я даже не спрашиваю, хотя любопытно, но догадываюсь для чего надо
p/s хотя здесь как и в жизни, обычно чтобы что-нибудь такое подхватить достаточно просто не предохранятьсяЗапись от DiM размещена 15.01.2010 в 12:45 -
Тоже недавно столкнулся с подобным баннером, только черного цвета, и не блокировка Windows, а просто уведомление об установленной программе для просмотра эротических роликов кажется. Хочу добавить два уточнения.
1) Чистый реестр выглядит как HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - значение параметра Userint - C:\windows\system32\[B]userinit.exe[/B]
А вот [B]usrinit.exe[/B] - это как раз и есть троян, и запись в реестре появляется в этом же разделе в качестве второй записи с указанием того же каталога system32.
2) сканером Cureit.exe от DrWeb он не ловится.
Загрузиться с загрузочного диска и отредактировать реестр удобно с помощью ERD Commander.Запись от Anatoly_V размещена 14.12.2010 в 12:19
Обновил(-а) Anatoly_V 14.12.2010 в 12:25 -
всем привет, словил баннер(помню не все что на нем указано, обьясню почему ниже):
весь экран черный в середине баннер положите 400 рублей на МТС номер ..... и тд.....
номер не помню потому что решил убрать баннер сам, так как были раньше у меня похожие баннеры без черного экрана, который все доступы перекрывает, в безопасном режиме эффект тот же. тут случайно при входе на своего пользователя, пока было окно "Подождите пожалуйста" решил нажать на контрл+альт+делит (винда у меня 7) появилось окно с которого я запустил Диспетчер задач, до этого он никак не запускался,(но при этом остался черный экран а банер пропал), через него как Новые задачи попытался воспользоваться восстановлением системы - не помогло, потом залез в интернет также через Новую задачу - получилось, решил перезагрузить комп чтобы опять взглянуть на банер и посмотреть номер указанный на нем, но он так и не появился , а осталься лишь черный экран!!! так что такая проблемма незнаю что делать, подскажите!
ctacccccc@ya.ruЗапись от ctacccccc размещена 14.01.2011 в 23:22