Очередной блокировщик экрана от вымогателей. Интересно, много ли они денег зарабатывают на таком разводе. В общем как всегда. Разводят мирное население на бабос самыми мерзкими методами. А народ тугой, боится жаловаться и просить помощи друзей, так как стесняются что их обвинят в просмотре жесткой порнушки. А ведь авторы вируса на это и рассчитывают.
Поехали лечить…
Экран становится черным и на нем страшными буквами написано — “ВНИМАНИЕ! Ваша операционная системе заблокирована за нарущение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранение возможности распространения данных материалов с Вашего ПК в сети Интернет. Для разблокировки операционной системы вам необходимо оплатить 400 рублей.
Оплата с вашего мобильного телефона.
— Если Вы абонент Билайн, отправьте СМС с текстом 9647115863 400 на номер 3116. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент Мегафон, отправьте СМСс текстом 9647115863 400 на номер 84444. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент МТС, введите команду *115#. Далее выберите Связь. Билайн. номер телефона 9647115863 сумма 400 рублей.В ответном сообщении подтвердите ваш платёж.
ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ: Пополните номер абонента Билайн №9647115863 на сумму 400 рублей. На выданном чеке будет написан код доступа к системе. Введите его в форму ниже.”
Хочу заметить что вирус посерьезнее того лошья, что мне приходилось удалять до этого. Просто так сочетаниями клавиш парня не снести. Остается два способа — вводит код, который можно найти в интернетах бесплатно или загружаться с другой ОС, с загрузочного диска (Hirens Boot CD) или с Live CD винды.
Для начала пробуем коды
Если помогло пропускаем следующую главу. Если не помогло грузимся с загрузочного Live CD или подключаем свой жесткий диск к другу, чтобы с его компа убить скотину.
В моем случае обошлось без этого, т.к. я администратор домена и могу подключиться с помощью Dameware Utilites к зараженной машине по сети. Подключился увидел 2 подозрительных процесса — armedkrnl.exe и arakrnl.exe. Убил процессы, окно пропало. Нашел куски файлов в C:\WINDOWS\Prefetch. Однако самих файлов с таким именем мне обнаружить в системе не удалось.
Но развлечения только начались. Гадость прописалась в реестр для автозапуска вместе с системой и поправила несколько ключей реестра, которые скрывают и отключают все элементы рабочего стола и панель управления.
Как это лечится пишем здесь:
Пропала панель управления (Control Panel)
Редактирование реестра запрещено администратором системы
Пропали значки с рабочего стола и нет меню
Далее запускаем редактор системного реестра. Пуск — Выполнить — “regedit” — И жмём Ввод. Откроется “Редактор реестра”. В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Затем посмотрите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit” (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit – C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.
Вот он, с уже новым именем rsbtxv.exe. Его я тоже не смог найти. По всей видимости он переименовывается, либо бегает по системе.
У меня эта дрянь в значении параметра Shell
после Explorer.exe вот что прописала:
EXPLORER.EXE %WINDIR%\RUNDLL.BAT
А вот что содержалось в RUNDLL.BAT:
start nvcvc32.exe
Удалил rundll.bat, nvcvc32.exe и поправил реестр.
Всё.
Вычистил, помогло. Спасибки.
СПАСИБО ОГРОМНОЕ
для номера 3116 с текстом 79052580198 введите dfvgbh789 проверено 100%
“после Explorer.exe вот что прописала:
EXPLORER.EXE %WINDIR%\RUNDLL.BAT”
Аналогично. Всё поправила, спасибо))
Говорят, что чаще код не надолго освобождает от этой штуки, потом она опять вылезет.
Не помогло… Не было этой фигни в реестре. Процесс называется nvcvc32 у меня, но найти нифига не могу (через хр лечил 7).
У меня было чуть по-проще .win+m смотрим процесс calc[1].диспетчер не запускается. открыл c:\windows\ и c:\windows\system32 нашёл rundll прочитал в нём ,и пошёл по его же пути.сейчас ищу хвосты в реестре пока только с вашей помощю один обнаружил.а процесс удалось закрыть через ProcessExplorer.calc[1] наверно можно найти HKCU\software\microsoft\windows\ShellNoRoam\MUICache по этому пути идём и находим архив exe изменения в реестре смогу ли ещё найти ненаю.
Привет Alexandru Roshalyu!!!
в инете много уже про него уже написано и всё разные процесы запускает.
Так нужно RUNDLL.BAT рубить или нет?
Блин, получилось!!! Спасибо огромное!
Блин ребят цепанул эту хрень на бук. Нужно отправить смс с текстом: 9637145922 400 на номер 3116 либо если мегафон то на 84444. Работает только русская раскладка!!! Вирус не дает на английский переключится((( У кого есть код подскажите плиз!!!! Либо тут либо в почту!
Спасибо большое помогли КОМЕНТАРИИ !!! удалил из C:\WINDOWS nvcvc32 (именно этот процесс пришлось убить при загрузке системы WINDOWS нажал три заветные кнопки успел и быстро убил этот процесс через диспетчера задач)потом при вторичной загрузке сис темы вылазила ошибка но тут и правим реестр… как сказано выше…..
Далее запускаем редактор системного реестра. Пуск — Выполнить — “regedit” — И жмём Ввод. Откроется “Редактор реестра”. В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Затем посмотрите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit” (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit – C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.
СПАСИБО
1 в 1 проблема как у Юрца!
“Блин ребят цепанул эту хрень на бук. Нужно отправить смс с текстом: 9637145922 400 на номер 3116 либо если мегафон то на 84444. Работает только русская раскладка!!! Вирус не дает на английский переключится((( У кого есть код подскажите плиз!!!! Либо тут либо в почту!”
+ в безопасном режиме тоже самое!никуда нельзя зайти,ни в пуск ни в панель управления!
выскакивает этот баннер на весь экран!
коды не помогают!Спасите пожалуйста!
У меня тоже «после Explorer.exe прописала:
EXPLORER.EXE %WINDIR%\RUNDLL.BAT»
Всё поправил,пропало, спасибо)) А куда файл залез? ведь он не растворился же после чистки реестра и смерть процессов?
…..а перед чисткой я перезагрузился в безопастном режиме с командной строкой. в строке прописал explorer появилось меню “Пуск” и дело пошло как написано выше. всем привет!!! А кто написал эту программу знайте, поймаем и превратим ваше тела в студень….
RUNDLL.BAT рубить обязательно и смотрите не запустите его всё повторится чёрный экран и всё такое…
nvcvc32.exe -это вирус,удалил хорошо,тока остался bat-ник типа Rundll.bat (19 байт) со строкой “start nvcvc32.exe” потому и запускается через cmd.exe ,ищи этот файл на компе,можешь посмотреть его в автозагрузке для начала… Название у него возможно будет другое (с атрибутами скрытый-системный)
Нужно отправить смс с текстом: 9637145922 400 на номер 3116 либо если мегафон то на 84444
код: 6586106
у меня тоже этот вирус, помогал код dfvgbh789, а теперь рабочий стол заблокирован и ни один код не подходит, на весь экран опять эта черная хрень,в диспетчер задач не зайти….блин, да у меня полно систем защиты, мы даже когда разблокировали касперского накачали…что делать не знаю…подскажите, а можно еще что-нибудь сделать(((((
где вы их ловите? ни разу такой фигни не цеплял, даже батя у меня сидит ,тыкает новостные ссылки и нет проблем. ))
Короче, люди, не парьтесь насчёт этого nvcv32.exe !!!
Итак, лечение вкратце.
1. Грузимся с СD/DVD из под DOS’а (но с такого CD/DVD, чтобы были видны разделы NTFS, а то всякие диски бывают). Я тык вообще предпочитаю в таких случаях miniWindows Alkid.
2. В папке C:\Windows удаляем 2 (два) файла, а именно nvcvc.32.exe и rundll.bat.
3. Перезагружаем комп уже теперь под Windows с жесткого диска.
4. Запускаем regedit и в разделе
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell значение параметра оставляем только explorer.exe (т. е. убираем всё, что там после .exe).
5. Перезапускаем Windows.
6. Enjoy’имся!
помогите плиз.. просит на номер 3116 отправить текст 79602610098
и на номер 84444 отправить текст 600
перепробывал коды но ни один не помог(((( плиз помогите.
Если у вас висит баннер или заблокирован контакт пишите в асю 467981712 помогу быстро
———————————————
И просьба: пишите сразу какая стоит винда и есть ли второй комп под рукой!!!
у меня в етой строчка через пять секунд заново вирус появляется что делать
тааак, и мне счастье привалило =) требовали смс на 3116 или 84444 или деньгу на номер 9650161646. данный телефон не был найден в базах антивирусников, ни один найденый код не подошел. Видимо, новая модификация. Спасло меня то, что подключены 2 монитора – часть блокирующего окна в одном мониторе, часть в другом. Поэтому был доступ к компу, хоть и сильно ограниченный, где-то пришлось только клавиатурой пользоваться. Вобщем, скачал Process Explorer – бесплатная прога, для начала убил nvcvc32.exe – окно не пропало =( Затем обнаружил странный процесс 0.4484…итд. Убил его – окно пропало. Сам файл жил в local settings/temp. Лиц. каспер с базами от 01.02.2011 никак не заругался на этот файл. Посему файл был отправлен в лабораторию с описанием ситуации.
Что странно – поиск nvcvc32 по всему компу не дал результата. Куда пропал – неизвестно, к тому же реестр в указанных местах чистый, без следов вируса.
зато в папке admin/application data/ была обнаружена целая директория winxzip с файлом a.html – вот в нем каспер уже и нашел вирусы.
Помогите тот же баннер просит отправить смс с текстом 79650161702 на номер 3116 как его убрать подскажите код или еще способ как его уничтожить!
огромное спасибо, статья оч помогла ,а так же помог коментарий Eugene_Wild
Я всегда под рукой держу Reanimator 2008. Запускаем ERD comander далее все по схеме чистка реестра и удаление вирусняков из папки windows, Documents and Settings. затем на всякий пожарный сканю все дрвеб лайв сд. Ну и конечная утилита AVZ. Так как подобная вирусня как правило блочит реестр, диспетчер задач, скрывает папки и ярлыки рабочего стола и тд…
Поймал черное окно смс с текстом 9651548242 400 на номер 3116 помогите ?
помог DRWEB Cureit и советы по восстановлению после удаления вируса, спасибо