Ваш компьютер блокирован, отправтье смс на номер 7132
Попался мне недавно очередной СМС вирус. Сотрудники прибежали с башенными глазами, полными слёз и ноутбуком в руках. Спасай, кричали они, с нас магарыч. Ну как тут откажешь.
В окошке следующий текст. Посмею заметить? что текст написан не очень грамотным человеком :)
Внимание Ваш компьютер блокирован, для разблокировки компьютера Вам надо отправить СМС. В противном случае данные вашего компьютера будут удалены безвозвратно.
Для получения кода активации Вам надо отправить СМС
С текстом regsysy b20
На номер 7132
После входа в систему без разговоров вылетает окошко, белое и красивое. Ни удержание Shift ни стандартные Win+D, Win+U, Ctrl+Shift+Esc ни даже великий Ctrl+Alt+Del не смогли дать мне шанс вызывать диспетчер задач.
Начинаем развлечения.
Перезагружаем компьютер и держим F8. Загружаем в безопасном режиме с поддержкой командной строки. Запускается система и консоль. Вызываем диспетчер задач и находим файл sound.exe. Уж чересчур подозрительный.
Такого процесса я не знаю, но и найти его где-то в реестре прописанным в автозагрузку тоже не могу.То что это он во всём виноват сомнений нет. Как только я его убил — окошко пропало. И система выдала сообщение что не может найти sound.exe.
Сам файл находится в папке c:\windows\media\sound.exe. Весит 35 килобайт и не определяется ни одним антивирусом. Но это пока.
Файл удалил и полез искать кишки в реестре. Наткнулся на ветку HKEY_CURRENT_USER\Software\Microsoft\ Windows\ShellNoRoam\MUICache и там его ключик. Ссылается на сам файл.
Ключик тоже удалил. Перезапустил компьютер и вуаля. Все отлично. Файл отправил Касперскому и тут же получил ответ.
Здравствуйте,
sound.exe - Trojan-Dropper.Win32.Wlord.xz
Детектирование файла будет добавлено в следующее обновление.
Не люблю подобные дела. Портить людям жизнь и наживаться на этом — это низко и тупо. Таких вирусописателей и распрастранителей нужно бить ногой в ебло.
ААА!!!! Мне не помогает это!! У меня почти тоже самое пишет отправте смс на номер 7122 и тругой текст!! При заходе в “безопасном режиме с поддержкой командной строки” у меня нету процесса sound.exe!!! Что делать помогите пожалуйсто!
Комментарий от Алекс
[ 25 июня, 2009, 11:08 ]
DrWeb легко определяет и удаляет эту заразу.
Комментарий от drfyhfd
[ 29 июня, 2009, 08:22 ]
ктонить отправлял смс? напишите код плиз… если он конечно вообще есть…
Комментарий от sfs
[ 29 июня, 2009, 09:26 ]
у меня лежала зараза тут:
windows/help/hlp.exe
Комментарий от Полина
[ 8 июля, 2009, 10:13 ]
у меня тоже нет файла sound.exe., компьютер выпендривается по полной программе, а сегодня уже даже не даёт зайти в безопасном режиме, выключается.
мда… ногой в ебло, однозначно
Комментарий от Серж
[ 9 июля, 2009, 02:04 ]
падонки они. я отправил смс 170 р вышло. код был spasibo . а нельзя как то жалобу на этот короткий номер написать? злость кипит на этих гадов.
Жалбоу отправить нельзя. Есть еще сервисы, которые покрывают таких вот говнюков.
2 Артём.
Ищи другой подозрительный процесс, штудируй реестр. Этих говновирусов пишут каждый день новых.
Комментарий от Алинка
[ 10 июля, 2009, 17:35 ]
Спасибо Вам огромное!!!!!Все получилось,и моя винда работает отлично!!
Комментарий от Илья
[ 13 июля, 2009, 16:48 ]
О да, великолепный был совет рассчитанный для обычных пользователей.
Итак :
Имеем аналогичную дрянь с кодом и коротким номером.
1.В обычном режиме видим этот экран.
2.В безопасном режиме вуаля! мы тоже видим этот экран.
3.Экран диспетчера задач блокируется.
3.LiveCD не видит эту дрянь.При подключении винчестера к другому компьютеру и его проверке тоже пусто.Проверял дрвебом,касперским и нортоном.
4.И что делать ммм?
Включить мозг и попробовать найти в реестре или в системе подозрительные файлы, с датой созданий близкой к появлению вируса.
Комментарий от Илья
[ 14 июля, 2009, 12:03 ]
Достойный ответ.Только надо было прочитать вопрос внимательнее.Система блокирована полностью.Если бы я мог открыть реестр,то давно бы это сделал и почистил все ветки.Только вот как открыть этот самый редактор реестра если система блокирована в обоих режимах?В LiveCD утилитка для редактирования все еще находится в разработке.
В одной только папке Windows несколько тысяч файлов.Извините,но я не знаю их наизусть.К тому же есть вероятность, что это обычная модифицированная,либо зараженная dllка.Кстати NOD32 тоже ничего не нашел.
От заразы можно избавиться не загружаясь в save mode, нажимаете и удерживаете Ctrl+Alt+Del 10-15 с. система в итоге не выдерживает и выводит Task Manager поверх всех окон на несколько секунд, в этот момент снимаете задачу sound.exe и продолжаете мочить его из автозагрузки. как описано выше.
Nod32 не ловит эту заразу (
Комментарий от Алексей
[ 29 июля, 2009, 00:59 ]
Народ! Не пользуйтесь интернетэксплорером. Там одни дыры, даже дырищи, особенно которые в ворованных версиях виндовс. Правда, пободная зараза иногда поражает и Оперу. Гугл Хром и Файерфокс – пока по безопасности вне конкуренции!
Комментарий от серега
[ 15 августа, 2009, 19:59 ]
блииин люди у меня такая же штука >>>>я б такого пидара сироткой оставил на всю жизнь
Комментарий от wbg_sherlok
[ 9 сентября, 2009, 08:14 ]
Вчера познакомился с этой хренью. Та еще гадость. Загрузился я с Ultima boot CD и запустил проверку с помощью докторВэбовского “Lounch”. Он ничего не нашел. А решил проблему я случайно. От отчаянности я начал быстро нажимать ctrl+alt+del и окно диспетчера задач стало заметно мелькать на экране, и я успел разглядеть на нем одну единственную висящую в памяти задачу под названием “sound”. Потом я стал не только жать быстро ctrl+alt+del, но и одновременно нажимать Enter, и, о чудо, я все таки enter-om успел нажать кнопку “Снять задачу”, и выключить приложение “sound”. И вот он передо мной рабочий стол. Ну а далее уже дело техники. В редакторе реестра ввел поиск по “sound”, нашел там где эта хрень сидит на ЖД(C:\WINDOWS\Media\sound.exe), вычистил все из реестра (кстати этот файл похоже запускается из реестра из ветки RunOnce), удалил его с ЖД, ну вот собственно и все проблемы.
Комментарий от доктор Брейн
[ 12 сентября, 2009, 04:42 ]
Мне попалась другая программа, которая использовала тот же номер. Программа когда выходишь в Интернет, каждые 20-30 минут вывешивает окошко с предложением купить порнотовары. Когда щелкаешь по кнопке закрыть, приходится ждать минуту. И программа пишет что вы должны просмотреть 1000 рекламных предложений. А также предлагает избавиться от себя самой, послав SMS на этот самый короткий номер 7132. Похоже это все одна фирма. Узнать бы кому этот номер принадлежит….
Комментарий от Сергей
[ 13 сентября, 2009, 17:24 ]
Здравствуйте!
Прочитал Вашу статью и спешу поделиться своей историей. Вчера ночью по icq приходит сообщение от администратора:
Администрация ICQ (5:31):
В течение суток Вам необходимо активировать номер повторно, отправив бесплатное SMS сообщение на номер 7132 с текстом 5421234 и, тем самым, доказать что Вы не робот. В противном случае Ваш UIN будет удалён c сервера.
Просьба отнестись с пониманием.
С уважением администрация.
Я отправил и на утро оказалось, что с меня сняли 200р.
Может быть это не по Вашему профилю, но вдруг Вы знаете как найти владельца сего сомнительного предприятия (яндекс мне не помог). Е-мейл я указал в форме + адрес моего блога (если что, комментирование открыто – пишите).
Буду благодарен за ответ (можно в icq 564745274).
С уважением,
Сергей
Пиши оператору и жалуйся что будешь писать в милицию. Часто возврвщают баблос. Если не вернут пиши в милицию. Пусть кого-то накажут за это.
Комментарий от Роман
[ 16 сентября, 2009, 07:45 ]
Приходит по mailу что вы семимиллионный победитель отправьте бесплатное смс на номер 7132 и баланс вашего телефона пополнят на 360 р. Предложение типа действует в течение 9 часов. Выхожу в net смотрю есть сайт который предлагает на этом заработать new bill. Говнюки не то слово.
Комментарий от garry
[ 23 сентября, 2009, 16:31 ]
а я эту хрень убил = загрузившись с ERD commantera
казлы адназначно – надоть в милицию на них травить
Комментарий от Никифор
[ 23 сентября, 2009, 18:09 ]
Ребят…У меня подобная херня была сегодня
мне в контакте группа новая появилась
“Продажа голосов за 1 рубль!”(https://vkontakte.ru/club11856563) ну и там вот это адрес лежал https://goloc-vk.ru/buy.php я как мудак отправил смс на 7132 и у меня аж минус 390 рублей а в ответ какая та х-ня.Я тут начал в шерлока играть.Посмотрел кому эта группа принадлежит там был некий Егор Омельченко. Страница конечно же закрыта…но он не убрал друзей я их пощелкал и тут опять же выяснил что в скорее всего он сУкраины с города Днепродзержинск т.к у него есть клон страницы только по ходу там ебало другое но города одинаковые….вот так что кто оттуда город не большой…найдёте я буду только рад
Комментарий от voleal
[ 27 сентября, 2009, 14:18 ]
Спасибо ребята – помогли с sound.exe.
Хоть и не себе сделал,но возьму на заметку.
мне предлагали отправить смс на номер 7122 с буквами 585key. к огромному счастью, у мя на рабочем стле осталась висеть штучка, из программы, отпарвляющей музыку в аську, благодаря которой я смог вылезти в интернет. на основании прочитанного сделал следующее – перезагрузка “с последними работоспособными параметрами” одновременно с отключением загрузки программ из автозагрузки.
но комп заражен, прижется убивать. а еще бы убил мудилу, который это придумал.
Комментарий от Лёха
[ 30 сентября, 2009, 10:10 ]
ПОМОГИТЕ ПЛИ3!!!В общем требует смс 585key на 7122 отправить.По ходу вирус новый слишкрм,дрвеб со вчерашними базами не поймал.Загрузка с последними работоспособными параметрами не даёт результата.Безопасный режим просто не грузится(перезагружается и обратно в выбор режима).Что делать???
кстати, у меня перед тем, как4 выскакивала эта табличка, рабочий стол действовал несколько секунд. за это время можно залезть вполне в msconfig (“выполнить”) и отключить ВСЮ автозагрузку
Комментарий от Лёха
[ 30 сентября, 2009, 14:20 ]
РОМА,короче у мя та же проблема,что и у тебя…Весь инет перерыл.Короче то же смс на тот же номер.Если ты раньше страдал от вирусов,скрывающих и не дающих возможность отображать скрытые файлы,то наверняка есть на компе тотал командер).у меня когджа комп врубался,то минуты 2-3 было,потом выкидывало это окно.Через тоал можно в обычном режиме запустить интернет,зайти в интернет эксплорер,а там уже погуглишь).потом установишь,и там в конце установки жми обе галочки…потом оставляй комп на проверку.у мя работает на ура!!!единственное(((короче после проверки када комп перегрузится,в диспетчере щадач сними троян скан(процесс этой проги),а то она грузит сильно и комп на сигналы е откликается.Если чо пиши в асю)370321320.Помогу…и те у кого вирус был win32.sector.17 тож могу помочь(он отрубал диспетчер задач и редактор реестра)
Комментарий от Месть51
[ 3 октября, 2009, 23:37 ]
Ребяяяяяяят!!!!!!!!!!!!!! уми эта ТВАРЬ пропала через 24 часа!!!!!!!!!!!!запустил винду се норм без всяких левых окошек и ЕРРОРОВ все заепися!сам не понял как она отстала=)
PS не сглазить бы
Написать комментарий