Познавательный блог Мобильная врсия

Страницы

Промо

WINDOWS заблокирован. Отправьте СМС на номер 3649. Вирус

WINDOWS заблокирован. Отправьте СМС на номер 3649.

Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC,  узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D

123123 - WINDOWS заблокирован. Отправьте СМС на номер 3649. Вирус

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.

DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.

Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))

Кстати ДокторВеб написал генератор таких вот кодов.

Комментарии

Комментарий от Игорь [ 15 декабря, 2009, 10:34 ]

Принесли ноут с такой же проблемой, порнобаннер на весь экран и следующие симптомы:
– просит отправить SMS на номер 3649 с кодом М21520008;
– невозможно запустить ни одну программу (антивирусы, редакторы реестра и т.п.) – сразу вылезает картинка и программа блокируется;
– безопасный режим запускается, но в нем то же самое;
– запуск штатного редактора реестра, диспетчера задач заблокирован.

В связи с этим, рекомендация типа “почистить (удалить) ветку реестра” не проходит, а без этого “все потуги напрасны”.
Рецепт Age “в чистую” не подошел, в папке Common Files ничего похожего не обнаружилось. Тем не менее респект Age за подробный отчет и готовность помочь.

Что делал, расскажу по порядку. Возможно не все действия необходимы, но в результате у меня все получилось.

1. Для начала запустил msconfig, убрал все из автозагрузки, перегрузился – толку ноль.
2. Загрузился с Live CD (Bart PE, можно любой другой):
3. Скопировал файлы реестра (C:\Windows\System32\Config) в другую папку (на всякий случай, вдруг чего напартачу).
4. В указанной папке (C:\Windows\System32\Config) обнаружилось 3 файла с приставкой DM (типа DM_System, DM_Defoult – точно не помню). На всякий случай убил, хотя не уверен что это было необходимо.
5. По рецепту Age удалил все из папок:
C:\Documents and Settings\Я(ваш профиль)\Local Settings\Temp
C:\Documents and Settings\(другие профили)\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows\Temp
6. Прогнал систему программами DrWeb CureIt! (ничего не нашла) и McAfee AVERT Stinger (то же).
7. Перегрузился в систему справами администратора.
8. Вот здесь тонкость: загрузившись обнаружил (может это было и ранее, но я не замечал), что зловред дает после перезагрузки запустить файл типа setup.exe, но только один и сразу после загрузки. Запуск самой устанавливаемой программы, а также программ типа редакторов реестра, антивирусов и т.п. невозможен по прежнему. Диспетчер задач блокирован.
7. Запускаем установку Registry Workshop, ставится нормально, запустить не дает. Перегружаемся.
8. Запускаем установку XP Tweaker Russian Edition, во время установки оставляем галочку в поле “запустить программу сразу после установки”. Программа запускается. Хотя, следует заметить, что зловред дает ее запустить и после перезагрузки.
9. Вот здесь у меня и “родилось” решение: в программе XP Tweaker есть вкладка “ФАЙЛЫ И ДИСКИ” —> Приложения —> Запрет запуска программ. Выбираем: “Запретить запуск приложений, кроме указанных в списке”. Добавляем в список: Registry Workshop, XP Tweaker Russian Edition, Regedit, и все, что хотите и нужно для лечения.
10. В XP Tweaker снимаем галочки во вкладке “Защита” –> “Запретить вызов диспетчера задач” и “Запретить редактирование реестра”.
11. Перезагружаемся и ВУАЛЯ!!! Ни одна программа, кроме указанных Вами, не запускается, диспетчер задач и редактирование реестра ДОСТУПНЫ. ЗЛОВРЕД ВРЕМЕННО ЗАБЛОКИРОВАН!!!
12. Далее дело техники. Тщательно читаем форум. Просматриваем указанные в нем ветки реестра. Чистим и говорим БОЛЬШОЕ СПАСИБО всем тем, кто не остался безучастным и предлагал свои пути решения.

Где я его нашел:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А у меня, после userinit.exe стояла “запятая” (userinit.exe,) – ее убиваем
2. Аналогично рецепту от Сергея: В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll (кстати самого файла в папке system32 я почему-то не нашел, но эту строку в реестре убил).

После перезагрузки все ОК. Диспетчер задач, редакторы реестра, антивирусы и др. запускаются. Никаких пакостей не проявляется. Вернул запуск всех программ в XP Tweaker, разрешил запуск приложений в автозагрузке. Гоняю ноут уже два дня, завтра пойду отдам.

Может я и делал что не так, поправьте. Но результат получил. Отдельное СПАСИБО Admin, Age, Сергею.

Комментарий от Serjj [ 15 декабря, 2009, 12:56 ]

Спасибо,ilovich!
8(495)3631427, добавочный 555 – действительно работает, код сказали без проблем.

Для тех, у кого iLite Net Accelerator с текстом М204112000 на номер 3649: КОД АКТИВАЦИИ 3183991888

Комментарий от Serjj [ 15 декабря, 2009, 13:18 ]

Кстати, вполне вероятно, что каждый день – у них могут быть новые коды
И как уже отметил ATRadeon, если до этого меняли время в Биосе, верните перед активацией текущее

Комментарий от JMotor [ 15 декабря, 2009, 16:00 ]

Теже бобоны…
М204112100 на 3649
написал на https://a1help.ru/
сижу жду…

Комментарий от Jmotor [ 15 декабря, 2009, 19:41 ]

у меня просил код на М204112100
по аналогии с вышеприведенным – посчитал, что вместо 1 надо вбить 9… т.е. 3183991988
вбил – поехало…

Комментарий от serjant08 [ 15 декабря, 2009, 19:53 ]

M203711000
Народ у меня просит вот это отправить
Подскажите что ввести плиз

Комментарий от Рман [ 15 декабря, 2009, 20:43 ]

Белое окно. СМС на номер 9691. текст 590900000. Зашел на Dr. Web. Запустил генератор. Загнал код 533039546. Окно теперь можно передвигать. Откатил систему на пару дней назад. Все работает. Далее колега Игорь расписал.Сделал то же самое:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А у меня, после userinit.exe стояла «запятая» (userinit.exe,) – ее убиваем
2. Аналогично рецепту от Сергея: В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll (кстати самого файла в папке system32 я почему-то не нашел, но эту строку в реестре убил).

Комментарий от serjant08 [ 15 декабря, 2009, 20:57 ]

Я не могу в редактор реестра войти.
блочит всё
M203711000
Народ у меня просит вот это отправить

Комментарий от JIaBeJIaC [ 16 декабря, 2009, 01:27 ]

Спасибо Рману, у меня точно такое же окно как у него было. снять его удалось с помощью этого кода.
А дальше по инструкции.

Комментарий от Mike [ 16 декабря, 2009, 10:10 ]

загрузился с LiveCD прогнал CureIt, он нашел 13 троянов(в system32 и temp), убил. Все работает. только настройки групповых политик безопасности слетели..

Комментарий от Sejj [ 16 декабря, 2009, 17:59 ]

serjant08, для текста M203711000 код, скорее всего – 3182699888
То что получилось у Jmotor, натолкнуло меня на следующее предположение:

Для вирусов с текстом М, мне кажется, существует следующая взаимосвязь между текстами и кодами активации:
На 15 декабря 2009 следующее соотношение
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
т.е., например, для текста М204112000 код 3183991888. Но это актуально, скорее всего, только для 15.12.09. Поэтому перед активацией кода попробуйте заменить дату в БИОСе на 15.12.09., может прокатит. Удачи!!

Комментарий от serjant08 [ 18 декабря, 2009, 03:03 ]

эх
не помогло.
Извините за беспокойство но них… не помогает походу прийдёться лить винду

Комментарий от DIMASTA [ 18 декабря, 2009, 12:19 ]

Народ, система Sejj реально работает, сначало не получалось, потом переставил дату на 15.12.09 и все поехало…

Комментарий от алексей [ 18 декабря, 2009, 21:04 ]

все выше перечисленное работает 50 на 50,но всё равно в дальнейшем после того как введёте код и разблокируйте,вирус останется до последних дней винды,лучший вариант делать слепки кадый день и потом восстанавливать,
и ещё вариант,если есть время то в то можно подождать он снимаеться примерно через сутки(скопировать все нужные файлы),и сносить винду к бабушке,и ещё данная шляпа частично передаётся через флешки,её можно словить не толька из инета,а например в пункте печати….и т д

Комментарий от Arellll [ 18 декабря, 2009, 21:25 ]

Словил я этот вирус,думал что это реально заработала политика отключения не лицензионных копий винды!все так оформлено реалистично,но спалила инфа о отправке смс!зашел в безопасный режим и отключил из автозагрузки ACTIVATE.EXE
потом перезагрузился и удалил его через поиск из
C\windows\activate.exe
как я понял имя файла может отличаться,но суть одна.
в отличии от остальных я точно помню где и как его цепанул:купился на какую-то замануху Вконтакте про посылку подарков!скачал, установил(предварительно проверив на вирусы),ничего не произошло,удалил.Но оказалось не так все просто.запомнил его значок:флажок разноцветный,так и узнал его.

Комментарий от volf [ 19 декабря, 2009, 21:39 ]

Реально помогло,как написал ERMO,позванил слеганца наехал,дали код,вуаля поехало.Теперь пробиваю: ava и cur.

Комментарий от skunk [ 20 декабря, 2009, 19:28 ]

Запятая в реестре нисколько не мешает. Просто после запятой еще один параметр – C:\WINDOWS\system32\sdra64.exe
Откатил на 15 декабря, ввел код по написанному выше алгоритму. Папки до этого чистил с загрузочного Linux, sdra64 удалял, все равно не помогало. Вообщем, где-то эта зараза все равно сидит, если не самоудалилась. Удивляет, что прошло уже 8 дней!!!, а ни один антивирус до сих пор ничего не находит. Впервые с таким сталкиваюсь.

Комментарий от Игорь М [ 20 декабря, 2009, 21:08 ]

Запускаемся с диска типа ERD Commander 2007 (2005), на диске С у всех пользователей удаляем папки temp,история и т.д. все временные + с\Windows\temp

В ERD Commander есть функция редактирования реестра и автозапуска, делаем по списку, как уже писали.
Наименование файлов различное, принцип удаления один !!!
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
после userinit.exe стоит «запятая», далее путь к активации гадости – его убиваем
2. В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll – убиваем всю строку

Если всё сделали правильно – исчезнет 100%. Уже при нормальной работе запускаем что-нибудь типа Cureit или VRT, обязательно найдут остатки вреда – удаляем. РАБОТАЕМ

Комментарий от stranitsa [ 20 декабря, 2009, 21:18 ]

Спасибо,ilovich!
8(495)3631427, добавочный 555 – действительно работает, спросили системную дату и время, код сказали без проблем. Перезагрузка. Конец проблемам! Сказали необходима чистка системы, пути реестра, говорят и файлы, какие именно сами не знают не знают.

Комментарий от Игорь М [ 20 декабря, 2009, 22:09 ]

После требуется сделать AVZ восстановление системы

Комментарий от Sergey [ 21 декабря, 2009, 13:46 ]

текст M204211900 на номер 3649 код активации 3183199888

Комментарий от Евгений [ 21 декабря, 2009, 18:23 ]

Мда…тоже попался на этот вирус…
Но сделал все как и сказал:
1. Поставил дату на 15.12.09
2. Использовал таблицу от Sejj.
Sejj! ОГРОМНОЕ СПАСИБО!

Комментарий от Павел [ 22 декабря, 2009, 03:04 ]

Sejj,

при смене даты в биусе, код не изменялся, но подбор с цыфрами сработал сработал

Спасибо!

Комментарий от Ильдар [ 22 декабря, 2009, 09:12 ]

попробуй на сайте winlock.orgfree.com
посмотреть там про смс лохотроны

Комментарий от Bob012 [ 22 декабря, 2009, 10:46 ]

Да тоже хапнул заразу как у МАЙКА что нелицензионная ILIte net acselerator, не знаю что делать??? И еще как зайти в биос на ноутбуке ASER??? ХЕЛП !!!

Комментарий от yeas [ 22 декабря, 2009, 11:12 ]

Спасибо, Игорь М.!

Комментарий от Кирилл [ 22 декабря, 2009, 11:46 ]

Большое спасибо Рману, Сергею и Игорю!! Была та же беда – один в один (Белое окно. СМС на номер 9691. текст 590900000). Правда мне удалось через командную строку запустить ccleaner. Он что-то там активно чистил, потом остановился, ожидая, видимо, моей реакции, но увидеть и отреагировать мешало это грёбаное окно. Я решил перезагрузиться через Пуск, но окошка с тремя кнопками не видно :-Е. Нажатие ENTER лишь отправляло комп в спячку(так по умолчанию). Перейти на кнопку “выключить” удалось с помощью стрелки “вправо”. Далее ENTER и УРА!!! – вредоносное окно пропало и моему взору предстала куча диагностик ccleaner’ра с вопросами: Удалить? Очистить? Исправить? На все я ответил – ясен пень!! Сcleaner доделал свою работу. Далее я просканировал систему установленным Симантеком, и он обнаружил один троян, который закарантинил (удалить не смог). Диспетчер задач не запускался. Перезапустился и окно вылезло вновь(((. На следующий день я прочитал данный форум (на другом компе)и ввёл в окошко код: 533039546. Окно исчезло))). В ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в значении параметра Userinit было «C:\WINDOWS\system32\userinit.exe,». Запятую убил.
В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs было чисто. Больше ничего не нарыл. Вроде (пока, ТТТ ЧЛП) всё работает.

Комментарий от Bob012 [ 22 декабря, 2009, 13:28 ]

Все остальные неисправности подкорректировал “AVZ” – “Мастером поиска и устранения поблем”. Все работает как раньше. Всем удачи.

Комментарий от Ильдар [ 22 декабря, 2009, 14:35 ]

Всем спасибо, реально закономерность эта работает:
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
Только в моем случае текст был К704113300, где К соответствовала цифре 1. То есть получаеться код активации 1683992288 и все заработало :)

Комментарий от Ильдар [ 22 декабря, 2009, 14:35 ]

и кстати дату в биосе менять не обязательно.

Написать комментарий








Поиск по сайту

Статистика

Мета

  Разработка и дизайн — StvPromo.ru