Страницы
Промо
Ваш компьютер блокирован, отправтье смс на номер 7132
Попался мне недавно очередной СМС вирус. Сотрудники прибежали с башенными глазами, полными слёз и ноутбуком в руках. Спасай, кричали они, с нас магарыч. Ну как тут откажешь.
В окошке следующий текст. Посмею заметить? что текст написан не очень грамотным человеком :)
Внимание Ваш компьютер блокирован, для разблокировки компьютера Вам надо отправить СМС. В противном случае данные вашего компьютера будут удалены безвозвратно.
Для получения кода активации Вам надо отправить СМС
С текстом regsysy b20
На номер 7132
После входа в систему без разговоров вылетает окошко, белое и красивое. Ни удержание Shift ни стандартные Win+D, Win+U, Ctrl+Shift+Esc ни даже великий Ctrl+Alt+Del не смогли дать мне шанс вызывать диспетчер задач.
Начинаем развлечения.
Перезагружаем компьютер и держим F8. Загружаем в безопасном режиме с поддержкой командной строки. Запускается система и консоль. Вызываем диспетчер задач и находим файл sound.exe. Уж чересчур подозрительный.
Такого процесса я не знаю, но и найти его где-то в реестре прописанным в автозагрузку тоже не могу.То что это он во всём виноват сомнений нет. Как только я его убил — окошко пропало. И система выдала сообщение что не может найти sound.exe.
Сам файл находится в папке c:\windows\media\sound.exe. Весит 35 килобайт и не определяется ни одним антивирусом. Но это пока.
Файл удалил и полез искать кишки в реестре. Наткнулся на ветку HKEY_CURRENT_USER\Software\Microsoft\ Windows\ShellNoRoam\MUICache и там его ключик. Ссылается на сам файл.
Ключик тоже удалил. Перезапустил компьютер и вуаля. Все отлично. Файл отправил Касперскому и тут же получил ответ.
Здравствуйте,
sound.exe - Trojan-Dropper.Win32.Wlord.xz
Детектирование файла будет добавлено в следующее обновление.
Не люблю подобные дела. Портить людям жизнь и наживаться на этом — это низко и тупо. Таких вирусописателей и распрастранителей нужно бить ногой в ебло.
Комментарии
| Комментарий от Артём [ 14 июня, 2009, 18:21 ] |
ААА!!!! Мне не помогает это!! У меня почти тоже самое пишет отправте смс на номер 7122 и тругой текст!! При заходе в “безопасном режиме с поддержкой командной строки” у меня нету процесса sound.exe!!! Что делать помогите пожалуйсто! |
| Комментарий от Алекс [ 25 июня, 2009, 11:08 ] |
DrWeb легко определяет и удаляет эту заразу. |
| Комментарий от drfyhfd [ 29 июня, 2009, 08:22 ] |
ктонить отправлял смс? напишите код плиз… если он конечно вообще есть… |
| Комментарий от sfs [ 29 июня, 2009, 09:26 ] |
у меня лежала зараза тут: |
| Комментарий от Полина [ 8 июля, 2009, 10:13 ] |
у меня тоже нет файла sound.exe., компьютер выпендривается по полной программе, а сегодня уже даже не даёт зайти в безопасном режиме, выключается. |
| Комментарий от Серж [ 9 июля, 2009, 02:04 ] |
падонки они. я отправил смс 170 р вышло. код был spasibo . а нельзя как то жалобу на этот короткий номер написать? злость кипит на этих гадов. |
| Комментарий от [ 9 июля, 2009, 08:07 ] |
Жалбоу отправить нельзя. Есть еще сервисы, которые покрывают таких вот говнюков. 2 Артём. |
| Комментарий от Алинка [ 10 июля, 2009, 17:35 ] |
Спасибо Вам огромное!!!!!Все получилось,и моя винда работает отлично!! |
| Комментарий от Илья [ 13 июля, 2009, 16:48 ] |
О да, великолепный был совет рассчитанный для обычных пользователей. |
| Комментарий от [ 14 июля, 2009, 10:22 ] |
Включить мозг и попробовать найти в реестре или в системе подозрительные файлы, с датой созданий близкой к появлению вируса. |
| Комментарий от Илья [ 14 июля, 2009, 12:03 ] |
Достойный ответ.Только надо было прочитать вопрос внимательнее.Система блокирована полностью.Если бы я мог открыть реестр,то давно бы это сделал и почистил все ветки.Только вот как открыть этот самый редактор реестра если система блокирована в обоих режимах?В LiveCD утилитка для редактирования все еще находится в разработке. |
| Комментарий от Илья [ 14 июля, 2009, 14:54 ] |
Спасибо за помощь,проблему устранил. |
| Комментарий от [ 14 июля, 2009, 15:57 ] |
Загрузиться с Live CD поискать файл. Попробовать подключиться к машине к реестру через сеть. DameWare NT Utilities. Либо сам реестр из Live CD открыть, Здесь написано как. |
| Комментарий от Роман [ 14 июля, 2009, 23:16 ] |
От заразы можно избавиться не загружаясь в save mode, нажимаете и удерживаете Ctrl+Alt+Del 10-15 с. система в итоге не выдерживает и выводит Task Manager поверх всех окон на несколько секунд, в этот момент снимаете задачу sound.exe и продолжаете мочить его из автозагрузки. как описано выше. |
| Комментарий от Алексей [ 29 июля, 2009, 00:59 ] |
Народ! Не пользуйтесь интернетэксплорером. Там одни дыры, даже дырищи, особенно которые в ворованных версиях виндовс. Правда, пободная зараза иногда поражает и Оперу. Гугл Хром и Файерфокс – пока по безопасности вне конкуренции! |
| Комментарий от серега [ 15 августа, 2009, 19:59 ] |
блииин люди у меня такая же штука >>>>я б такого пидара сироткой оставил на всю жизнь |
| Комментарий от wbg_sherlok [ 9 сентября, 2009, 08:14 ] |
Вчера познакомился с этой хренью. Та еще гадость. Загрузился я с Ultima boot CD и запустил проверку с помощью докторВэбовского “Lounch”. Он ничего не нашел. А решил проблему я случайно. От отчаянности я начал быстро нажимать ctrl+alt+del и окно диспетчера задач стало заметно мелькать на экране, и я успел разглядеть на нем одну единственную висящую в памяти задачу под названием “sound”. Потом я стал не только жать быстро ctrl+alt+del, но и одновременно нажимать Enter, и, о чудо, я все таки enter-om успел нажать кнопку “Снять задачу”, и выключить приложение “sound”. И вот он передо мной рабочий стол. Ну а далее уже дело техники. В редакторе реестра ввел поиск по “sound”, нашел там где эта хрень сидит на ЖД(C:\WINDOWS\Media\sound.exe), вычистил все из реестра (кстати этот файл похоже запускается из реестра из ветки RunOnce), удалил его с ЖД, ну вот собственно и все проблемы. |
| Комментарий от [ 12 сентября, 2009, 04:42 ] |
Мне попалась другая программа, которая использовала тот же номер. Программа когда выходишь в Интернет, каждые 20-30 минут вывешивает окошко с предложением купить порнотовары. Когда щелкаешь по кнопке закрыть, приходится ждать минуту. И программа пишет что вы должны просмотреть 1000 рекламных предложений. А также предлагает избавиться от себя самой, послав SMS на этот самый короткий номер 7132. Похоже это все одна фирма. Узнать бы кому этот номер принадлежит…. |
| Комментарий от [ 13 сентября, 2009, 17:24 ] |
Здравствуйте! Я отправил и на утро оказалось, что с меня сняли 200р. |
| Комментарий от [ 13 сентября, 2009, 19:39 ] |
Пиши оператору и жалуйся что будешь писать в милицию. Часто возврвщают баблос. Если не вернут пиши в милицию. Пусть кого-то накажут за это. |
| Комментарий от Роман [ 16 сентября, 2009, 07:45 ] |
Приходит по mailу что вы семимиллионный победитель отправьте бесплатное смс на номер 7132 и баланс вашего телефона пополнят на 360 р. Предложение типа действует в течение 9 часов. Выхожу в net смотрю есть сайт который предлагает на этом заработать new bill. Говнюки не то слово. |
| Комментарий от garry [ 23 сентября, 2009, 16:31 ] |
а я эту хрень убил = загрузившись с ERD commantera |
| Комментарий от Никифор [ 23 сентября, 2009, 18:09 ] |
Ребят…У меня подобная херня была сегодня |
| Комментарий от voleal [ 27 сентября, 2009, 14:18 ] |
Спасибо ребята – помогли с sound.exe. |
| Комментарий от [ 29 сентября, 2009, 16:15 ] |
мне предлагали отправить смс на номер 7122 с буквами 585key. к огромному счастью, у мя на рабочем стле осталась висеть штучка, из программы, отпарвляющей музыку в аську, благодаря которой я смог вылезти в интернет. на основании прочитанного сделал следующее – перезагрузка “с последними работоспособными параметрами” одновременно с отключением загрузки программ из автозагрузки. но комп заражен, прижется убивать. а еще бы убил мудилу, который это придумал. |
| Комментарий от Лёха [ 30 сентября, 2009, 10:10 ] |
ПОМОГИТЕ ПЛИ3!!!В общем требует смс 585key на 7122 отправить.По ходу вирус новый слишкрм,дрвеб со вчерашними базами не поймал.Загрузка с последними работоспособными параметрами не даёт результата.Безопасный режим просто не грузится(перезагружается и обратно в выбор режима).Что делать??? |
| Комментарий от [ 30 сентября, 2009, 12:14 ] |
попробуй загрузку с последними рабочими параметрами |
| Комментарий от [ 30 сентября, 2009, 12:18 ] |
кстати, у меня перед тем, как4 выскакивала эта табличка, рабочий стол действовал несколько секунд. за это время можно залезть вполне в msconfig (“выполнить”) и отключить ВСЮ автозагрузку |
| Комментарий от Лёха [ 30 сентября, 2009, 14:20 ] |
РОМА,короче у мя та же проблема,что и у тебя…Весь инет перерыл.Короче то же смс на тот же номер.Если ты раньше страдал от вирусов,скрывающих и не дающих возможность отображать скрытые файлы,то наверняка есть на компе тотал командер).у меня когджа комп врубался,то минуты 2-3 было,потом выкидывало это окно.Через тоал можно в обычном режиме запустить интернет,зайти в интернет эксплорер,а там уже погуглишь).потом установишь,и там в конце установки жми обе галочки…потом оставляй комп на проверку.у мя работает на ура!!!единственное(((короче после проверки када комп перегрузится,в диспетчере щадач сними троян скан(процесс этой проги),а то она грузит сильно и комп на сигналы е откликается.Если чо пиши в асю)370321320.Помогу…и те у кого вирус был win32.sector.17 тож могу помочь(он отрубал диспетчер задач и редактор реестра) |
| Комментарий от Месть51 [ 3 октября, 2009, 23:37 ] |
Ребяяяяяяят!!!!!!!!!!!!!! уми эта ТВАРЬ пропала через 24 часа!!!!!!!!!!!!запустил винду се норм без всяких левых окошек и ЕРРОРОВ все заепися!сам не понял как она отстала=) |
Написать комментарий