Попался мне недавно очередной СМС вирус. Сотрудники прибежали с башенными глазами, полными слёз и ноутбуком в руках. Спасай, кричали они, с нас магарыч. Ну как тут откажешь.
В окошке следующий текст. Посмею заметить? что текст написан не очень грамотным человеком :)
Внимание Ваш компьютер блокирован, для разблокировки компьютера Вам надо отправить СМС. В противном случае данные вашего компьютера будут удалены безвозвратно.
Для получения кода активации Вам надо отправить СМС
С текстом regsysy b20
На номер 7132
После входа в систему без разговоров вылетает окошко, белое и красивое. Ни удержание Shift ни стандартные Win+D, Win+U, Ctrl+Shift+Esc ни даже великий Ctrl+Alt+Del не смогли дать мне шанс вызывать диспетчер задач.
Начинаем развлечения.
Перезагружаем компьютер и держим F8. Загружаем в безопасном режиме с поддержкой командной строки. Запускается система и консоль. Вызываем диспетчер задач и находим файл sound.exe. Уж чересчур подозрительный.
Такого процесса я не знаю, но и найти его где-то в реестре прописанным в автозагрузку тоже не могу.То что это он во всём виноват сомнений нет. Как только я его убил — окошко пропало. И система выдала сообщение что не может найти sound.exe.
Сам файл находится в папке c:\windows\media\sound.exe. Весит 35 килобайт и не определяется ни одним антивирусом. Но это пока.
Файл удалил и полез искать кишки в реестре. Наткнулся на ветку HKEY_CURRENT_USER\Software\Microsoft\ Windows\ShellNoRoam\MUICache и там его ключик. Ссылается на сам файл.
Ключик тоже удалил. Перезапустил компьютер и вуаля. Все отлично. Файл отправил Касперскому и тут же получил ответ.
Здравствуйте,
sound.exe – Trojan-Dropper.Win32.Wlord.xz
Детектирование файла будет добавлено в следующее обновление.
Не люблю подобные дела. Портить людям жизнь и наживаться на этом — это низко и тупо. Таких вирусописателей и распрастранителей нужно бить ногой в ебло.
Мудила не тот, кого вы тут вспоминаете, а тот, кто ему СМС-ки шлет и кошелек пополняет. (Некоторые из вас это хоть и с запозданием, но понимают и мыслят самокритично).
Надо же быть такими идиотами, на дешевую разводку попасть. Вы бы лучше эти деньги в качестве туалетной бумаги использовали, хоть какая-то польза для вас была. Комп надо использовать не в качестве только игрогенератора, а в первую очередь, для получения знаний. Мозги будут работать, не попадешь в такой капкан. А уж, если вирь и попал к вам, гугл вам в помощь, в инете все расписано как их изживать.
гребаная порно реклама !!! отправь смс на номер 4125 и обосрись от того что ни чего не изменится,
но есть и другой путь:кликни 999 раз на закрытие рекламы и усрись еще больше, ибо между кликами должно пройти время 5 мин.. Я скоро буду знать все фалоэмитаторы наизусть и прочую дрянь которую предлагает эта фирма, а прошол только день (((
ПА-А-АМА-А-АГИ-И-ИТЕ-Е
Вчера поговорил с братом по SKYPE, он мне отправил фото, я вышел покурить, прихожу, а у меня на буке(антивируса нет) синий экран с нолями и каким то текстом, перезагрузил, загружается комп теперь только со второго раза. При загрузки на рабочем столе появляется окно с текстом: “Вам необходимо зарегистрировать свою копию Get-Accelerator. Для регистрации Отправте смс с кодом acv1013560 на номер 9099, в ответ вы получите ваш персональный регистрационный код. (снизу подпись)- Внимание! Попытки обмануть систему активации могут навредить компьютеру. ” и идёт отсчет времени 3 мин., после окончания времени система вылетает и опять синий экран с нолями… Как решить эту проблему?
Если комп загружается в безопасном режиме, то поможет бесплатная утилита DrWeb CureIt – https://www.freedrweb.com/download+cureit/
Если не грузится в безопасном режиме – тогда livecd с той же DrWeb (правда весит раза в 3 побольше) – ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso
Нет против этого гет акселератора не поможет Ваш лайв сиди. Делай так: меняй в биосе системное время назад. Комп загрузиться. Далее одно из двух – запускай восстановление системы или копируй все данные на флешки или куда еще и ставь винду по новой. Как искоренить этот вирус пока в интернете не написано. Он воздействует на процесс winlogon. Если оставишь дату измененной, то при наступлении снова этого дня появится вирус. Можно перевести на 2 года назад и не париться, правда это слабоутешительное решение. Антивирусы не помогают и также код от дрвеба тоже не подходит
Он в процесс svchost.exe внедряется, потому и инет отваливается, проипался с компом реально 3 часа, замочил все файлы созданные за последние сутки на жоском, вычистил реестр, антивирь с последними обновлениями вообще ничего не находит, плюс ко всему сетевой экран винды игнорит стоящий антивирь и навязывает какую-то левую поебень, ребята творящие такие вещи реально акуели, ведь за это срок светит и не маленький, просто еще никого не посадили, а зря, глядишь и задумаются. В итоге херь эту обнаружить я так и не смог, при восстановлении винды выскакивает BSOD, поэтому пришлось сливать инфу и по новой ставить винды. А я это пипец как не люблю (((
1.DrWeb Cureit свежайший
2. ComboFix – winlogon лечиться
—-
как альтернатива снос винды кому влом париться
Пуск – свойства Firefox Mozilla – настройки – стереть адрес страницы с навязчивым спамом – ок.
Перезапуск Mozilla – проставить галочки на удаление спамной страницы – нажать “начать новую сессию”.
У меня вроде бы все прошло.
РЕБЯТ СПАСИБО БОЛЬШОЕ ЭТОТ ФОРУМ МНЕ ОЧЕНЬ ПОМОГ, МИНУТ 15 НАЗАД ВЫЛЕЗЛО СООБЩЕНИЕ О ТОМ ЧТО НАДО ОТПРАВИТЬ СМС ЧТОБ ПОДТВЕРДИТЬ ПРОГУ GET ACCELERATOR , НУ Я НАЧАЛ ИСКАТЬ ПРИЛОЖЕНИЕ ЧТОБ УДАЛИТЬ НО НИГДЕ НЕ БЫЛО ЕГО ДОСТУП В ИНЕТ ОТКЛЮЧИЛИ У МЕНЯ WIFI ДОМА И Я ЗАШЕЛ С МОБИЛЫ ПРОСТО СПАСИБО ВАМ ОГРОМНОЕ ЕЩЕ РАЗ , Я РАНЕЕ КУПИЛСЯ НА ХЕРЬ 1 ГОЛОС=1 РУБЛЬ И ПОПАЛ НА 500 РУБЛЕЙ А ЕСЛИБ НЕ ВЫ ТО ЕЩЕ РАЗ ПОПАЛ(, МОИ ДЕЙСТВИЯ И УВЕРЕН ЧТО ПОГУТ КАЖДОМУ С ПОХОЖЕЙ ПРОБЛЕМОЙ ЗАПУСКАЕШЬ CTRL+ ALT+ DEL И ТАМ УДАЛЯЕМ ПРОЦЕССЫ КОТОРЫЕ ЕДЯТ ПАМЯТИ БОЛЬШЕ 10000, НЕ ПУГАЙТЕСЬ ЧТО ЭТО СИСТЕМНЫЕ ФАЙЛЫ, МОЙ СОВЕТ ПО АНТИВИРУСУ-АВАСТ , ОН БЕСПЛАТНЫЙ ПОЛНАЯ ВЕРСИЯ,ВОТ, МАЛО ТОГО ВИРУСЫ БЫЛИ В У МЕНЯ В АНТИВИРУСЕ PRO 2010, ТАК ЧТО ВОТ ТАК МОЙ КОНТАКТ id20109954, ОБРОЩАЙТЕСЬ ПОМОГУ
Отловил эту дрянь. Вылечил AVZ-ом, в таскмэне вообще не отображалась. Когда уже менты будут ловить за такие проделки// Эти уроды ведь даже не прячутся, как и те, что в “Одноклассниках” мошейничеством занимаются, у контент-провайдеров они зарегестрированы. ОпСоСы их покрывают, дают лишь номер службы поддержки, по которому никто не берет трубку (у меня девушка отправила смс за 170 р, я звонил в Мегафон). ВСЕ НАВИДУ, НО НИ ОпСоСы, ни органы этому не препятствуют, скорее лишь помогают..
Аж ошибок от возмущения наделал )) Интересно, в БОЛЕЕ цивилизованных странах, чем Россия (ну, например, Зимбабве, Тунисе или Алжире), отлавливают этих уродов?
Сделал по другому.На моем агрегате три пользователя, при открытии одного заставка выскакивет, не закрыв одного пользователя открыл другого и вот, заставки с текстом там нет.Не закрывая одного пользователя через другого закатал систему через Acronis True Image.И все пропало.А до этого перепробовал все и ничего не получалось.Единственное еще что может помогло, при выскакивании заставки я до истечении 10 мин, успел прогнать систему через восстановление.Может просто повезло , фиг его знает.
на Комментарий от Дима. Спасибо!!!за подсказку. Тоже был get accelerator на 7122. помогла перестановка сист времени и затем восстановление системы. Пока все тихо, переставила время на нужное число, пока все ок!!)))
Спасибо за каменты! Скачала Доктор Веб по ссылке, сразу все вылечил (нашел 16 вирусов), а перед этим Аваст ничего не нашел
Мошенничество, короткий номер 7122
В последнее время в сети выявляется всё больше случаев, когда пользователей просят отправить сообщение на номер 7122, указывая специально заниженную стоимость – 10 или 15 рублей.
В действительности же стоимость номера 7122 – 250 рублей, но это без учёта НДС. Сумма которую “снимут” с Вас – порядка 300 рублей.
Не при каких обстоятельствах не отправляйте СМС неизвестным людям!
Отправив СМС на данный номер Вы только “поддержите” работу мошенников, и таких случаев будет всё больше.
Разборка с мошенником.
Все короткие номера “агрегируют” СМС биллинги, соответственно мошенники являются партнерами данных биллинговых компаний. Практически во всех случаях сотрудники биллинга даже не предполагают о том, что данный номер используется для мошенничества кем-то из его партнеров. О факте мошенничества нужно сообщать в службу поддержки компании, как правило это можно сделать через сайт агрегатора.
В этом случае компания сразу же определит партнера-мошенника и блокирует его работу. Так же компания может передать все данные о партнере-мошеннике в соответствующие органы.
Список всех биллингов Вы можете найти на нашем сайте. Так же Вам нужно определить какой из биллингов работает с данным номером.
Номер 7122 обслуживает биллинговая компания СМС-Рент, сообщить о факте мошенничества вы можете в службу поддержки компании.
С мошенником разобрались, но проблему это не решило…
Если мошенники блокировали работу компьютера, с помощью вируса, или постоянно выскакивает “информер”, то проблему нужно решать технически. Ссылки, по которым освещаются пути решения подобных проблем:
* Блокируется компьютер
* Постоянно появляется порно баннер
* Избавление от информеров
* Что делать, если Mail.ru, ВКонтакте, Яндекс и другие популярные сайты вдруг начинают требовать активацию путем отправки СМС сообщения
* Компьютер блокирован
Мошенничество на других номерах
Наряду с номером 7122, мошенники часто используют номера 4460, 3649, 9693, 9690, 6008, 4124. Приводим список стоимостей этих номеров и биллингов.
* номера 4460, 3649 – 250 руб. Обслуживают А1 Агрегатор, СМС Рент
* номер 4124 – 250 руб. Обслуживает SMS-Доступ
* номер 6008 – 220 руб. Обслуживает GoldFon, NwBill
* номера 9693, 9690 – 220 руб. Обслуживает SmsRate
я с этой гадостью справился просто удалив папку мозила и это дерьмо пропало
У меня похожая проблемма тока что делать я незнаю вот что выдают при зугруски виндус
вот что выдает мне экран
https://content.foto.mail.ru/bk/dav1989/1085/i-1084.jpg
https://foto.mail.ru/bk/dav1989/1085/1084.html
заранее спасибо
Не знаю, поможет ли вам это, и тем более не претендую на исключительность метода, но работать это должно – была схожая ситуация. Сначала проверяете каспером с последними базами на другом компе – если лечит – радуетесь, если нет – читаете дальше. В общем грузитесь с чего – нибудь, что есть под рукой – liveCD я не пробовал, у меня ubuntu есть установленная – на вирусы на ней пох. Заходите на ‘тот самый’ порносайт или еще куда, где вы эту заразу поймали и стараетесь поймать живой ‘экземпляр’ этой заразы – обычно это trojan – dropper – в виде .exe или еще чего нибудь. Можете погуглить по имени файла, если помните его – возможно найдется на файлообменниках. Находите. Не пытайтесь его устанавливать – отравьте на исследование касперу. В моем случае через несколько часов пришел ответ :
Здравствуйте,
flvdecode.exe – Trojan-Dropper.Win32.Agent.bhec
Детектирование файла будет добавлено в следующее обновление.
> Блокирует компьютер с с предложением отправить смс.
>
С уважением,
Павел Зеленский
Ведущий вирусный аналитик
Теперь обновляете каспера на другом компьютере и проверяете опять. Вируса он удалит, но сопли в реестре останутся – чистите любой прогой для очистки реестра – я использую jv16 pover tools.
Если остаются обычные артефакты типа отключенного диспетчера задач, скрытого пункта Свойство папки и прочее – можете погуглить что и где в реестре поправить, а можете поставить XP Tweaker и там поправить. И последнее – тут много говорилось, почему их не садят, не казнят и анально не карают? В большинстве случаев их вину не так просто доказать, потому что ВЫ сами (большинство!) устанавливаете эти самые бесплатные download – менеджеры, кодеки для просмотра ‘особого’ видео и пр. И почти всегда вы ПРИНИМАЕТЕ ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ! Где-то это явно, где – то не очень – присутствует только ссылка – но этого НИКТО НИКОГДА не читает, а зря… Ведь там написана ВСЯ правда, что вам придется отправлять смс, и что доступ к компьютеру будет блокирован, что будет установлен порнобанер и пр. А программки эти пишутся по десятку в день, и нет ничего удивительного в том, что антивирус их не видет – думать надо головой! Неплохо зарекомендовал себя метод гугления имени подозрительного файла перед его установкой, если антивирус молчит – если наткнетесь на подобную тему в форуме – думаю, что делать объяснять не надо, и желательно, отправить образец на проверку касперу – это не реклама, просто я пользуюсь только им, можете хоть Гейтсу отправлять, я же буду говорить о том, в работоспособности чего я уверен.
Будьте, наконец разумными – бесплатный сыр бывает только в … – ну вы помните!
Простите, накипело…
Нашёл это только Касперский, причём сразу же. Доктор Веб никак не помог
Троян назывался: Trojan.Win32.Scar.akbp
C:\windows\system32\userinit.exe
https://content.foto.mail.ru/bk/dav1989/1085/i-1084.jpg
Короче если у кого такая бяка, много способов не надо, не LiveCD, этого не надо. Я вчера сам подхватил такое. Думал что делать, в итоге зашёл в безопасный режим (с поддержкой командной строки)
загружаешь, после загрузки нажимаешь CTRL + ALT + DEL, открывается Таск Менеджер, там делаешь файл-> новая задача(выполнить)->пишешь там msconfig, выходит окно, заходишь в автозагрузку снимаешь галочки со всего подозрительного, потом опять на 1 вкладку перемещаешься и делаешь “Запустить восстановление системы” выбираешь более раннюю дату до дня когда подхватил и вуаля, всё готово!
как мне убрать антивирусник который высвечиваеться после в хода на свою страницу
там есть пркол отправить смс с текстом 565546461 на номер 7122 но без результатно номер не используеться как быть
Andrey, опиши проблему русским языком. Какой еще “антивирусник” и “своя страница”? И никуда ничего не отправляй – это развод, тем самым ты поощряешь этих уродов!
на сайте вконтакте пытаюсь войти на свою страницу и результат смс на 8353
чё делать?
C:\WINDOWS\system32\drivers\etc
там файл hosts, открываешь его блокнотом и в самом низу удаляешь ссылку на вконтакт.
У меня был вирус с номером 7122, систему переставил а сайт заразило! И бекапа нет на хостинге, как раз за ту дату был что и вирус завелся. Можете сами посмотреть, сайт на Joomla и там терь какой-то бот завелся который чето изменил сам не знаю чего.
На сайте ошибка Fatal error: Cannot redeclare s0mo() чего теперь с ней делать блин?
Спасибо большое, информация реально помогла
Здравствуйте господа! Я за последнее время дважды столкнулся с этой дрянью. Я не всё читал в этом посте, но надо начинать с владельца номера 7122 и тому подобных. Эти подонки просто и тупо имеют доход. Можно позвонить любому сотовому оператору и выяснить чей номер. После звонка контент провайдеру, владеещему сим номером, с некоторым трудом я выяснил, что достаточно перевести часы вперед на 3 дня, перегрузиться п, потом назад, и эта зараза будет самостоятельно удалена. Проверил – получилось. Я ОТ ВСЕХ РАЗУМНЫХ ЛЮДЕЙ ТРЕБУЮ ПОДГОТОВИТЬ ИНФОРМАЦИЮ ДЛЯ ОБРАЩЕНИЯ В МИЛИЦИЮ, ЧТО-БЫ ДАВИТЬ ЭТИХ ГАДОВ. у МЕНЯ ДВА СКРИНШОТА С ПОРНОГРАФИЕЙ И ДВА ВИРУСА ГЕТ АКСЕЛЕРАТОР И uFast Download Manager. Не давайте себя трахать!
!!!!!osv2 !!!!!
огромное спасибо переставить время помогло.
