WINDOWS заблокирован. Отправьте СМС на номер 3649.
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D
Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть “C:\WINDOWS\system32\userinit.exe” (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))
Кстати ДокторВеб написал генератор таких вот кодов.
Мне это знакомо, гостивший кориш подцепил мне похожую дрЯнь толи с “В контакте” толи с “Однокласников”. И хоть я на время взаставил это окошко исчезнуть взломав код подтверждение, дело всёравно кончилось полным форматированием жёсткого диска. Правда ценные документы я успел спасти с компа. В моём случае программка выглядела немного по другому,окошко было красное и после рестарта запустилась вновь, так что избавился я от неё как и говорил выше только отформатировав жёсткий диск. Но речь не об этом, сегодня мне пришло на почту интересное письмо. Собственно в нём тот же короткий номер что и в скриншоте в самом начеле этой темы. Ниже привожу полный текст письма свой емайл естественно заменил на прочерки:”
От кого: Рузалия Самобродская
Кому: ———————–
Дата: Sat, 09 Jan 2010 20:52:28 +0300
Тема:
Идентифицируйте свой Rambler аккаунт
Внимание!
Вас приветствует служба технической поддержки проекта «Рамблер.Почта». Вы должны пройти процедуру активации вашего ящика. В противном случае ваш ящик будет удален. Это новая мера безопасности от компании Rambler.
Для активации отправьте с вашего телефона бесплатное смс сообщение с текстом: 6510215611 на номер: 3649
С уважением, служба безопасности Rambler.ru”
Вот такое вот письмецо пришло. Обратите внимание короткий номер в письме и в скриншоте в теме топик стартера одинаковы! Днействительно, пара тройка показательных судебных процесов над авторами подобных прог неповредило бы.
Вчера 9 января поймал этот вирус. Тркбовал отправки на номер9691 с текстом 590900041. Вышла заставка почти на весь монитор. На компьютере соседей полазил по форумам посвящённым этой теме. Менял дату и время – не помогло.Вводил код 6523 и 2498806649-не помогло. Восстановление системы сделать не удалось. Безопасный режим не помог.
Решил проблему следующим образом:
1) Пуск- Выполнить-набираете regedit
2)Находите HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\Winlogon в нем находим Userinit и смотрим полное название вашего вируса и его местоположение на компьютере ( он показан в строчке после запятой)
3) Теперь знаем как он называется и где находится остаётся удалить, но эта заставка на даёт возможности для удаления вируса.
4)Открываем Word и печатаем какую нибудь хрень
5) Не закрывая Word нажимаем коротко кнопку включения\выключения на системном блоке, при этом заставка с требованием денег исчезает и вы спокойно удаляете вирус из папки C:\Documents and Setting\имя\Local Settings\Temp
6) В моём случае это были файлы kui238.tmp
7) После всех этих манипуляций заработал диспетчер задач и интернет . Жаль только что уже успел отправить это смс и 300 рублей как небывало.
8) Удачи всем! Если кому то поможет мой совет буду очень рад!
Пару слов для тех кто этой херней занимается. Пидарасы! Кара все равно вас настигнет, и когда это произойдет, умолять о пощаде будет бесполезно! И будут драть ваши юные попки на зоне огромными небритыми грузинскими хуями!
у меня было типа такое, я востановил систему на 3 дня назад и всё сразу убралось
У меня дополнение для тех у кого не заработал Диспетчер задач.
1)Пуск-Выполнить-regedit
2)KEY_CURRENT_USER\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\System
3)находите строчку с DisableTaskMgr
4)делаете двойной клик на DisableTaskMgr и в появившемся окне меняете значение с 1 на 0
5)наслаждаемся полученным результатом
воспользовался советом написал “ЗАЧИСЛЕНЫ” – реально помогло спасибо .
Дам ссылочку news.drweb.com/show/?i=304&c=9&p=0 там есть коды для разблокирования Windows.
От баннера «блокирование Windows»можете почитать на нетлере:
netler.ru/pc/trojan-winlock.htm
Хотя сам я и без этого обошёлся, просто через F8 (для тупых: при загрузке) и затем выбрал “перезагрузить с отключением… чего-то там, уже не помню, давно было, загружается без баннера, а затем удаляем «лишнее», хотя такая перезагрузка есть не во всех Windows, но тогда можно скачать программу Dr.Web LiveCD с их сайта, установить образ на диск, и затем(Это не для тупых) через него, не входя в Windows (получается как мультизагрузочный диск с антивирусом), и проверить комп на вирусы.
Надеюсь кому-то всё это поможет! Желаю успехов!
Словила эту дрянь сегодня, позвонила на вышеуказанный номер, за полминуты проблема была решена. Главное чтобы дата и время были установлены правильные. Придушить бы этих уродов конечно…
Но после разблокировки ни один антивирус не нашел ничего подозрительного. Нужно что-то делать или он сам удалился?
Привет всем!Ребята эти вирусы разные и к каждому вирусу свой подход . так что пробуйте всё что накапали в инете. ставьте антивирь и фаервол вместе отличная штука.удачи всем!
Олег , спасибо огромное , чуть голову не сломал , очень помог!
Ничего из выше перечисленного не помогло… (откат не делал, все остальное, включая подбор кода и с сайта доктора вэба тоже пробовал)
Помог такой вариант:
1) При загрузке F8, защищенный режим
2) Запуск из служебных очистка дисков.. все темп и прочие что можно
3) Пуск-Выполнить->msconfig
a) На закладке службы убрал галочки там где изготовитель “нет данных” … в моем случае служба userinit
б) На закладке автозагрузка оставил только скайп, гугл, джаву и еще пару, которые уверен.. остальные галочки снял .. далее применить
Перегрузил в обычном… -> никакой заставки
Поскольку вышеприведенные операции сделал за один раз, то понять что помогло не смогу.
userinit в реестре убирал запятые и прочее не помогало… пишу об этом поскольку название службы чудным образом совпало с названием в реестре
Соответственно могу предположить, что служба userinit всему виной
Далее.. Заходим через администрирование в службы и смотрим на какой путь указывает служба userinit… Указывает на правильный. Запускаю службу .. и? Запускается окошко с вирусом. Таким образом уже понятно … последний вирус заражает файл userinit system32…. увы!
Поможет ли откат в данном случае?
Все автозапуски вернул. userinit – переименовал. Пока все в порядке. Но подумываю насчет переустновки винды
НА САЙТЕ: https://av.demozone.ru/
ВВОДИМ ТЕКСТ, КОТОРЫЙ ВАМ ПРЕДЛАГАЮТ ОТПРАВИТЬ ПО СМС,
ПОЛУЧАЕМ НЕСКОЛЬКО ВАРИАНТОВ КОДА АКТИВАЦИ(ОДИН ИЗ НИХ ДОЛЖЕН ПОДОЙТИ)
Итак, выцепил я Трояна вместе с поддельным Адобовским флэш плеером 10. Вследствии после проходо около 1-2 часов вылезло это зловещее окно с требованием отослать смс на номер 5155( в генераторе Д.веба такого номера нет, и версии трояна также нет, а именно: Троян.Винлок.591)
Помог как Вы думаете кто? Кто же ещё как не Доктор Вэб, скачал бесплатную версию и пробный ключ к активации! Поставил сканировать сразу всю папку Documents and Settings.И как я и думал вирус нашол именно в папке temp!! Файл был размером до 20кб, с именем из трёх символов и разрешением .tmp…
Ах да, забыл сказать что за день до этого я удалил с компьютера парочку червей и теперь сижу без Диспечера задач, а реестр редактирую с помощью прекрасной програмки Reg Organizer(кстати очень помог когда был блоканут реестр).Также я сейчас без Безопасного режима, т.к. при загрузке вибивает хрень на чорном экране типо невозможно загрузить файл и система перезагржаеться…
Вот так вот, юзайте Д.вэба – он знает как убить своё детище-___-
Удачи Вам..
Хеллоу господа юзеры,очень рад,что нашел ентот сайт!у меня приятель подобную шнягу хапанул(лошара и смс отправлял-ноль эмоций ебстественно)позвонил мне потом 2 дня с агрегаторским чудом сношаюсь-толку мало.Генератор вебовский не помог,безопасный виснет и ни хера не работает ни liveCD,даже винду не переставить-настройки биоса игнорирует.новая муть чтоль?Че-то там про INTERNET SECURITY,но со старым номером 4460.Поднабрался здесь опыта вашего,попру завтра(сегодня)изголяться,о результатах отпишусь потом.Уважуха всем борцам с агрегаторами(чтоб у них хуй на лбу вырос)ТЕРПЕНИЯ ВАМ,РЕБЯТА И УДАЧИ!!!
Частенько сталкиваюсь с тем, что ни один антивирус его не видит, а чистить приходится только руками. И все эти смс-вирусы разные и чистка для каждого требует различных процедур. Но в основном эта дрянь сидит во временных файлах или надстройках.
Для того чтобы в дальнейшем не ловить подобной “заразы”, рекомендую установить “Outpost Firewall Pro”. Антивирусы против этого вируса непомогут, вирус спокойно обходит их. Лично я, без этого брандмауэра, в сеть ни ногой, ни на минутку не вырубаю, как-то один раз выключил и подцепил эту “заразу”. Больше так не делаю! Могу поделиться даю ссылку где можно взять проверенного “Firewolla”. Их много в сети, но и много неработающих. Этот использую сам, пашет на все 100%. Рекомендую. И уверен, вспомните меня ещё не раз. Вот ссылка: https://depositfiles.com/files/sgthbvxtx
Хеллоу эгейн!пишусь как и обещал.Приперся короче к френду весь на позитивах,мол всю ночь форумы зырил-ща отдуплим галимого.1таблица с подбором кода не помогла 2 на перевод даты во всех направлениях ему накласть 3 про F8 повторюсь не врубается нихера 4 насчет первичного с ROMа-рипит ван мо 5 сдаюсь-набираю номер агрегаторский-занято(похоже до второго пришествия),а нэта под рукой нэту(простите за тафтологию).Начинаю потихоньку звереть,шары кровью налились и тут хуяк-идея:после очередного перезагруза когда вот-вот уже рабочий появится вырубаю сетевой фильтр.вкл немного погодя меню загрузки само вылезло,безреж с кмнд строкой не идет,зато попер просто безреж msconfig ура!заработало!окошко выдает странный файл issch.exe,путь к нему C:\ProgramFiles\InstallShield\UpdateService и C:\Windows\Prefetch-там лежит ISSCH.EXE-3ACEF8DC.pf сношу оба,а попутно еще и аудиодрова(дрова ли?)Soundman,посколь дата создания аккурат с датой виря:два екзешника и один *.pf пошукал по tempам-ничего открываю папку старого аваста-раньше так окно виревое вылезало-мелькнуло красное окно и все,попался гаденыш.смотрю C:\везде\на предмет подозрительных объектов,т.к. ниче полезное не запускается,открываю какой-то rar и сцуккооо появляется снова.ТВОЮ МАТЬ как же он меня заибал!горько вздыхаю и трачу еще пару часов на то,чтоб комп захавал диск с серпаком от ZVER.удалось,форматую С к ебеням,ставлю 736 каспера обновляю триал-вроде чисто.ВСЕ,но чем-то задним чувствую,что встретимся еще((((
помог откат системы!на день предыдущий! Огромнейшее спасибо!!!
8355 текст 64233873 нигде нет помогите!!!!!!!!
пишите помогу
Пингбэк: avz официальный сайт « Блоголента
люди,помогите! баннерр на весь экран-отправьте смс с текстом 4612500 на номер 5121. ни один разблокировщик не помогает,безопасный режим,время в биосе тоже
После двух часов компютер действительно заработает, но последствия останутся и иногда немалые.После включения надо очистить все антивирусными прогами и обязательно посмотреть,что из программ не работает и переустановить заново.Я намаялся с этим очень долго.После,как было сказано выше, записал генератор кодов и с его помощью помог очень многим,но после разблокировки обязательно почистить хорошим антивирем.С момента перехода на
Avira Premium Security Suite 9 RUS,чтоб не сглазить,проблем не возникало,хотя лазаю везде.Проблемы были с 8-й Авирой и эту дрянь цеплял сам два раза.Как вывод-качайте генератор и проблем возникнуть не должно,ну и советую установить 9-ю Авиру.Удачи.
текст 1820511213166
номер 3381
ключ 66788855
удачи
помогу удалить любой вирус!! пишите в асю 322-209
текст 1830461834715
номер 3381
Помогите с ключом
винда заблокирована вся.просто окно с текстом пополнить счет абонента биллай на 390 рулей вот его номер 89652648082.чтоделать??????как пополню его счет на секе будет пароль который надо ввести.
зайди на сайт касперского с другого компа и введи все данные там тебе код сгенерируют бесплатно, у меня стоит AVAST, так он эти баннеры перехватывает только в путь
На экране появился порно баннер заблокировал комп ниче не работает.Уже пробовал и в Биос заходить время менять и в безопасный ничего не помогает. Там текст такои. Чтобы немедленно удалить рекламный модуль Оплатите через терминал экспресс оплаты счет 004245166400 на 249 руб . если кто знает как убрать этот модуль подскажите.Заранее благодарен.
а проги нет такой, чтобы красное окошко удалить
