WINDOWS заблокирован. Отправьте СМС на номер 3649.
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D
Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть “C:\WINDOWS\system32\userinit.exe” (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))
Кстати ДокторВеб написал генератор таких вот кодов.
Если можно, мне тожу инфу. Тоже красное окно появилось.
имя файла вируса zrrgy.exe прописывается в автозагрузку. легко решить, удалив его из диспетчера задач, потом из автозагрузки, стерев по пути. а дальше простая проверка на вирус. окошко легко переключается альт-таб… может какая-то облегчённая версия попалась :) удачи
Появился новый вид! Вирус с синем полем пишет “Установлена нелицензионная ос windows. Отправьте OPLATA на 7122. Вам пришлют код. Впишите код в окно и номер телефона с которого отсылалось сообщение.” Ниже кнопка “Активировать” Снизу написано: ” Наш робот подвердит платеж”. Вот и все! Ни в коем случае не отправляйте!
в некоторых случаях диспетчер задач и гнорячие клавиши не действуют. Безопастный режим – не помогает…
как лечить:
1.грузишь с CD Windows Lite
2.ищешь поиском все файлы, появившиеся в день заражения
3.по ситуации, смориш и переименуешь все подозрительные (.exe .bat и т.п.)
модификаций много, у мене появилась типа “в связи с большим кол-вом пиратский программ ваше версия виндовс признана не совсем лицензионной…” смс на номер 6003 (по моему) с кодом win и 7-8 цифр, как лечить не знаю, но в сейф моде грузится нормально…
кнопок для активации и вообще кнопок нет
значит..я попробовала все..ни черта не помогло.
а помогло вот что?:
зачит при перезагрузке ажав f8 я выбрала загрузку в безопасном режиме..окно слава богу нне всплыло….
затем….. я вошла в пуск стандартные- служебные- восстановление системы и врубила так на недельку назад.. вуаля!!!))
пи.си. да пусть сдохнет тот кто загружает вирусы!!!аминь)
=))
РЕБЯТА,НЕ НАДО СТРАДАТЬ ЕРУНДОЙ!ПРОСТО ЗАЙДИТЕ В БИОС И ПЕРЕКЛЮЧИТЕ ВРЕМЯ НА СУТКИ ВПЕРЕД,ЕСЛИ НЕ ПОМОГАЕТ ТО НА СУТКИ НАЗАД И ЭТА ХЕРНЯ ПРОПАДЁТ….ЗАТЕМ ПРОСТО ПОМЕНЯЙТЕ ВРЕМЯ НА ПРАВИЛЬНОЕ И ВСЁ!
а я оооооофигительно избавился от подобного глюка…на одном из форумов вычитал что нужно часа 2 дать компу поработать просто так…я как послушный гражданин оставил компьютер на ночь (время было итак около 2 ночи. завёл будильник на 4 )..само собой монитор отключил чтобы не мешал. просыпаюсь в 4 смотрю комп выключен полностью ) даже из розетки ))) с утра оказалось отец ночью чё-то искал, пришёл в окмнату услышал включенный комп и спросил меня (СПЯЩЕГО) можно ли выключить. Я сказал что-то типа “Можно”..и он не долго думая выдернул кабель из розетки! ))) я с утра пошёл включил его! НИКАКИХ ПРОБЛЕМ! вот и до сих пор не знаю что помогло…)))
Спасибо за совет с БИОС – помогло и гораздо проще все выше перечисленного!
блин мне эта фигня с синим экраном приперла че делать не впонятках.
Спасибо за совет с биосом он реально работает ;-) и главное без заморочек ..
Я просто нажал и не отпускал одной рукой Ctrl+Alt+Del. На переднем фоне начинает быстро мерцать окошко диспетчера задач и курсор мышки. Подводим мышку к появившемкся непонятному приложению и сеимаем задачу – проблемма решена)))
не убирается же никак((( и биос не помогло(
) у меня друган сегодня жаловался ). типо поймал такую шляпу:)) он зделал так ))), переустоновил винду)))))))))))))))))))))
у меня вылез ни такой как у всех у меня был весь синий экран… сделал вызвал диспечер задач много раз пока окно не зависло это просто снял задачу и все… в диспечере задач вирус назывался как sound через поиск нашел прсто удалил… правда при перезагрузги выдал ошибку но звук все равно есть. поробуйте мож кому поможет мне помогло!!!!!
Комментарий от Серега [ Август 10, 2009, 09:05 ]
РЕБЯТА,НЕ НАДО СТРАДАТЬ ЕРУНДОЙ!ПРОСТО ЗАЙДИТЕ В БИОС И ПЕРЕКЛЮЧИТЕ ВРЕМЯ НА СУТКИ ВПЕРЕД,ЕСЛИ НЕ ПОМОГАЕТ ТО НА СУТКИ НАЗАД И ЭТА ХЕРНЯ ПРОПАДЁТ…ЗАТЕМ ПРОСТО ПОМЕНЯЙТЕ ВРЕМЯ НА ПРАВИЛЬНОЕ И ВСЁ!
Только этот способ реально быстро и просто помог :) Советую :)
Еще нашел интересную шнягу попробуйте набрать код
“ЗАЧИСЛЕНЫ” говорят помогает :)
успел вырубить его в рабочих приложениях, до того как он загрузился, потом спокойно все потер.
ПРИВЕТ=)
ПОМОГИТЕ ПЛИЗЗ У МЯ ПРОБЛЕМА С СИСТЕМОЙ ПИШУТ ЧТО ЗАБЛОКИРОВАНА ,А ДЛЯ РАЗБЛОКИРОВАНИЯ НАДО ОТПРАВИТЬ СМС НА 3699 ТЕКСТ 212626 …ИСПРОБЫВАЛА ВСЕ ВАРИИАНТЫ АБСОЛЮТНО НИЧЕГО НЕ ПОМОГАЕТ=(((
такой же трабл как у Дианчигг, номера те же.
Все перепробовали, не пашет.
винду переставили, С нах форматнули, вебером и нодом полностью просканировали, прошли сутки – та же лажа…
народ помогите! У меня невозможно через биос загрузить ни один накопитель, тоесть винду переустановить не могу. Попробывал решить через биос (ну перевод времени), в результате получил при загрузке винды на долю секунды выскакивает синий экран (ну системная ошибка какая-то, не успеваю разглядеть) и комп перезагружается. Помогите пожалуйсто
to Дианчигг:
попробуй зайти в безопасный режим и выключи в автозагрузке winpsvc.exe и iexplorer.exe
потом удали их ручками
глянь на С в корне, там может быть locker.exe, его тоже сноси
нашему помогло)
спс огромное помог вариант свостановлением системы
А как в биосе отключить время?
Таже хня что и у Дианчегг – ничево не помогает также… биос, восстановление системы, смена времени,файлов блокер,локер и проч. пока не обнаружено, кодов на сайте др. вэб нету ((((((((((
вирус у меня уже живет кстати несколько дней(((
Смотрите что делаем! не важно какой номер и какой текст нужно отправлять смс, при запуске винди нажимаем ф8 и запускаем безопасний режим, дальше пуск – виполнить и тут прописиваєм msconfig откроется окно где в закледке автозагрузка снимаєм галку с файла cmon.exe дальше перезапускаем комп в обичном режиме и все но нужно ище будет етот файл удолить! Для етого в меню настройки вибираєм свойство папки и там в закладке вид с самого низу ставим показать скритие файли, дальше найти файли и папки вводим имя файла cmon.exe можна просто cmon заходим в прописаний адрес и удаляєм файл с помощью шифт дел и не забудьте просканировать комп! РАБОТАЙТЕ —- ПОМОГЛО!!!!!
Я на днях слушал про эту заразу по радио и вот вчера сам поймал этот синий экран. Хорошо что резервирую систему Acronis True Image Home. Вернул прежнее состояние винды за 3 минуты а потом шерстил комп AVP. Вроде пока работает.
P.S. Чаще сохраняйтесь.
пару месяцев назад мама словила такой. Версию с красным окном. Када даже ф8 не помогает. смс отправила – 300р сняли. Естественно, не помогло) Я пришел, попросил смс больше никогда никуда не слать. Сам с вирусом разобраться не смог и просто переставил винду.
Внимание, вопрос: каким образом этот вирус пролез на комп? Outpost стоит. Мама по сомнительным сайтам не лазит. Флэшеи-диски тож не пихали сомнительные.
