Познавательный блог  

Поиск по сайту

Гугль

Архивы

WINDOWS заблокирован. Отправьте СМС на номер 3649. Вирус

WINDOWS заблокирован. Отправьте СМС на номер 3649.

Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC,  узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D

Windows заблокирован. Для разблокировки отправьте смс

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.

DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.

Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))

Кстати ДокторВеб написал генератор таких вот кодов.

Косметолог курсы белорусская salon-service.ru.

Комментарии

Комментарий от Монтер [ Февраль 18, 2011, 20:47 ]

Значит так…появилась у меня такая проблема, по признакам dr.web это trojan.winlock.2741 (хотя я думаю это что-то посерьезней), хотя там просилось 500руб на номер через терминал….дешевое разводилово)) значит я залез на диск через livecd на диск, прочесал его реестры AVZ и прогнал через dr.web и каспера…ничего эти «умные» штучки не нашли….все байки про безопасный и прочий режим нет эфекта, машина заблокировна…явление интересное…ну конечно я почитал много и всякое….многое попробовал…все это ТУФТА..может эти приемчики и хороши для писателей, но не для реальностей…а особено интересно пишут товарищи технари с dr.web, как будто у нас граждане по «умолчанию» программисты…бред…но и это не помогло…стал разбиратся и выяснил..вирусняк меняет текстовое содержание boot состовляющей группы, так как через livecd эти bootы не активны, ни один из антивирусников не может это выяснить, а тело вирусника прячется под разные ехе-ники разных программ. Очередной мой эксперемент был связан с глубокой очисткой AVZ, который нашел с десяток подозрительных файлов, я их удалил…результат плачевный…винда ругается при загрузке, убита загрузка…я востановил это посредством реаниматором…винда запустилась и опять наплодила опять файлов, которые я ранее удалял…после провел ту же работу, правда отключил все драйверы…винда заработала…пустил антивирусники, те кроме моих пиратских программулин ничего больше не нашли)))без них плохо и сними не хорошо)))винда после всех мучений явно визуально криво стала работать)))и еще….после старта появилась какая та крайне мутная учетная запись, закрытая….вообщем времени занило это порядком 9часов, результат неахти….переустановил винду посредством F11..за 10мин..я сделал банальные выводы, посредством livecd вытаскивайте все нужные файлы из вашей пораженой винды на флешку….и убивайте эту винду…тогда будет гарантия работы…всегда говорил и говорю….файлы храните на одном диске и винду на другом диске…так не жалко будет винду менять)))

Комментарий от олеся [ Февраль 23, 2011, 17:57 ]

ребята помогите,не знаю что делать,пишет виндовс заблокирован,просят отправить 400 руб.на номер 89602550037,что мне делать?

Комментарий от Александра [ Март 5, 2011, 14:29 ]

Спасибо вам большое, и персонально — андрею (один из первых постов)!
У меня выскочил баннер с надписью «Windows забОлокирован», положите 300 руб на номер 9647205905, безопасный режим не загружался, перестановка времени в БИОсе не помогла. Но при нажатии кнопки со значком «windows» появилась панель управления с кнопкой пуск. На ней ясно видно было окно Sound, я нажала правой кнопкой мышки и выбрала «закрыть». Потом нашла в папке Windows Sound.bat сегодняшнее число и удалила его. Гадость пропала.
Кстати, на сайте Доктор Веба такого как у меня баннера не было…

Комментарий от anton [ Март 8, 2011, 22:17 ]

не могу изменить значения shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, пишет нет доступа, хотя запускаю под админом и в самом эдиторе настроил, тело вируса убил, шляпа в общем

Комментарий от Макссс [ Апрель 12, 2011, 10:12 ]

бля да у меня все просто было по сравнению с вами))
у меня такая же хуйня вылезла,я ибался с ней 2 дня,потом в тупую нажал кнопку WIN-вылезла панель задач,открыл аваста,прочесал все,удалил вируса и оляля)))летает))

Комментарий от Светлана [ Май 14, 2011, 21:15 ]

вот эта инструкция мне помогла http://www.evgeniystepanov.ru/view_lesson.php?id=16 вирус удалился!!!

Комментарий от Саня [ Июнь 21, 2011, 20:49 ]

помог код от др веба 2641881427 просто идите по инструкции, а так даже в безопасный режим не пускало

Комментарий от Владислав Андреевич [ Июль 18, 2011, 09:07 ]

всем добрый день или вечер!!! я тоже сталкивался с подобной проблемой,пока знакомый не подсказал что есть универсальный код для подобных банеров!!!!стоимость которого в зависимость от оператора связи составляет порядка 7-25 рублей…… Отправьте SMS с ключевым словом GXP 2475553 на номер 8385 и получите в виде СМС код для удаления вредоносной программы,т.е баннера.

Комментарий от Павел [ Сентябрь 17, 2011, 10:51 ]

А мне повезло больше у меня вылетел синий экран но у меня был открыт Total komander я открыл антивирус включил на проверку и удалил вирус! перезагрузил комп и всё нормально!!!!!

Комментарий от 123 [ Ноябрь 27, 2011, 18:39 ]

Скачиваем архив с паролями разблокировки! http://www.bitoman.ru/download/81256.html
Там будет блатный архив, отправте смс и всё такое… Стоимость смс (как было написано на сайте не более 5 руб) С меня сняли 3 руб с копейками. код разблокировки нашёл!

Комментарий от хелп [ Декабрь 6, 2011, 12:36 ]

89091514358 хелп!

Комментарий от Андрей [ Декабрь 27, 2011, 23:01 ]

Спасибо автору за труды, но пока удалял эту гадость наткнулся на вот эту статейку и все получилось по удалению ошибки что http://www.nibbl.ru/setevaya-bezopasnost-windows/windows-zablokirovan/ может и в вашем случае поможет! Автор спасибо тебе за блог!!!

Комментарий от кузьма [ Январь 7, 2012, 09:21 ]

У меня не четырехзначный номер и никаких смс не просят. Прямым текстом написано положите на номер МТС +79879575972 500руб. и на чеке будет код)))
Интересно что по порноресурсам не ходил,никаких адоб флеш плееров не качал и вообще ничего подозрительного не трогал..Вот.На доктор веб есть вид этого блокиратора ,но к нему нет никаких кодов к сожалению.У меня Win7, через F9 запустил черное окно,потом F8,там выбрал безоп.режим с поддержкой командной строки(только в этом случае банера не появляется),вызвал диспетчер задач,файл,создать новую задачу,ввожу regedit- ок. и ничего не происходит а у ж где найти это?
3)Идем по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
4) В параметре Shell дожнро быть explorer.exe
А у вас там прописан путь к зараженному файлу (стирайте там всё. Потом и файл удалите по тому пути)
5)В параметрах userinit должно быть значение c:\windows\system32\userinit.exe

Комментарий от кузьма [ Январь 7, 2012, 09:27 ]

есть ещё окошечко для галочки : создать задачу с правами администратора и кроме кнопок ОК и Отмена есть кнопка Обзор. Через которую можно удалять даже какие нибудь папки,не все виды форматоф файлов оно видит. Но всетаки я рассматриваю это как некий прогресс в отличии от безысходности зависшего банера..там нет места когда он висит нигде вокруг.так как курсор не может выйти за пределы банера блокиратора..не идет.
Помогите.. Мне нельзя удалить и переустановить систему так как рисунки мои и работы не восстановишь. я не переживу)) спасибо

Комментарий от кузьма [ Январь 7, 2012, 09:29 ]

в классификации Dr.Web он называется Trojan.Winlock5293

Комментарий от кузьма [ Январь 7, 2012, 09:48 ]

блин ребята ну вы даёте)
регедит надо писать не в диспетчере задач, а в командной строке в черном поле,потом энтер и появляется окно редактора реестра…там уже я увидил все что выше ненашел…все параметры как дмитрий говорил нормальные..только запятая единственно была после ехе в юсеринит. благодарю..надеюсь поможет сейчас.эта запятая)

Комментарий от кузьма [ Январь 7, 2012, 10:03 ]

вроде сделал как сказал Дмитрий. Но увы мне пока воз ныне там.После перезагрузки все тоже окно красносинее((

Комментарий от кузьма [ Январь 7, 2012, 10:06 ]

но что именно удалять я не понял..что значит все удаляйте.? каких то подробностей или названий или параметров..на что внимания обращать..ну конечно я нен удалил ничего..боюсь..уж очень много там всего.
помогите)

Комментарий от bubenb [ Январь 16, 2012, 06:29 ]

Вот ссылка на сайт который мне помог, там много кодов расблокировки, и универсальная инструкция по нахождению вредоносного баннера
http://mrbelyash.blogspot.com/

Комментарий от Влад [ Январь 25, 2012, 20:26 ]

Помогите…У меня номер кошелька (380632141757) Помогите пожалуста!!!!Какой код????

Комментарий от kikrill [ Март 7, 2012, 22:28 ]

У меня такая блокировка выскочила, я перегрузил комп с загрускои Безопасного режима блокировка пропала, потом перезагрузил с обычной загруской и всё , в историй браузера посмотрел загрузки и удалил вирус!!

Комментарий от Светлый воин [ Май 17, 2012, 15:04 ]

Поймал недавно вирус — сразу после загрузки BIOS (до загрузки ОС) система блокируется и на черном экране появляется красная надпись: «Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов… Для снятия блокировки вам необходимо оплатить штраф в размере 600 рублей на номер телефона 89811279949, вам придет код подтверждения…». выход в безопасный режим невозможен, загрузка Windows не происходит, загрузка через CD, USB, LiveCD не помогает (вирусом отключена поддержка boot через CD или USB).

После подбора кодов, к телефону 89811279949 подошел код 7889009. Надеюсь, это кому-то поможет. Сразу после ввода кода и успешной загрузки системы продолжите лечение компа утилитами, чтобы убрать вирус.

Комментарий от vlad6k [ Май 21, 2012, 12:46 ]

загружаете загрузочник пе… на zver dvd есть загрузочник.. (кто незнает загружаеться windows с диска.. мимо вашеи винды.. ) сканирете папку windows свои доктором вебом.. там находит один троян .. удаляете.. перезагружаетесь.. и все.. .. я это к чему.. не все они через биос и диспечер дрпускаються.. а это 100%…

Комментарий от Наталья [ Июнь 13, 2012, 21:52 ]

всем добрый день или вечер!!! я тоже сталкивался с подобной проблемой,пока знакомый не подсказал что есть универсальный код для подобных банеров!!!!стоимость которого в зависимость от оператора связи составляет порядка 7-25 рублей…… Отправьте SMS с ключевым словом GXP 2475553 на номер 8385 и получите в виде СМС код для удаления вредоносной программы,т.е баннера

Комментарий от Сергей [ Июль 19, 2012, 17:48 ]

меня выручило восстановление системы!

Комментарий от master000009 [ Июль 30, 2012, 11:58 ]

Ребят,аккуратнее относитесь к советам,типа что-то отправить ,как правило это пишут Те,кто вас и «мает»

Комментарий от antonspb [ Август 13, 2012, 01:14 ]

Лечиться все очень просто недавно проверял ..
Скачиваеться ISO с lifecd и антивирусником.
Вот готовая ISO с антивирусником :
http://turbobit.net/k92jt15w01c4.html
Потом прога для записи ISO образов (Nero или UltraISO)
Можно также скачать прогу чтоб сделать флэшку загрузочной, вот ссылка на прогу :
http://turbobit.net/395ydhvdzj0j.html

Потом когда сделали флэшку или загрузочный CD Выбираем «терминал» в нем пишем windowsunlosker
(жмем Enter) потом нажимаем «1» (нажимаем Enter)
потом «2» (нажимаем Enter)
Воот и все Банер с СМС вирусом удален!!! Далее можно еще с этогоже CD провериться на вирусы.
Проверял на windows 7

Комментарий от IllIDaN [ Ноябрь 3, 2012, 14:30 ]

люди драсьти! встречался с этим вирусом несколько раз! вот простое решение для тех у кого ОС XP: запустите безопасный режим и создайте ещё одну учётную запись, перезагрузите систему зайдите в новую созданную учётную запись, там зайдите в локальный диск с виндой (обычно C), зайдите в document and settings а там в документы заблокированного пользователя, там вы увидете левый файл, (у меня это был ярлык синий с замком посередине) удалите его нахрен и смело заходите в старого пользователя! я раза 2-4 так делал работает прекрасно! на вин7 нельзя делать потому что невозможно создать через безопасный режим ещё одну учётку.

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru