Познавательный блог Мобильная врсия

Страницы

Промо

Отправьте СМС с текстом 9647115863 400 на номер 3116

Очередной блокировщик экрана от вымогателей. Интересно, много ли они денег зарабатывают на таком разводе. В общем как всегда. Разводят мирное население на бабос самыми мерзкими методами. А народ тугой, боится жаловаться и просить помощи друзей, так как стесняются что их обвинят в просмотре жесткой порнушки. А ведь авторы вируса на это и рассчитывают.

sms 1 - Отправьте СМС с текстом 9647115863 400 на номер 3116

Поехали лечить...

Экран становится черным и на нем страшными буквами написано — "ВНИМАНИЕ! Ваша операционная системе заблокирована за нарущение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранение возможности распространения данных материалов с Вашего ПК в сети Интернет. Для разблокировки операционной системы вам необходимо оплатить 400 рублей.

Оплата с вашего мобильного телефона.

— Если Вы абонент Билайн, отправьте СМС с текстом 9647115863 400 на номер 3116. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент Мегафон, отправьте СМСс текстом 9647115863 400 на номер 84444. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент МТС, введите команду *115#. Далее выберите Связь. Билайн. номер телефона 9647115863 сумма 400 рублей.В ответном сообщении подтвердите ваш платёж.

ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ: Пополните номер абонента Билайн №9647115863 на сумму 400 рублей. На выданном чеке будет написан код доступа к системе. Введите его в форму ниже."

Хочу заметить что вирус посерьезнее того лошья, что мне приходилось удалять до этого. Просто так сочетаниями клавиш парня не снести. Остается два способа — вводит код, который можно найти в интернетах бесплатно или загружаться с другой ОС, с загрузочного диска (Hirens Boot CD) или с Live CD винды.

Для начала пробуем коды

  1. avc0cet
  2. p1d0r
  3. svipper
  4. DTLP
  5. 16342131
  6. SHAZAM
  7. SKY DESTROYER
  8. DNITEMS
  9. kisskiss
  10. TETRIS
  11. DIGGER

Если помогло пропускаем следующую главу. Если не помогло грузимся с загрузочного Live CD или подключаем свой жесткий диск к другу, чтобы с его компа убить скотину.

В моем случае обошлось без этого, т.к. я администратор домена и могу подключиться с помощью Dameware Utilites к зараженной машине по сети. Подключился увидел 2 подозрительных процесса — armedkrnl.exe и arakrnl.exe. Убил процессы, окно пропало. Нашел куски файлов в C:\WINDOWS\Prefetch. Однако самих файлов с таким именем мне обнаружить в системе не удалось.

Но развлечения только начались. Гадость прописалась в реестр для автозапуска вместе с системой и поправила несколько ключей реестра, которые скрывают и отключают все элементы рабочего стола и панель управления.

Как это лечится пишем здесь:
Пропала панель управления (Control Panel)
Редактирование реестра запрещено администратором системы
Пропали значки с рабочего стола и нет меню

Далее запускаем редактор системного реестра. Пуск — Выполнить — "regedit" — И жмём Ввод. Откроется "Редактор реестра". В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Затем посмотрите на правую панель редактора реестра и проверьте два параметра "Shell" и "Userinit" (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.

sms 3 - Отправьте СМС с текстом 9647115863 400 на номер 3116

Вот он, с уже новым именем rsbtxv.exe. Его я тоже не смог найти. По всей видимости он переименовывается, либо бегает по системе.

Рубрики: Вирусы, Система
Автор: admin | 12.01.2011 | Камменты: 61

Комментарии

Комментарий от Дмитрий-Админ [ 5 февраля, 2011, 04:00 ]

Не открывается ВКОНТАКТЕ.
Активация Вконтакте по СМС.
SMS активация vkontakte
Удалить БАННЕР – ЗАПРОС АКТИВАЦИИ.
Как убрать баннер.
Не открывается сайт odnoklassniki.ru
НЕ ОТКРЫВАЕТСЯ САЙТ vkontakte.ru
Не открывается Yandex – Google.
mail.ru – yandex.ru.
Помогу вернуть украденные акуанты соц.сетей
Обращаемся сюда
ICQ: 626-845-618
Комментарий от Эд [ 7 февраля, 2011, 23:03 ]

Какая-то модификация трояна на эту тему.
Удалил его через DrWeb LiveFlash прямо из Midnith Commander, в папке Windows лежали arkrnl.exe, dvkrnl.exe, dvkrn.dll (пишу по памяти, могут слегка отличаться имена). Вычислил их просто по дате создания. Вирус заблокировал taskmanager, regedit, меню запуска, контрольную панель. Далее через безопасный режим загрузил с флэшки прогу RegWorks и ею поменял ключи в реестре (см. выше в топике)
В параметре Shell у меня был прописан arkrnl.exe , заменил его на explorer.exe.
Комментарий от Lonei [ 13 февраля, 2011, 01:59 ]

Мне удалось избавица от этой заразы с помощью drweb-curei и Программы DiskHeal.Нажимаем F8 выбираем безопасный режим с поддержкой командной строки,дописываем EXPLORER.EXE поевляеца меню Мои документы скопировал с диска drweb-curei в мои документы,запустил drweb-curei(благо он не требует установки)запустил полную проверку.Антивирус нашол 3-х троянов,после перезагрузился и винда нормально запустилась бес банера но остались две проблемы не запускаюца реестр и диспетчер задачь для этого потребовалась программа DiskHeal с помощью неё можно активировать реестр и диспетчер задачь на этом моя проблема исчезла.
Комментарий от Lonei [ 13 февраля, 2011, 05:31 ]

Поправлюсь исчезли основные проблемы мелкие проблемы можно исправить через-“Групповая политика” Нажимаем кнопку Пуск –> Выполнить… –> в поле Открыть: вводим команду gpedit.msc –> жмем OK-в появившемся окне идём к “административные шаблоны” в этом меню можно разблокировать панель управления и раболчий стол
Комментарий от Дари [ 13 февраля, 2011, 23:30 ]

подхватила такой же блокиратор,помогите разблокировать!
ни на одном сайте антивируса кода нет(
текст 400 на номер 3116
Комментарий от Дари [ 13 февраля, 2011, 23:33 ]

помогите разблокировать бук
требуют код но ни один сайт антивируса непомог.
код 400 номер 3116
Комментарий от женя [ 15 февраля, 2011, 16:55 ]

У меня такая же заставка,только без “ВНИМАНЕ!” и смс с текстом 400 и номером 3116. коды для вашего бана не подошли. ни на одном сайте антивирусных кодов нет.Помогите!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Комментарий от ильюша [ 16 февраля, 2011, 08:30 ]

и у мну так же
Комментарий от юрий [ 16 февраля, 2011, 19:42 ]

в деспетчере ничего похожего не нашел. в компе не шарю, че делать то???
Комментарий от Ромы4 [ 19 февраля, 2011, 09:02 ]

тоже вылезло отправь СМС с кодом 400 на номер 3116,а на английский комп не переключается че делать((((( люди помогите пожалуйста!!!жду ответа на E-mail,заранее спасибо за помощь!!!!
Комментарий от Ромы4 [ 19 февраля, 2011, 09:04 ]

кстати мой E-mail: romik.858@mail.ru
Комментарий от Александр [ 19 февраля, 2011, 20:11 ]

Принесли Бук с баннером 400 на номер 3116.
Он стал администратором и заблокировал редактирование реестра.
В безопасном режиме баннер не пропадал
В безопасном режиме с поддержкой командной строки ключ regedit был заблокирован.
Решение (подходит для практически всех) “проверил на разных баннерах”
1. подготовит флешку с тотлкомандером (использовал 7.55)
2. Загрузить систему в безопасном режиме с поддержкой командной строки.
3. Ввести ключ gpedit.msc (редактор локальной групповой политики)
4. Открыть Конфигурация компьютера\конфигурация виндовс\сценарии (запуска/завершения)\Автозагрузка
– В появившемся всплывающем окне (нижний левый угол) есть надпись “Показать файлы”
– Нажав на кнопку “Показать файлы” откроется проводник.
– в этом проводнике открыть подготовленную нами ранее флешку с тотлкомандером и установить его (если его нет в системе).
5. Запустить тотлкомандер.
6. В тотлкомандере (верхняя панель) открыть редактор реестра (он будет НЕ заблокирован и включится)
7. В редакторе реестра открыть:
– HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
– Затем посмотрите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit – C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.
8. Запоминаем (записываем) то что было там написано вместо положенного (имя файла с расширением .exe и возможно .dll)
9. Находим этои (эти) файлы в папке виндовс и удаляем их.
10. перезагружаем комп и радуемся!
P.S. в компах профан по этому такое мудреное решение.. Специалисты отредактируйте чтоб было понятней!
Комментарий от Дмитрий-Админ [ 21 февраля, 2011, 16:14 ]

Привет всем у кого проблеммы в контакте проводятся технические работы,не открываеться просит отправить смс ,ошибка 404,белая страница,сервер не найден ,пишем мне в аську все решаю ICQ: 626-845-618
Комментарий от Alex [ 21 февраля, 2011, 18:01 ]

Удалите все тэмпы! помогает иногда

C:\Documents and Settings\пользователь\Local Settings\Temp
Комментарий от Алёна [ 28 февраля, 2011, 10:21 ]

У меня текст тот же, только в этот раз всё гораздо интереснее! меню Пуск нет, только белый экран, на нем в левом углу щит с совой и подпись Минестерство внутренних дел, внизу красуются логотипы Микрософт и Касперского!
и номер меняется каждый раз!
вчера был 79091566641 500
а сегодня уже 79091562369 500

Звонила в Билайн, спросила номер телефона фирмы, предоставляющей услуги по номеру 3116
Ответила там дЭвушка? что она ничего не знает, что это мошенники, деньги переводить не надо, ищите сами в интернете! Это денежный перевод – договор оферты у них, видите ли! Сказала, что антивирус надо менять! А звонить интернет-провайдеру надо, а не им!
Овца, блин! Понабирали по объявлению, а мне теперь мучайся тут!
И куда теперь трезвонить?! в Билайн? Интернет провайдеру?!
Комментарий от Алёна [ 28 февраля, 2011, 10:23 ]

to Alex
Заходила через Macintosh – не удаляет Temp ВООБЩЕ! не знаю почему! просто выдаёт ошибку и всё тут!
Чудеса какие-то!
с теми, что висят окошком гораздо легче! чем с этими плакатами на весь монитор!(((
Комментарий от Светлана [ 1 марта, 2011, 19:00 ]

Алена напиши как избавилась от банера! У касперского пока кода нет((
Комментарий от Вадим [ 10 марта, 2011, 11:40 ]

Удалось запустить диспетчер задач, зайдя под другой учёткой, а через него и редактор реестра запустил, смотрю здесь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. всё вроде ок, повнимательнее пригляделся, значение параметра Shell должно быть Explorer.exe, а там Explore.exe , одну букву поменяли с.ки, сделал как должно быть и удалил заразу, всё заработало
Комментарий от Алексей [ 14 марта, 2011, 00:28 ]

Комментарий от Александр [ Февраль 19, 2011, 20:11 ]-спасибо работает!!!! Все получилось!!!! Всем советую
попробовать!!!
Комментарий от Дмитрий-Админ [ 21 марта, 2011, 00:08 ]

//////Привет всем у кого проблеммы в контакте проводятся технические работы,не открываеться просит отправить смс ,ошибка 404,белая страница,сервер не найден ,пишем мне в аську все решаю ICQ: 626-845-618
Комментарий от vera [ 29 марта, 2011, 19:33 ]

если вы абонент билайн,отправьте смс с текстом 79602559077,на номер 3116.. в ответном сообщении подтвердите ваш платеж.После оплаты,в ответном смс придет код доступа к системe, помогите
Комментарий от Дмитрий-Админ [ 31 марта, 2011, 13:18 ]

Не открывается ВКОНТАКТЕ.
Активация Вконтакте по СМС.
SMS активация vkontakte
Удалить БАННЕР – ЗАПРОС АКТИВАЦИИ.
Как убрать баннер.
…..Не открывается сайт odnoklassniki.ru
НЕ ОТКРЫВАЕТСЯ САЙТ vkontakte.ru
Не открывается Yandex – Google.
mail.ru – yandex.ru.
Помогу вернуть украденные акуанты соц.сетей
Обращаемся сюда
ICQ: 626-845-618
Комментарий от Дмитрий-Админ [ 2 апреля, 2011, 22:06 ]

Не открывается ВКОНТАКТЕ.
Активация Вконтакте по СМС.
SMS активация vkontakte
Удалить БАННЕР – ЗАПРОС АКТИВАЦИИ.
Как убрать баннер.
hhНе открывается сайт odnoklassniki.ru
НЕ ОТКРЫВАЕТСЯ САЙТ vkontakte.ru
Не открывается Yandex – Google.
mail.ru – yandex.ru.
Помогу вернуть украденные акуанты соц.сетей
Обращаемся сюда
ICQ: 626-845-618
Комментарий от Дмитрий-Админ [ 7 апреля, 2011, 23:30 ]

Вот номера и коды которые я уже снимал .
На эти номера код 77294738T или 720194320Q

89030064850
89030064674
89030064740
89030064820
89030064383
89030064604
89030139823
89030139997
89030065460
89030060937
89030060784
89030065390
89030065267
89030065384
89030064258
89030065124
89030065099
89030064972
89030065042
89030064960
89030143148
89030139688
89030065927
89030065859
89030065674
89030065487
89030065506
89030065560
89030065742
89030065563
89030065593
89030065697
89030132891
89030065708
89030065475
89030064534
89030065483
89030065991
89030065568
89030066228
89030066248
89030066037
89030066067
89030132881
89030132762
89030066128
89030066042
89030161819
89030066328
89030160904

На эти код ZU092784

89654029299
89654029324
89654028139
89654029310
89654029335
Конт+Алт+Дел тоже иногда выручает.)

Для этих код !48950345!

89652269849
89652404423
89652404438
89652404456
89652824126
89652824158
89652824164
89652824187
89652824603
89652824612
89652824721
89653473491
89653617556
89653617558
89653617559
89653625372
89653625378
89653625437
89653625462
89653625481
89653625482
89653625484
89653625489
89653625502
89653662608
89653662609
89653662610
89653662758
89653662762
89653662764
89653662765
89653662788
89653662790
89653662791
89653662792
89653662796
89653662801
89653662803
89653662832
89653662857

Новый умный блокер меняет серетный код ,при вводе быть внимательным и не ошибаться.
89636614370
89636617993
89651351575
89636618539
89636614372
89636632171
89653773584
89653773633
89636614148
89636614524
89636614505
89036726344

код:90650231
Комментарий от тинка [ 20 апреля, 2011, 16:14 ]

у меня нетбук асус, воспользовалась советом по поводу режима с поддержкой командной строки. нашла винлогон, переписала юзеринит и шелл. итог – ни в каком из режимов \9опасны, безопасных и прочая) не открывается учётная запись. я нажимаю на значок меня, чтобы войти как обычно – система пишет: “загружаюсь…” потом вдруг “сохранение параметров…” и вот я снова на странице входа в учётки.
да, я не умею всем этим пользоваться и лучше бы мне и не лезть было в командную строку.
возможно, кто-нибудь может подсказать, как исправить то, что я напортачила?
заранее благодарна
Комментарий от Катя [ 21 апреля, 2011, 10:27 ]

Как убрать банер если просят отправить SMS с числами 4527863 на номер 1121
Комментарий от Катя [ 21 апреля, 2011, 10:30 ]

с числами 45277440 на номер1121
Комментарий от Олег [ 27 апреля, 2011, 21:57 ]

Не могу подобрать код ни у Касперского ,ни у ВЕБа. ПРосят отправить на номер 3116 SMS “bee 9621940857 400” Что делать?
Комментарий от Геннадий [ 27 мая, 2011, 20:35 ]

Почитал тут методы лечения такой гадости, да вобщем так я и делал обычно, меняешь параметры Shell и userinit.exe, соответственно загружаясь предварительно WinRe, все прокатывала на ура. Сегодня сталкнулся с такой ситуацией, все как обычно заблокирован экран просят денюжку, иду тем же путем :гружусь с диска правлю параметр Shell на правильную запись, перед этим глянув путь где лежить экзешник вирусни, грохую сам вирусняк, прописываю Explorer exe, перегружаюсь ОПС опять экран блокирован, гружусь снова с диска ветка параметр Shell снова с записью прогрузки вируса и экзешниксамого вируса на месте. Вот такие чудеса! Кто может сталкивался, меня интересует куда же эта гадость еще прописывает резерв и какой параметр менят если в момент загрузки она вновь меняет запись в реесте,а перед этим видимо успевает распокавать на прежнее место саму программу вируса. Заранее благодарен за высказанные соображения!
Комментарий от Инна [ 28 июля, 2011, 17:28 ]

Очень большое спасибо за подсказку … У меня calc сидел в параметре Shell. Два дня мучалась , искала паразита, и … все таки убила. Очень рада. Без вас бы не сумела ))))) Спасибо !

Написать комментарий

Поиск по сайту

Статистика

Мета
  Разработка и дизайн — StvPromo.ru