Познавательный блог Мобильная врсия

Страницы

Промо

Отправьте СМС с текстом 9647115863 400 на номер 3116

Очередной блокировщик экрана от вымогателей. Интересно, много ли они денег зарабатывают на таком разводе. В общем как всегда. Разводят мирное население на бабос самыми мерзкими методами. А народ тугой, боится жаловаться и просить помощи друзей, так как стесняются что их обвинят в просмотре жесткой порнушки. А ведь авторы вируса на это и рассчитывают.

sms 1 - Отправьте СМС с текстом 9647115863 400 на номер 3116

Поехали лечить...

Экран становится черным и на нем страшными буквами написано — "ВНИМАНИЕ! Ваша операционная системе заблокирована за нарущение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранение возможности распространения данных материалов с Вашего ПК в сети Интернет. Для разблокировки операционной системы вам необходимо оплатить 400 рублей.

Оплата с вашего мобильного телефона.

— Если Вы абонент Билайн, отправьте СМС с текстом 9647115863 400 на номер 3116. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент Мегафон, отправьте СМСс текстом 9647115863 400 на номер 84444. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент МТС, введите команду *115#. Далее выберите Связь. Билайн. номер телефона 9647115863 сумма 400 рублей.В ответном сообщении подтвердите ваш платёж.

ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ: Пополните номер абонента Билайн №9647115863 на сумму 400 рублей. На выданном чеке будет написан код доступа к системе. Введите его в форму ниже."

Хочу заметить что вирус посерьезнее того лошья, что мне приходилось удалять до этого. Просто так сочетаниями клавиш парня не снести. Остается два способа — вводит код, который можно найти в интернетах бесплатно или загружаться с другой ОС, с загрузочного диска (Hirens Boot CD) или с Live CD винды.

Для начала пробуем коды

  1. avc0cet
  2. p1d0r
  3. svipper
  4. DTLP
  5. 16342131
  6. SHAZAM
  7. SKY DESTROYER
  8. DNITEMS
  9. kisskiss
  10. TETRIS
  11. DIGGER

Если помогло пропускаем следующую главу. Если не помогло грузимся с загрузочного Live CD или подключаем свой жесткий диск к другу, чтобы с его компа убить скотину.

В моем случае обошлось без этого, т.к. я администратор домена и могу подключиться с помощью Dameware Utilites к зараженной машине по сети. Подключился увидел 2 подозрительных процесса — armedkrnl.exe и arakrnl.exe. Убил процессы, окно пропало. Нашел куски файлов в C:\WINDOWS\Prefetch. Однако самих файлов с таким именем мне обнаружить в системе не удалось.

Но развлечения только начались. Гадость прописалась в реестр для автозапуска вместе с системой и поправила несколько ключей реестра, которые скрывают и отключают все элементы рабочего стола и панель управления.

Как это лечится пишем здесь:
Пропала панель управления (Control Panel)
Редактирование реестра запрещено администратором системы
Пропали значки с рабочего стола и нет меню

Далее запускаем редактор системного реестра. Пуск — Выполнить — "regedit" — И жмём Ввод. Откроется "Редактор реестра". В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Затем посмотрите на правую панель редактора реестра и проверьте два параметра "Shell" и "Userinit" (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.

sms 3 - Отправьте СМС с текстом 9647115863 400 на номер 3116

Вот он, с уже новым именем rsbtxv.exe. Его я тоже не смог найти. По всей видимости он переименовывается, либо бегает по системе.

Рубрики: Вирусы, Система
Автор: admin | 12.01.2011 | Камменты: 61

Комментарии

Комментарий от Виктор [ 17 января, 2011, 21:26 ]

У меня эта дрянь в значении параметра Shell
после Explorer.exe вот что прописала:
EXPLORER.EXE %WINDIR%\RUNDLL.BAT
А вот что содержалось в RUNDLL.BAT:
start nvcvc32.exe
Удалил rundll.bat, nvcvc32.exe и поправил реестр.
Всё.
Комментарий от Иван [ 18 января, 2011, 20:33 ]

Вычистил, помогло. Спасибки.
Комментарий от Игорь [ 19 января, 2011, 11:11 ]

СПАСИБО ОГРОМНОЕ
Комментарий от vip_os [ 19 января, 2011, 23:26 ]

для номера 3116 с текстом 79052580198 введите dfvgbh789 проверено 100%
Комментарий от Елена [ 22 января, 2011, 19:53 ]

“после Explorer.exe вот что прописала:
EXPLORER.EXE %WINDIR%\RUNDLL.BAT”
Аналогично. Всё поправила, спасибо))
Говорят, что чаще код не надолго освобождает от этой штуки, потом она опять вылезет.
Комментарий от Василий [ 22 января, 2011, 22:20 ]

Не помогло… Не было этой фигни в реестре. Процесс называется nvcvc32 у меня, но найти нифига не могу (через хр лечил 7).
Комментарий от xxx [ 23 января, 2011, 10:57 ]

У меня было чуть по-проще .win+m смотрим процесс calc[1].диспетчер не запускается. открыл c:\windows\ и c:\windows\system32 нашёл rundll прочитал в нём ,и пошёл по его же пути.сейчас ищу хвосты в реестре пока только с вашей помощю один обнаружил.а процесс удалось закрыть через ProcessExplorer.calc[1] наверно можно найти HKCU\software\microsoft\windows\ShellNoRoam\MUICache по этому пути идём и находим архив exe изменения в реестре смогу ли ещё найти ненаю.
Привет Alexandru Roshalyu!!!
Комментарий от xxx [ 23 января, 2011, 11:21 ]

в инете много уже про него уже написано и всё разные процесы запускает.
Комментарий от Morgan [ 23 января, 2011, 16:28 ]

Так нужно RUNDLL.BAT рубить или нет?
Комментарий от Morgan [ 23 января, 2011, 16:39 ]

Блин, получилось!!! Спасибо огромное!
Комментарий от Юрец [ 24 января, 2011, 07:26 ]

Блин ребят цепанул эту хрень на бук. Нужно отправить смс с текстом: 9637145922 400 на номер 3116 либо если мегафон то на 84444. Работает только русская раскладка!!! Вирус не дает на английский переключится((( У кого есть код подскажите плиз!!!! Либо тут либо в почту!
Комментарий от Евгений [ 24 января, 2011, 11:09 ]

Спасибо большое помогли КОМЕНТАРИИ !!! удалил из C:\WINDOWS nvcvc32 (именно этот процесс пришлось убить при загрузке системы WINDOWS нажал три заветные кнопки успел и быстро убил этот процесс через диспетчера задач)потом при вторичной загрузке сис темы вылазила ошибка но тут и правим реестр… как сказано выше…..
Далее запускаем редактор системного реестра. Пуск — Выполнить — “regedit” — И жмём Ввод. Откроется “Редактор реестра”. В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Затем посмотрите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit” (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit – C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.
СПАСИБО
Комментарий от Игорь [ 24 января, 2011, 15:26 ]

1 в 1 проблема как у Юрца!

“Блин ребят цепанул эту хрень на бук. Нужно отправить смс с текстом: 9637145922 400 на номер 3116 либо если мегафон то на 84444. Работает только русская раскладка!!! Вирус не дает на английский переключится((( У кого есть код подскажите плиз!!!! Либо тут либо в почту!”

+ в безопасном режиме тоже самое!никуда нельзя зайти,ни в пуск ни в панель управления!
выскакивает этот баннер на весь экран!
коды не помогают!Спасите пожалуйста!
Комментарий от Павел Петрович [ 24 января, 2011, 15:39 ]

У меня тоже «после Explorer.exe прописала:
EXPLORER.EXE %WINDIR%\RUNDLL.BAT»
Всё поправил,пропало, спасибо)) А куда файл залез? ведь он не растворился же после чистки реестра и смерть процессов?
Комментарий от Павел Петрович [ 24 января, 2011, 15:43 ]

…..а перед чисткой я перезагрузился в безопастном режиме с командной строкой. в строке прописал explorer появилось меню “Пуск” и дело пошло как написано выше. всем привет!!! А кто написал эту программу знайте, поймаем и превратим ваше тела в студень….
Комментарий от Павел Петрович [ 24 января, 2011, 15:52 ]

RUNDLL.BAT рубить обязательно и смотрите не запустите его всё повторится чёрный экран и всё такое…

nvcvc32.exe -это вирус,удалил хорошо,тока остался bat-ник типа Rundll.bat (19 байт) со строкой “start nvcvc32.exe” потому и запускается через cmd.exe ,ищи этот файл на компе,можешь посмотреть его в автозагрузке для начала… Название у него возможно будет другое (с атрибутами скрытый-системный)
Комментарий от Юрец [ 25 января, 2011, 08:40 ]

Нужно отправить смс с текстом: 9637145922 400 на номер 3116 либо если мегафон то на 84444
код: 6586106
Комментарий от Юрец [ 25 января, 2011, 09:26 ]

https://netler.ru/pc/trojan-winlock.htm
вот очень полезная статья! ;)
Комментарий от Гюнель [ 26 января, 2011, 00:13 ]

у меня тоже этот вирус, помогал код dfvgbh789, а теперь рабочий стол заблокирован и ни один код не подходит, на весь экран опять эта черная хрень,в диспетчер задач не зайти….блин, да у меня полно систем защиты, мы даже когда разблокировали касперского накачали…что делать не знаю…подскажите, а можно еще что-нибудь сделать(((((
Комментарий от Michael [ 26 января, 2011, 12:07 ]

где вы их ловите? ни разу такой фигни не цеплял, даже батя у меня сидит ,тыкает новостные ссылки и нет проблем. ))
Комментарий от Eugene_Wild [ 27 января, 2011, 04:23 ]

Короче, люди, не парьтесь насчёт этого nvcv32.exe !!!
Итак, лечение вкратце.
1. Грузимся с СD/DVD из под DOS’а (но с такого CD/DVD, чтобы были видны разделы NTFS, а то всякие диски бывают). Я тык вообще предпочитаю в таких случаях miniWindows Alkid.
2. В папке C:\Windows удаляем 2 (два) файла, а именно nvcvc.32.exe и rundll.bat.
3. Перезагружаем комп уже теперь под Windows с жесткого диска.
4. Запускаем regedit и в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell значение параметра оставляем только explorer.exe (т. е. убираем всё, что там после .exe).
5. Перезапускаем Windows.
6. Enjoy’имся!
Комментарий от Heliy [ 29 января, 2011, 23:13 ]

помогите плиз.. просит на номер 3116 отправить текст 79602610098
и на номер 84444 отправить текст 600
перепробывал коды но ни один не помог(((( плиз помогите.
Комментарий от Alexey [ 30 января, 2011, 09:19 ]

Если у вас висит баннер или заблокирован контакт пишите в асю 467981712 помогу быстро
———————————————
И просьба: пишите сразу какая стоит винда и есть ли второй комп под рукой!!!
Комментарий от User [ 31 января, 2011, 11:27 ]

у меня в етой строчка через пять секунд заново вирус появляется что делать
Комментарий от Василий [ 2 февраля, 2011, 01:12 ]

тааак, и мне счастье привалило =) требовали смс на 3116 или 84444 или деньгу на номер 9650161646. данный телефон не был найден в базах антивирусников, ни один найденый код не подошел. Видимо, новая модификация. Спасло меня то, что подключены 2 монитора – часть блокирующего окна в одном мониторе, часть в другом. Поэтому был доступ к компу, хоть и сильно ограниченный, где-то пришлось только клавиатурой пользоваться. Вобщем, скачал Process Explorer – бесплатная прога, для начала убил nvcvc32.exe – окно не пропало =( Затем обнаружил странный процесс 0.4484…итд. Убил его – окно пропало. Сам файл жил в local settings/temp. Лиц. каспер с базами от 01.02.2011 никак не заругался на этот файл. Посему файл был отправлен в лабораторию с описанием ситуации.
Что странно – поиск nvcvc32 по всему компу не дал результата. Куда пропал – неизвестно, к тому же реестр в указанных местах чистый, без следов вируса.
зато в папке admin/application data/ была обнаружена целая директория winxzip с файлом a.html – вот в нем каспер уже и нашел вирусы.
Комментарий от Александр [ 2 февраля, 2011, 05:40 ]

Помогите тот же баннер просит отправить смс с текстом 79650161702 на номер 3116 как его убрать подскажите код или еще способ как его уничтожить!
Комментарий от Kirill [ 2 февраля, 2011, 14:57 ]

огромное спасибо, статья оч помогла ,а так же помог коментарий Eugene_Wild
Комментарий от Vill [ 3 февраля, 2011, 09:59 ]

Я всегда под рукой держу Reanimator 2008. Запускаем ERD comander далее все по схеме чистка реестра и удаление вирусняков из папки windows, Documents and Settings. затем на всякий пожарный сканю все дрвеб лайв сд. Ну и конечная утилита AVZ. Так как подобная вирусня как правило блочит реестр, диспетчер задач, скрывает папки и ярлыки рабочего стола и тд…
Комментарий от Виктор [ 3 февраля, 2011, 13:33 ]

Поймал черное окно смс с текстом 9651548242 400 на номер 3116 помогите ?
Комментарий от Леха [ 4 февраля, 2011, 16:27 ]

помог DRWEB Cureit и советы по восстановлению после удаления вируса, спасибо

Написать комментарий

Поиск по сайту

Статистика

Мета
  Разработка и дизайн — StvPromo.ru