Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Windows заблокирован!

Автор: YikxX
Дата сообщения: 12.02.2010 09:53
Работает старый как мир принцип:
"Покуда есть на свете дураки,
Обманом жить нам, стало быть, с руки."
Автор: NaxAlex
Дата сообщения: 12.02.2010 09:54

Цитата:
После того как деятельность SMS-мошенников стала достоянием гласности, все операторы "большой тройки" тут же отчитались о мерах, предпринимаемых для борьбы с подобными фактами. "В среду (27 января. - "Профиль") мы включили дополнительную защиту от мошенничества по коротким номерам. Теперь абоненту перед списанием средств будет приходить SMS с предложением подтвердить свое желание воспользоваться услугой и достоверная информация о ее стоимости", - рассказала пресс-секретарь МТС Ирина Осадчая. Данный фильтр был установлен на 14 коротких номерах, которые чаще всего звучали в жалобах абонентов. Помимо этого каждый из "засветившихся" с мошенническими номерами контент-провайдеров был оштрафован на сумму порядка 10 млн рублей

дык я так понимаю большая тройка ничего не имели с этих смс)))
Автор: YikxX
Дата сообщения: 12.02.2010 10:33
ynbIpb В Авиру заслал. Спасибо.
Автор: komaagert
Дата сообщения: 12.02.2010 14:00
ESET видит и убивает сразу
Автор: Krusificio
Дата сообщения: 12.02.2010 14:25
Neon2

Цитата:
Krusificio, скачиваешь и распаковываешь на жёсткий диск AVZ, потом загружаешься с харда и через Диспетчер задач запускаешь его и меню Файл - Восстановление системы.


Большое спасибо за дельный совет. Систему удалось реанимировать.



Автор: Neon2
Дата сообщения: 12.02.2010 17:08
Свежеотловленный зверик попавший на клиентский комп утром не взирая на касперыча со свежими базами. Пароль на архив: "virus". А вот его требование выкупа:


Автор: IvANANvI
Дата сообщения: 12.02.2010 19:45
Кстати действительно заметно, что вирусописатели данного типа по-притаились.
Автор: hohkn
Дата сообщения: 13.02.2010 07:16

Цитата:
Кстати действительно заметно, что вирусописатели данного типа по-притаились.

Интересно, надолго ли? Все-равно придумают другой способ отбора денег и развода лохов.
Автор: Prozhector
Дата сообщения: 13.02.2010 16:05

Цитата:
Свежеотловленный зверик попавший на клиентский комп утром не взирая на касперыча со свежими базами. Пароль на архив: "virus". А вот его требование выкупа:

Режется на ура, слабенький троянчик
Не режется редактор реестра, поэтому убрать его из автозагрузки как нефиг делать

Добавлено:
Сидит в HKLM/Software/Microsoft/Windows/CurrentVersion/Run в параметре PC Health (можно смело удалять)
Также выставляет ручной IP в сет.подключениях, можно сбрасывать на свои настройки

Добавлено:
остается только почистить следы

Добавлено:
и просканировать антивирусами
Автор: YikxX
Дата сообщения: 13.02.2010 19:42
Так радоваться надо, что не подхватили что-то типа eKAV 2 ("Internet Security") - вот это действительно матерый вирь.
Автор: Prozhector
Дата сообщения: 13.02.2010 19:56
я как раз его и ищу, чтоб на виртуалке поглядеть как бороться
Автор: YikxX
Дата сообщения: 14.02.2010 00:53
Prozhector Вряд ли найдете - тело после запуска уничтожается, а вирус цепляется к какому-нибудь шрифту или курсору через NTFS-поток. Как его оттуда достать, я например не знаю.
Автор: NaxAlex
Дата сообщения: 14.02.2010 05:17
YikxX
ADSSpy.exe в помощь...
Автор: 01pump
Дата сообщения: 14.02.2010 10:54

Цитата:
ADSSpy.exe в помощь...


Добавлю: пользовать Adss можно и из-под LiveCD для надежности.
Автор: ynbIpb
Дата сообщения: 14.02.2010 21:06

Цитата:
Свежеотловленный зверик попавший на клиентский комп утром не взирая на касперыча со свежими базами. Пароль на архив: "virus". А вот его требование выкупа:

Сегодня ходил на вызов, такой же зверик попался.
Экспериментировал прогой process killer со злого форума, палит его в папке темп, убивает, через 3 сек по новой появляется. его страхует какойто запасной процесс.
Но после вычистки папки темп и правки ключа реестра всё стало ОК. AVZ нашёл что перебиты расширения *.reg, хз от него это было или нет.
Также рядом лежали батники с содержимым:
ping -n 2 127.0.0.1
del C:\WINDOWS\Temp\UTT7C2~1.EXE
и
ping -n 2 127.0.0.1
del C:\PROGRA~1\uTorrent\uTorrent.exe
и
ping -n 2 127.0.0.1
del C:\WINDOWS\Temp\UTTA0T~1.EXE
Ваще не пойму к чему это...
Четвёртый батник появлялся при убиении окна, запускал его и сразу ликвидировался.
Автор: IvANANvI
Дата сообщения: 18.02.2010 14:23
Да рано порадовался затишью.
Новый шквал блокираторов. До сих пор справлялся лечением по телефону подбором кода
RansomHide
кстати база самая полная в отличие от Сайтов антивирусов

СМС на номер 5121
текст 6625022
подошел код
как для всех 66250xx

Банер удаляется, но после лечения с зависанием загрузка компьютера останавливается на экране входа, без появления рабочего стола. Требуется восстановления ключа запуска эксплорера скорее всего. Тоже поеду долечивать.

ни в одной базе:
СМС на номер 8353 с текстом 3236336
поеду лечить руками.
Автор: K45
Дата сообщения: 19.02.2010 10:28

Цитата:
ни в одной базе:
СМС на номер 8353 с текстом 3236336
поеду лечить руками.


Код разблокировки: 2047692
Автор: IvANANvI
Дата сообщения: 19.02.2010 15:18
Спасибо K45. (Ваш код кстати как для теста 144122) Не попробовал, поскольку это была просто надстройка к IE (media module). Убрал без проблем; по телефону тоже смог бы объяснить, но должным образом не представили информацию.

Ну, а в случае с

Цитата:
СМС на номер 5121
текст 6625022
подошел код
как для всех 66250xx

Банер удаляется, но после лечения с зависанием загрузка компьютера останавливается на экране входа, без появления рабочего стола. Требуется восстановления ключа запуска эксплорера скорее всего. Тоже поеду долечивать.


Банер после ввода кода удалился, а сам вирусный фал нет. Вирус уже не раз пойманный user32.exe в системной папке, также создающий свои копии под названием MD.exe в корне каждого диска и autorun.inf впридачу.
Автор: TuristT
Дата сообщения: 20.02.2010 11:11
СМС на номер 1350 с текстом 1311

В базах нигде нет. Может кому попадался код разблокировки?
Автор: NaxAlex
Дата сообщения: 20.02.2010 12:08
TuristT
часто бывает код подходит например для 1350 но текст немного другой...
Автор: niyaz007
Дата сообщения: 20.02.2010 15:49
вот зараза... тоже текст 1311 на номер 1350... ни в одной базе нет
одна надежда на ransomhide
Автор: TuristT
Дата сообщения: 20.02.2010 17:36
NaxAlex, всё перепробовал, ничего не подходит.
Написал провайдеру ихнему. Но они, походу, в выходные не работают.

niyaz007, ransomhide всего лишь офлайн база.
Автор: ynbIpb
Дата сообщения: 20.02.2010 19:27
А почему вы надеетесь только на коды? Афтор тупо мог не реализовать этот функционал.
Я ни разу не использовал коды в убиении зверьков, всё ручками.
Автор: NaxAlex
Дата сообщения: 21.02.2010 06:02

Цитата:
Я ни разу не использовал коды в убиении зверьков, всё ручками.

с кодом немного проще, если когда нет, тогда да, ручками...
Автор: Viksen
Дата сообщения: 21.02.2010 23:19
Свеженький зверёк FlashPlayer 5.0 r30, не распознаётся DrWeb'ом
пароль на архив: virus
Автор: Kjyljy
Дата сообщения: 23.02.2010 18:18
Помогите!Срочно!только что подобрал пароль для вируса требующий отправки смс,он закрылся, теперь могу зайти в винду...
Но у меня не работает диспетчер задач,реестр не открываеться через команду Выполнить странная папка на дисках System Volume Information,а также папка RECYCLER, и странный скрытый пользователь появился Default User.
СКАЖИТЕ ЧТО МНЕ ДЕЛАТЬ,КАК ВЫЛЕЧИТЬ КОМП ПОСЛЕ ТАКОГО ВИРУСА?КАК УБРАТЬ ВСЕ ХВОСТЫ?!!!!
Автор: Vigorous
Дата сообщения: 23.02.2010 18:22
Kjyljy

Цитата:
папки:
System Volume Information
RECYCLER

и пользователь
Default User

есть у всех это нормально.


Добавлено:

Цитата:
КАК ВЫЛЕЧИТЬ КОМП ПОСЛЕ ТАКОГО ВИРУСА

Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.
Автор: nevermindiwwe
Дата сообщения: 23.02.2010 19:23
надыбал случайно ещё один метод борьбы с вирусным окном поверх других: если подключить дополнительный монитор, то в нём можно вполне спокойно работать, когда на первом вирус находится поверх всех остальных
Автор: tahirg
Дата сообщения: 24.02.2010 06:59
nevermindiwwe
клёва..всем вторые моники дают впридачу при покупке одного?
Автор: IvANANvI
Дата сообщения: 24.02.2010 08:48
Kjyljy Походу вирус помимо блокировки некоторых ключей в реестре, теперь включает еще показ скрытых файлов - тем самым вводя новичков в ступор при виде большого количества не знакомых им скрытых папок и файлов.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115

Предыдущая тема: "svchost.exe... память не может быть "read"&q


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.