» Windows заблокирован!

СМС на номер 1350 с текстом 1311
Вводите код: 516500

Код прислали из техподдержки, правда проверить его не удалось, своими силами справились.

эх ма...
уже пионэры локеры раздают



http://www.virustotal.com/ru/analisis/213e0e94d7403443b9d8f0f8aff96085388a3d2ed7552ce74bd43411cb992679-1267022859

где взяли незнаю

Цитата:

эх ма...
уже пионэры локеры раздают

Интересно, а есть ли зарубежные аналоги этой напасти? Или всё лучшее нам, как обычно.

ЗА бугром наверное такой беспредел не допустят. там давно бы оштрафовали самого оператора. который короткий номер предоставляет.

Мне тоже интересно как же буржуи борются с этим напастьем, ведь до них тоже доходят эти же самые вирусы. Или они в основном распространяются через наши социальные сайты?

Добавлено:
Для номера 9691 и теста 6300318724 подошел код 9691, как для текста 6300380823!

Многие винлокеры определяют локаль системы и на нерусской не стартуют.

ynbIpb
вот и выход:
учим язык и пользуемся ангельской версией...

Второй месяц слежу за этой темой! Спасибо всем участникам- не раз выручали! Для себя определил следующий набор, который в обязательном порядке ставлю юзерам, дабы предотвратить эту пакость: Это Firefox +дополнения- Wot+ Adblock+ Noscript, может кто раскритикует? или предложит чтото ещё?
И всё же считаю что самый действенный метод,- это работа в интернете из под Пользователя, но к сожалению не всегда это подходит.

Ioanne
самый действенный - не жать куда попало...

Цитата:

самый действенный - не жать куда попало...

Согласен! Но к сожалению 90% пользователей несмотря на всевозможные предупреждения всё же лазают на сомнительные сайты.
И как сказано было ранее

Цитата:

"Покуда есть на свете дураки,
Обманом жить нам, стало быть, с руки."

Вылечивая эту пакость

Какойто процент заражённых цепляют по причине не обновлённых браузеров и плагинов, тоесть через эксплоиты.
Но большинство настолько глупы, что собственоручно скачивают и запускают тело, на них и подробатываем.
Есть у меня одна семейка, так я там раз 5 уже побывал. Каждый раз новая разновидность винлокера.
Так, что Покуда есть на свете дураки...

Цитата:

Так, что Покуда есть на свете дураки...

Пока живут на свете хвастуны...
Никто не застрахован от винлоков, обвинять надо тех, кто их стряпает, и тех, кто этих стряпух покрывает...

Добавлено:

Цитата:

Но к сожалению 90% пользователей несмотря на всевозможные предупреждения всё же лазают на сомнительные сайты.

Так вся прелесть интернета - в этих сомнительных сайтах!
А сам винлок не так уж и страшен, как его малюют. Все, что я видел, удаляются шаблонным способом, описанным в теме не раз.
СМС-ки только не надо с перепугу слать.

Нашёл единственное подходящее решение обезопаситься от методов проникновения Без участия глупого юзера, тоесть через баги в браузере. Как известно люди неохотно соглашаются сидеть в ограниченных учётках, так как им не хватает свободы, по этому пусть не юзер, а браузер сидит в ограниченной. Активируем учётку гостя и вот простенький Loader:

Код: $sUserName = "Гость"
$sPassword = ""
$opera = @ScriptDir & "\opera.exe"
If FileExists ($opera) Then
RunAs ($sUserName, @ComputerName, $sPassword, 1, $opera)
EndIf

хм, прикольно, надо попробовать..

Помогите!
Такая-же история как в посте на стр.36(четвертый снизу).
В реестре нашел путь к файлу, все это прибил.
В реестре исправляю shell на нужный путь к explorer.exe, но после перезагрузки какая-то сволочь исправляет реестр опять на тот файл.
Прогонял чем только мог, ничего не помгает.
Работает только в безопасном режиме с поддержкой командной строки.

Igoraaa
http://www.freedrweb.com/cureit/

Видимо это новая модификация, теперь со страхующим собратом селится на комп.
Попробуй в тоже безопасном режиме запустить AVZ и посмотреть автозапуск от туда, может обнаружишь ещё что-то. сделай чистку через AVZ и Поиск проблем.

CUREIT пробовал, ничего не находит.
AVZ тоже, только пишет, что ключ модифицирован, а кем неизвестно.
Hijack запускал, но на мой взгляд ничего подозрительного там не увидел, убил несколько ключей на несуществующие программы.
Ставил винт на другой комп и прогонял его Avast тоже ничего.
Чем бы его проверить, чтобы до загрузки системы?

Igoraaa

Цитата:

CUREIT пробовал, ничего не находит.

свежим?
и полную проверку?

Igoraaa
Я лично всю эту хрень убивал так: Загружался с Live CD удалял все содержимое всех папок Temp, а также находил все файлы по дате модификации в день когда был подхвачен вирус ну плюс минус пару дней и из этих файлов сразу видно все подозрительные, они имеют как правило "странные названия"(в глаза сразу бросаются) , все подозрительное удалял, после чистил реестр, все работало без проблем.

Вчерашний Cureit ничего не нашел, сейчас поставил сегодняшним проверять.
Все temp почистил, по дате смотрел, было несколько непонятных файлов, были парочку с нулевым размером, все удалил.
Залетело эта штука 1 марта.

Igoraaa
Как правило файлы с непонятными названиями должны быть прописаны и в автозагрузке, если там что-то подобное встречается, то нужно отключить. После этого винда должна нормально заработать, ну конечно еще нужно будет AVZ сделать восстановление, там есть такая возможность, думаю все должно решиться

[q][/q]

Имею - Win7 Professional + R2 Server. Получил подобное сообщение - зашел с сервера - чисто. Пропустил по всему компу Avast - нашел штук 5 троянов и все. под семеркой таже песня - дайте денег. Восстановился со вчерашней контрольной точки и все в порядке - после этого произвел зачистку на мусор и трояны. Больше гадость не всплывает.

Изловил сегодня свежачок. Вроде бы ничего примечательного: обычный файл, обычная прописка в автозагрузку, лечится элементарно. Поиск по базам паролей даёт ответы, но ни один из них не срабатывает, возможно он вообще не разблокируется таким способом вообще. Примечательно то, что состоянием на сегодня ни один из нормальных антивирусов за исключением нод32 его не видит.
http://ifolder.ru/16766033 (пароль на архив infected)

nevermindiwwe

Цитата:

Примечательно то, что состоянием на сегодня ни один из нормальных антивирусов за исключением нод32 его не видит.

скачал твой файлик-мой каспер вроде видит его

09.03.2010 22:28:16    Удалено    троянская программа Trojan-Ransom.Win32.PornoBlocker.mq    D:\DOWNLOAD\faf455369a139f7c38a3530a2eb4df60.avi(2)\faf455369a139f7c38a3530a2eb4df60.avi(2).exe.XXX        

Цитата:

скачал твой файлик-мой каспер вроде видит его

Аналогично и Авира.

к ночи - уже да, все кроме докторвеба его уже знали. кстати докторвеб до сих пор (!!!) его не видит, несмотря на то, что я его им выслал на анализ уже как 2 дня назад. позор!!!

Igoraaa
Попробуй поискать в корне разделов винта скрытый файлик autorun.inf
Ну и удалить его и то, что он запускает. Подобным образом работает вот эта хрень.

После появления порно-банера на рабочем столе, когда выставляю в биосе загрузку с CD\DVD, загружаю системный диск (или Acronis), а в ответ "DISCBOOT FAILURE, INSERT SISTEM DISC". Это вирус или что-то с железом? Банер я удалил, а дефект остался. Подскажите пожалуйста где почитать?