Попался мне недавно очередной СМС вирус. Сотрудники прибежали с башенными глазами, полными слёз и ноутбуком в руках. Спасай, кричали они, с нас магарыч. Ну как тут откажешь.
В окошке следующий текст. Посмею заметить? что текст написан не очень грамотным человеком :)
Внимание Ваш компьютер блокирован, для разблокировки компьютера Вам надо отправить СМС. В противном случае данные вашего компьютера будут удалены безвозвратно.
Для получения кода активации Вам надо отправить СМС
С текстом regsysy b20
На номер 7132
После входа в систему без разговоров вылетает окошко, белое и красивое. Ни удержание Shift ни стандартные Win+D, Win+U, Ctrl+Shift+Esc ни даже великий Ctrl+Alt+Del не смогли дать мне шанс вызывать диспетчер задач.
Начинаем развлечения.
Перезагружаем компьютер и держим F8. Загружаем в безопасном режиме с поддержкой командной строки. Запускается система и консоль. Вызываем диспетчер задач и находим файл sound.exe. Уж чересчур подозрительный.
Такого процесса я не знаю, но и найти его где-то в реестре прописанным в автозагрузку тоже не могу.То что это он во всём виноват сомнений нет. Как только я его убил — окошко пропало. И система выдала сообщение что не может найти sound.exe.
Сам файл находится в папке c:\windows\media\sound.exe. Весит 35 килобайт и не определяется ни одним антивирусом. Но это пока.
Файл удалил и полез искать кишки в реестре. Наткнулся на ветку HKEY_CURRENT_USER\Software\Microsoft\ Windows\ShellNoRoam\MUICache и там его ключик. Ссылается на сам файл.
Ключик тоже удалил. Перезапустил компьютер и вуаля. Все отлично. Файл отправил Касперскому и тут же получил ответ.
Здравствуйте,
sound.exe – Trojan-Dropper.Win32.Wlord.xz
Детектирование файла будет добавлено в следующее обновление.
Не люблю подобные дела. Портить людям жизнь и наживаться на этом — это низко и тупо. Таких вирусописателей и распрастранителей нужно бить ногой в ебло.
НА САЙТЕ: https://av.demozone.ru/
ВВОДИМ ТЕКСТ, КОТОРЫЙ ВАМ ПРЕДЛАГАЮТ ОТПРАВИТЬ ПО СМС,
ПОЛУЧАЕМ НЕСКОЛЬКО ВАРИАНТОВ КОДА АКТИВАЦИ(ОДИН ИЗ НИХ ДОЛЖЕН ПОДОЙТИ)
мне помогло без перестановки даты
Хлопцы, вы все молодцы и я с вами согласен, что этим пидарам ПО ПИЗДАКУ надавыть ! ! !
И еще… есть такая прога: RansomHide – небольшая утилита, которая поможет Вам в случае, если Вы лазали по интернету и Вам потребовалось установить flash-плеер для “нормального” отображения страницы, или просто нажали не на ту кнопку и теперь с вас требует отправить sms-сообщение по указанному номеру для разблокирования компьютера.
В ней вы найдете ответные коды, которые разблокируют ваш компьютер.
Честно говоря где её скачал – не помню, но прога эффективная.
sayrus141!!!огромное спасибо,поступила точно как вы,зашла в программ файл,а там висит что то даже по цвету отличающееся,все папки жёлтые,а тут квадратик синего цвета.я с ним поступила как вы расказывали,успела выбросить в корзину и очистить,раньше я пользовалась сайтами,где можно подобрать ключ,два раза помогло,а в этот раз даже и не начали разрабатывать этот троян сожалению,они идут на шаг впереди антивирусов,ещё раз спасибо,сижу счастливая от сознания,что не надо переставлять винду,и что в очередной раз фигулю под носулю этим гадам!
Миниатюрная утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет…
Очередное обновление к версии 0.1.23
Небольшая история: Принесли мне както компьютер на ремонт. В котором при запуске появлялась большая женская %гениталия% на весь 19 дюймовый экран, которая просила отправить смс с текстом таким то на номер такойто. Поиск вирусов через Livecd эту самую %её% не убрал. Интернет к слову из за вируса накрылся %ею% и попасть на любой форум для советов или хотя бы в яндекс нельзя было. Но я зашел в сеть со своего компа и наткнулся на сайт https://news.drweb.com/show/?i=304. В самом низу сайта есть генератор ответных кодов для таких вот вирусов. Вводишь код этой %гениталии% и она испаряется. Но это если у вас тырнэт не заблокируется вирусом. А если таки заблокируется? Переустанавливай винду ибо убрать такие вирусы пока сложно, не имея под рукой хитрых антивирей на livecd. И я написал огроменную программу на целых 15 килобайт в которой собраны все те же самые ответы, что и на упомянутом сайте. Собственно програмку для упокоения этих вирусов я и выкладываю.
https://file.dimonvideo.ru/uploader/internet-pk/ransomhide_by_and.rw_in_18012010173558_uploader.zip
Автор – MBTY
Лицензия – Freeware
Русский язык – встроенный
OC Win all
Баннер с СМС 8553341 на номер 7132 ПОМОГИТЕ!!! Я из РБ, позвонить оператору не могу.
Ольга, попробуй этот:
iqpay021190
Загрузила комп и пока эта хрень не успела запуститься, я ее перетащила в корзину (да, на рабочий стол перетащила еще вчера)потом сразу же очистила корзину. Пока не появилась. Может еще как перестраховаться?
Стала качать DrWeb, а он не качается, выскакивает сообщ. после 4% загрузки (около 5 минут)про какой-то таймаут. Подскажите что это такое???
Утилиты для борьбы с вирусами !
Тут порядком ~ 15 утилит на разный вкус и цвет :)
https://support.kaspersky.ru/viruses/utility
А вообще я напомню: вот ссылка с набором ответных кодов для таких вот “типа” вирусов
https://file.dimonvideo.ru/uploader/internet-pk/ransomhide_by_and.rw_in_18012010173558_uploader.zip
Здравствуйте! У меня похожая проблема, только никаких окон не вылезает и смс отправить не предлагает. Просто сидела в интернете, вдруг резко вырубился комп. После включения перестали запускаться программы, не могут найти файл dll в папке Temp. Я в ней посмотрела, эти файлы оттуда тупо пропали!(набирала их в поиске, он выдавал, но к концу поиска они пропадали) Пыталась запустить восстановление системы, пишет: “восстановление системы отключено групповой политикой. Для включения восстановления системы свяжитесь с администратором домена”. Что делать? Я в этом деле полный чайник, подозрительные файлы от неподозрительных отличить не могу, описанных выше не встречалось. Помогите, пожалуйста!!!
Спасибо большое сайту доктора веба))
При включении после приветствия появляется на чёрном фоне надпись о том, что онлайн антивирус обнаружил на компе вредоносный вирус с постоянно меняющимся шифром( через 130 секунд) Просит смс для получения кода…Рабочего стола нет… В винду захожу при перезагрузке с командной строкой…Посоветуйте чё-нить… А!!!
Сегодня проснулся и вижу табличку просят отправить СМС на номер 9691, прое..лся с кампом часа 2, ноль результатов, отправил СМС 300 рублей нет и просит отправить еще!!! помогла полная переустановка винды, а это полная жопа(((
Кэт, dll в папке Temp и не должно быть. Эту папку вообще можно удалить и она восстановится сама. Восстановление системы = Мой компьютер (правой кнопкой мыши жмешь) = “управление” = вкладка “службы и приложения = “службы” – дальше смотришь что вкл. или выкл. и т.д., запускаешь “восстановление системы”.
Я вас очень прошу помоч!у меня выскакивает табличак с отправкой смс на номер 1350 с текстом 891281442!))помогите пожалуста!)))
Булат, я извиняюсь что часто влезаю сюда… но на этой странице написано все что нужно для уничтожения подобного хлама. ВЫ ЧИТАТЬ УМЕЕТЕ????? Лично для тебя… _ КОД ДЛЯ РАЗБЛОКИРОВКИ; 1718193387
НАПОМНЮ:
Утилиты для борьбы с вирусами !
Тут порядком ~ 15 утилит на разный вкус и цвет :)
https://support.kaspersky.ru/viruses/utility
А вообще я напомню: вот ссылка с набором ответных кодов для таких вот «типа» вирусов
https://file.dimonvideo.ru/uploader/internet-pk/ransomhide_by_and.rw_in_18012010173558_uploader.zip
Здравствуйте. Сегодня появился новый вирус на компе, так же вылезло окно и написано:
вы не зарегестрировали вашу версию Internet Security …. дальше текст для принятия соглашения и отправте текст с смс
Помогите решить эту проблему
Столкнулась с той же проблемой. В компютере понимаю, но немного…Скачалась какая то фигня через контакт, вылезло окно – посередине экрана “отправьте бесплатную смс с текстом 70+131381 на номер 2810”. Блокировалась папка куда скопировался этот файл,не удалялся никак, диспетчер задач не открывался, комп на перезагрузку не реагировал…
Прочла здесь все.Спасибо большое Алексею,за https://av.demozone.ru/ – здесь подобрала код для закрытия этого окна. Теперь, наверное, придется почистить комп от всякой заразы. Аваст ничего не нашел((.
Люди, миленькие!!!!!! у меня радость!!!!! убрала я это окно о блокировке системы с помощью этого сайта и ссылки (15 декабря от Валероа) на новую прогу от Вэба…О, счастье-то какое!!! прям реально номер ввела, правда, текст у меня только примерно был похож (у меня был 7372015, а вэб предлагал текст 7372007), я всё равно его ввела, код доступа получила. воспользовалась им…Всё сработало!!!!!!!! Урааааааа!!!!!!!!!!
Виктор…самовар… вот у меня тоже как у вас на чёрном фоне, онлайн антивирус….всё моё…..воспользуйтесь этой ссылкой, сразу идите в поиск по номеру, потому что по картинке я нашла название нашего трояна (100), но по номеру трояна даётся код больно длинный, он не прокатывает, а вот когда поиском по короткому номеру для смс воспользовалась, то..да будет всем счастье))))))))
для Ольги как попасть в поиск когда доступ везде закрыт и можно писать только в командной строке в безопастном режиме (на чёрном фоне надпись о том, что онлайн антивирус обнаружил на компе вредоносный вирус с постоянно меняющимся шифром( через 130 секунд) Просит смс для получения кода…Рабочего стола нет…) можно по конкретний
ребята, читайте ithappens вот цитата оттуда дословно
#1733: Кто на что учился.
Закрою-ка я тему с вирусами, требующими отправить SMS. Cкладывается впечатление, что многие из разработчиков этих вирусов учатся в наших институтах, да и то на троечку. Самые запомнившиеся экземпляры из тех, что видел:
1. Отличный вирус, но имел одну маленькую особенность — закрывался по Alt+F4.
2. Милая игрушка, которая принимала вообще любой код для «активации».
3. Показывал порнуху (потоковое видео с какого-то сайта), а когда отрубался инет, тупо вылетал с ошибкой.
4. Расплодился по всем компам в фирме, кроме машины генерального. Оказалось, пугался двух мониторов, при включении выдавал ошибку и закрывался.
Самое интересное, что 95% этих вирусов дают доступ к рабочему столу. Большинство из них блокирует все возможные способы обхода и все известные науке антивирусы, но ведётся на старую-старую фишку. Открываем ворд, печатаем любую букву, нажимаем кнопку выключения. Винда закрывает всё, что может закрыть, в том числе и наш вирус, а ворд спрашивает, сохранить ли документ. Нажав на «отмену», мы останавливаем выключение компьютера и имеем отлично работающую винду.
Хочу поделиться своей проблемой а также ее решением. Скачал я 22 января 2010 года flash плеер и через час получил блокировку компьютера. Вышел из ситуации достаточно просто зашел по ссылке на Касперского и по номеру получил два кода разблокировки, один не подошел, а второй прямо в цель. Даю ссылку на сайт но думаю что многие уже ее знают. https://support.kaspersky.ru/viruses/deblocker Сегодня в РБК статья на эту тему. Производители антивирусных программ просят вмешаться власти в наведении порядка в этом вопросе. Я думаю таких п… надо надо на кол сажать, что бы помучались. Я если честно потерял несколько часов, что очень обидно.
для Альберта….ну вот сюда-то ты как-то попал же..я с ноута зашла в поиск, нашла этот сайт, здесь уже увидела здесь ссылку, прошла по ней…а дальше по моему предыдущему посту..потом пошла ввела полученый номер в комп, и усё готово)))
Альберт…если у тебя нет возможности попасть на тот сайт, отпишись здесь с номером и текстом смс. я тебе сама посмотрю…..ок?
Альберт…вот смотри, у меня (сейчас по-конкретней глянула) был чёрный фон с постоянно меняющимся алгоритмом и с надписью о смс с текстом 1702015 на номер 8353, если у тебя так же, то тебе подойдёт доступ 2047692…сейчас смотрю, уже даже мой текст у них имеется, а позавчера был только с текстом 1702007, значит база постоянно пополняется)))))
поигрались с инетом, вылезла на весь экран: “Оплатите заказаное порно”. причем когда в инете кликали на ссылку Каспер отключился! через безопасный режим войти не удается. Все равно переходит на полный экран с надписью.При отключении-ключении компа смс для номера 7122 генерируется разное 7851104,7851106.7851109. При смс 7851111. позвонил хозяину номера “Инкормедия” в Москве. 8-495-7898538. сказал что они козлы. девушка попросила подождать пока код сгенирируется. код получился – 354025958. вылезло окно установки пейера. закрыл нафиг. сейчас каспером проверяю. потом двеба скачаю и им проверю
Олечка огромное спасибо всё пропал
Лучше всего использовать откат системы или использовать Dr.Web LiveCD? более подробно можно прочитать здесь https://softpile.ru/drweb-livecd.html
