Ваш компьютер блокирован, отправтье смс на номер 7132
Попался мне недавно очередной СМС вирус. Сотрудники прибежали с башенными глазами, полными слёз и ноутбуком в руках. Спасай, кричали они, с нас магарыч. Ну как тут откажешь.
В окошке следующий текст. Посмею заметить? что текст написан не очень грамотным человеком :)
Внимание Ваш компьютер блокирован, для разблокировки компьютера Вам надо отправить СМС. В противном случае данные вашего компьютера будут удалены безвозвратно.
Для получения кода активации Вам надо отправить СМС
С текстом regsysy b20
На номер 7132
После входа в систему без разговоров вылетает окошко, белое и красивое. Ни удержание Shift ни стандартные Win+D, Win+U, Ctrl+Shift+Esc ни даже великий Ctrl+Alt+Del не смогли дать мне шанс вызывать диспетчер задач.
Начинаем развлечения.
Перезагружаем компьютер и держим F8. Загружаем в безопасном режиме с поддержкой командной строки. Запускается система и консоль. Вызываем диспетчер задач и находим файл sound.exe. Уж чересчур подозрительный.
Такого процесса я не знаю, но и найти его где-то в реестре прописанным в автозагрузку тоже не могу.То что это он во всём виноват сомнений нет. Как только я его убил — окошко пропало. И система выдала сообщение что не может найти sound.exe.
Сам файл находится в папке c:\windows\media\sound.exe. Весит 35 килобайт и не определяется ни одним антивирусом. Но это пока.
Файл удалил и полез искать кишки в реестре. Наткнулся на ветку HKEY_CURRENT_USER\Software\Microsoft\ Windows\ShellNoRoam\MUICache и там его ключик. Ссылается на сам файл.
Ключик тоже удалил. Перезапустил компьютер и вуаля. Все отлично. Файл отправил Касперскому и тут же получил ответ.
Здравствуйте,
sound.exe - Trojan-Dropper.Win32.Wlord.xz
Детектирование файла будет добавлено в следующее обновление.
Не люблю подобные дела. Портить людям жизнь и наживаться на этом — это низко и тупо. Таких вирусописателей и распрастранителей нужно бить ногой в ебло.
прив всем
второй раз сталкнулся с этой гадостью
первый был рекламкой порно сайта
сегодня просто черный экран с предложением обогатить какую-то сволочь путем отправки смс на короткий номер
в обоих случаях все гораздо прще чем кажется
1-загружаем комп до появления злополучного экрана
2-жмем (windows+u) до появления окна “дополнительные возможности”
3-ищем вкладку “система” (или просто набираем в верхнем правом углу в поиске “восстановление”)
-на что наш любимец выдаёт вкладку “восстановление системы”
4-выбираем в ручную точку восстановления с рабочими параметрами жмем ОК
ВУАЛЯ – комп восстанавливается перезагружается и все работает как должно
PS после конечно лучше просканить антивирусником для полной уверенности
“””ВСЕ ГЕНИАЛЬНОЕ-ПРОСТО!!!!”””
Комментарий от Николай
[ 26 января, 2010, 08:31 ]
ПРОШУ ПОМОГИТЕ!!! Поймал баннер ПО File Downloader просит отправить смс с 660025324 на номер 9690. Может быть кто знает код!!! Зарание спасибо!!!
Комментарий от альберт
[ 26 января, 2010, 09:53 ]
Олечка спасибо тебе код выше подошол
Комментарий от Роман
[ 26 января, 2010, 13:10 ]
вот не задача
вылетает якобы обновление проигрывателя адоб флеш
потом лочит диспетчер открытие каких либо файлов, пытался найти с лайв 0 нашел тока корешки в документ сеттигнс в пользователе в папке темп аналог снес в винде до байта такиеже тоже 0
представляетсся гавноантивирусом
Комментарий от волдекин
[ 26 января, 2010, 13:31 ]
у меня в коллекции 12 баннеров пару способов прочел здесь и своими додумал сам пользуюсь Outpost и AnVir Task Manager делаю так часть вылазит с расширением 800/600 правой мышки на свободный край максимальное расширение и запуск программы пока не востановилась просмотр процесов с поиском новых и отключением эксплорера и чистка реестра
Комментарий от Кай
[ 26 января, 2010, 13:43 ]
кака еще какая попалась локнула весь доступ + откат системы выгрузила антивирус и все что можно msconfig ни чего не показал когда перезапустил с отключенным автозапуском и процессами он не вылетал но запуск программ был залочен
после установки представился якобы антивирус
до как мне кажется адоб флеш плеер
такого еще не видел все вырубили и залочили из пользователя сделали дауна что ничего не может сделать
Комментарий от Ольга
[ 26 января, 2010, 14:27 ]
Альберту….я рада, что всё получилось :-* ))) Николаю…попробуйте, 6523 или воспользуйтесь ссылкой https://www.drweb.com/unlocker/index/?lng=ru и воспользуйтесь поиском по скриншоту…удачи..
Комментарий от Ольга
[ 26 января, 2010, 14:36 ]
Николаю…сейчас попробовала подобрать ключ по номеру текста….Вэб прелагает ещё попробовать 220753 или 196909….может эти подойдут?
Комментарий от Marchello
[ 26 января, 2010, 15:09 ]
https://news.drweb.com/show/?i=304&c=9&p=0 Здесь доктор веб предлогает генератор ключей для избавления от подобного рода гадости, у меня получилось с третьего раза может кому тоже поможет…
Комментарий от Shumik
[ 26 января, 2010, 19:24 ]
Народ, была (НЕОДНОКРАТНО) такая херня, заеПывался комп чистить и юзать. Вот ссылки https://www.drweb.com/unlocker/index/ (офиц. от Доктора Веба) и вот https://virusinfo.info/deblocker/ вводите номер телефона и КОД РАЗБЛОКИРОВКИ ПЕРЕД ВАМИ! Может кому поможет (мне помогало несколько раз, вторая ссылка более сильна!)
Комментарий от vakhtel
[ 26 января, 2010, 20:02 ]
всем у кого сейчас висит баннер стучите в асю 467981712 убирается за 2 мин.
Комментарий от Лейто
[ 27 января, 2010, 13:34 ]
Манипуляции со временем действительно помогли спс;))))
Была такая гадость на экране,все открывающиеся окна под эту прятались,в итоге включила фильм на КМПлеере и он поверх таблички выскочил и она больше не появлялась
Комментарий от Sparco000
[ 29 января, 2010, 13:18 ]
А я расшивровал этот банер пароль-9037 и всё мгновенно отключается!!!Вот так!!!
Комментарий от Sparco000
[ 29 января, 2010, 13:20 ]
Спасибо не надо .И лазить не надо там по реестрам….
Комментарий от a59s
[ 30 января, 2010, 17:58 ]
Ребятки! Чтобы проше было бороться с этой хренью нодо иметь две операционные системы на разных разделах ЖД. Надеюсь ни кого не надо учить, как это сделать…
Комментарий от misha
[ 31 января, 2010, 11:07 ]
даже переустановка винды не помогает,
Комментарий от Илья
[ 1 февраля, 2010, 17:10 ]
Я поподал дважды за неделю. И дважды переустонавливал операционку. Nod32 не помог. Потом, специально, нашёл то самое “бесплатное видео” и отправил файлы на анализ Nod32. На следующий день, после обновления вирусных баз, показал, что там троян. Теперь я на “бесплатное” не кидаюсь, а посылаю файлы на анализ NOD32.
СОВЕТУЮ ВСЕМ: если сомниваетесь, пошлите на анализ антивирусников, прежде чем скачать. Особенно если вас просят загрузить плеер, для просмотра или прогу для быстрого скачивания фильмов, заставки которых выскакивают (одни и теже) на разных сайтах.
Комментарий от Градничий
[ 2 февраля, 2010, 11:54 ]
Я соглашусь с Ильёй. Подобные форумы читают и производители sms банеров. Они учитывают все недостатки своих троянов, а мы им, в этом, помогаем. И каждый раз, “SMS-ТРОЯНЫ”, становятся всё изощрённее. После их установки, (через 1 час)они за собой заметают все следы (“самоисчезают”), блокируют полностью всё и вырубают драйвера, связанные с интернетом. Бороться можно: как предложил Илья.
Не спешите “пихать” в свой комп., то, отчего у вас “бежит слюна”. Доверте это антивирусникам.
Я знаю, что в Касперском и в NOD32, есть такие: расширенные функции, передать файлы для анализа в вашу антивирусную компанию. Воспользовавшись этой функцией, вы спасёте не только себя, пополнив антивирусные базы.
у меня появилось окно закрывшее все. “get access закрывает окно блокирует компьютер”
перегружаем в безопасном режиме. запускаю Registry Cleaner Comparison study. на проверку реестра”тщательный”. 2 – 3 раза.
выделить все ошибки. удалить.+резервные копии. после этого уже могу работать дурацкое окно пропадает.
шифруеццо сцуко под Флэшплейер адоуб 10. не ставьте его откед попало!
Комментарий от Вика
[ 3 февраля, 2010, 10:19 ]
Вчера муж сидел на форумах автомаляров. Закончил читать ,закрыл вкладки , внизу ссылка-порно-задорно. Открыл, запустил!!!! ВСЁ !Гейм овер! отошлите смс на номер 7250.
Спасибо громадное человеку, который дал ссылку на https://www.drweb.com/unlocker/index/?lng=ru с 4-5 кода подошло.Открыллось всё. теперь ищу этого засранца.
Комментарий от Олег
[ 4 февраля, 2010, 19:22 ]
Тоже попал сам “запускается красное окно, маскировка под антивирус, интернеет секьюрити, либо екаспер, типа куча файлов на вашем компутере заражено, нажимаешь лечить\удалять, просит отправить смс” – раза после 4-5 перезагрузки компа система перестала грузиться, даже в безопасном режиме. Просканировал на другом компе НОД32 винчестер (ситемный диск своего компа) – не нашел ничего :( Можно что-то сделать со своим системным винчестером на чужом компутере?
Комментарий от программист
[ 5 февраля, 2010, 17:00 ]
Нажимаем F8 и удоляем BLOKATOR.exe удачи всем помогает
Комментарий от dimkadj
[ 6 февраля, 2010, 18:38 ]
набіраєм в окошке inatalled і всьо праблема ришина!!!!!!!!
Комментарий от Путешественник
[ 7 февраля, 2010, 18:59 ]
Тоже был у меня этот вирус! Благодаря вашей статье не отправил смс! Спасибо!
Комментарий от Тони Тоничка
[ 8 февраля, 2010, 01:11 ]
Полчаса назад боролся с этой хренью. Время на компе перевел просто на 5 лет вперед, перезагрузил комп и через 5 – 7 мин оно само убралось. Потом время и дату настоящие поставил и все ОК!! Главное- не отправлять этим ублюдкам смс!
Комментарий от сергей
[ 8 февраля, 2010, 13:46 ]
ребята помогите ! у меня заблокирован комп от имени касперского просят отправить sms на 8353
Написать комментарий