» Windows заблокирован!

mudag100500
спасибо за трюк со сменой даты,
как я сам не додумался до этого.

часто приходится лечить по телефону (дистанционно)
поэтому ЛайвСД отпадает, не те пользователи.

У меня спор возник, подскажите пожалуйста, где можно поймать данную заразу ?))))

mudag100500

Цитата:

У меня спор возник, подскажите пожалуйста, где можно поймать данную заразу ?))))

В инете появился тип рекламы описанный на proti"з"er.ru
Баннер обходит и блокировку всплывающих окон и фаервол влегкую а принажатии закрыть вылезает какой нибудь порно сайт - опять же обходя блокировку файером = по словам, по линкам и т.п.
Ну и оттуда вся эта хрень и лезет.

Появилась новая разновидность пример таков
windows заблокирован
для разблокировки необходимо отправить sms с текстом
t7010620006 на номер 3649
введите полученный код
Все это на черном фоне....
Дак вот старые методы не помогут изменилось и название файла и расширение и место нахождение...
Для избавления такой фигни грузимся с LiveCD и полностью чистим папки
c:\Documents and Settings\*имя пользователя*\Local Settings\Temp\
и
c:\Documents and Settings\*имя пользователя*\Local Settings\Temporary Internet Files\
и после перезагружаем
потом заходим
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
находим там "Userinit"
и оставляем только "C:\\WINDOWS\\system32\\userinit.exe" без ковычек естественно

Да и меньше ползайте по порносайтам, я лично задолбался уже по городу ездить и эту хрень друзьям убирать.. Все словили с порно-рекламы, любобытные мать их...

Добавлено:
Ребята еще круче темка для вас
http://habrahabr.ru/blogs/i_am_clever/56923/
Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей...
Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
Далее достаточно посмотреть ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре и проблем как ни бывало...
Ну вот давайте дерзайте робяты всё для вас...

Цитата:

Этот вирь можно поймать на порно-сайтах под видом видео-кодека,
за последние сутки он "неплохо" модифицировался.Вот сам вирь , пароль ru-board
http://narod.ru/disk/7738580000/xvidDecoder60.rar.html

Только что просканировал .exe Avira Free 9 c последними обновлениями,
вирус не найден. Запускать твой xvidDecoder60.exe не охота.

Кто детектил Авирой этот вирус, просьба проверить файл с narod.

Ооо щас я его по своей сети пущу 8)))) Пусть гадкаются.... 8)))))) Все равно за мной прибегуд....

Добавлено:
Продетектил KAV8 тож нифига не нашел щас я его запущу на подопытном....

mylittlebrain, чего его детектить одним антивирем? Вот тебе отчёт по нему с VirusTotal-а.

Вообщем касперский мочит этот кодек без каких либо предупреждений, отключик каспера запустил, ждал ждал через несколько минут получил 8))) Черный экран с Windows заблокирован. Нормальный вирек такой а главное почти безобидный...

Добавлено:
Правда этот вирь старого образца, со старым окошком, этот можно генератом DR.Web вскрыть а у мну поновей был на полностью черном экране...

Цитата:

В инете появился тип рекламы описанный на proti"з"er.ru
Баннер обходит и блокировку всплывающих окон и фаервол влегкую а принажатии закрыть вылезает какой нибудь порно сайт - опять же обходя блокировку файером = по словам, по линкам и т.п.
Ну и оттуда вся эта хрень и лезет.

Цитата:

denverd666
Да и меньше ползайте по порносайтам, я лично задолбался уже по городу ездить и эту хрень друзьям убирать.. Все словили с порно-рекламы, любобытные мать их...

Я ж и говорю что данный тип рекламного баннера сам впаривает тебе порно сайт так что хошь-нехош а сайты подгружаются. Я так и словил.
Избавился быстро но пришлось поднастроить файервол == блокировка по ссылкам, по ключевым словам.
Данный тип рекламы же появился на файлообменниках типа iFolder, ipiq.ru еще где

Так что даже если не

Цитата:

ползайть по порносайтам

все равно мона подцепить зарразу енту.
ПРИМИТЕ К СВЕДЕНИЮ

Neon2
Судя по отчету, Авира обезвреживает.
Но моя 9-ка с последними обновками его не детектит.

Метод найденный мной вчера, сегодня прочитал у denverd666
Словили вирус родители вчера с утреца, новости почитать любят, а там и видеоролики тоже есть, им было предложено установить какую то хрень, типо на вашем компе не проигрывается данный тип видео, установите кодек вот и поймали, пришлось вечер потратить на чистку...
Поэтому 20.04.2009 вечерком выкачивал CureIt! (состояние на 20.04.2009 15:36), он молчком проходил мимо Documents and Settings, хотя как и чуял зараза пряталась там...
clrav и klwk от каспера тоже скромненько топтались по диску...
поползав по Temp в Local Settings мне не понравились файлы с названиями nodXXX.tmp (XXX - разные буковки, но начало имени файла именно nod было... шифруется падла)...
На всякий пожарный Prefetch почистил. После перезагрузки попрошайка исчезла, в реестре по ветке Winlogon конечно оставался след, про чистку данной ветки описано выше многократно...

Появилось типа того окно с надписью Windows заблокирован, только красное ( трюк с сейф-модом не погмог, там тоже ента красная морда. Вот сейчас сканю с помощью ливсд от др.веба - посмотрим. Пробовал перекрутить дату на сутки вперёд - опять же не прокатило.

kaskad
Хозяин вируса, похоже то-же читает форум и делает свои выводы.
(их бы энергию, да на полезные дела)

вот вопрос про live cd на старом Zvere ,помоему была возможность зайти в системный реестр,а вот новогодний live cd что то не нашел,но кто то писал не помню здесь или нет как зайти загрузившись с диска в Regedit чтоб эту заразу подчистить в ветке Winlogon.

Запускаешь regedit с live cd. Открываешь раздел HKEY_LOCAL_MACHINE. В меню файл выбери пункт "Load Hive" (на русском кажется загрузить куст) открываешь файл со своего диска system32\config\software имя ветки для подключения можешь задать любое. Дальше разворачиваешь подключенную ветку и редактируешь.
В конце выбери "Unload Hive"

Цитата:

Появилась новая разновидность пример таков
windows заблокирован
для разблокировки необходимо отправить sms с текстом
t7010620006 на номер 3649
введите полученный код
Все это на черном фоне....

помог DrWeb http://news.drweb.com/show/?i=304&c=9&p=0

текст для sms t7590621004
подошёл код 792606

На счет порно-баннеров: фаер от sunbelt блокирует, из комплекта KIS тоже.
Comodo 3 пропускает без писка.

Камрады, эта смс-разводка только для владельцев ie ?
У меня самого mozilla и никакие кодеки она не загружает,
пока я не одобрю (поэтому не в курсе как оно инфицирует).

Работаю сисадмином - у нас многие подхватили эту фигню - с голубым окошком)) но с той проблем не возникало - процесс удушил удалённо, файлы удалил - реестр почистил - 1-2минуты работы.... пока не появился вроде бы такой-же только красным фоном... вот тут-то и пришлось попотеть! Объясню - программы удалённого администрирования работают через WMI а этот неГАДяй частично блокирует WMI сервис и хоть я и с админскими правами щемлюсь - он меня нафиг посылает О_о ну тут мы на него обиделись - и сели вспоминать VBS)
результат
первый скриптик покажет список процессов:

strComputer = InputBox("Enter computer Name or IP-address")
On Error Resume Next
Set objService=GetObject("winmgmts:{impersonationLevel=impersonate}!\\"&strComputer&"\root\CIMV2")
If Err.Number <> 0 Then
    WScript.Echo Err.Number & ": " & Err.Description
    WScript.Quit
End If
strA=""
intB=0
For Each objProc In objService.ExecQuery("SELECT * FROM Win32_Process")
    intB=objProc.ProcessId
    strA=strA & objProc.Caption & ":" & intB & " "
Next
WScript.Echo strA

второй придушит процесс который вам не понравится:

strComputer = InputBox("Enter computer Name")
strDomain = InputBox("Enter domain")
strUser = InputBox("Enter user name")
strPassword = InputBox("Enter password")
strP = InputBox("Enter process")
Set objSWbemLocator = CreateObject("WbemScripting.SWbemLocator")
Set objWMIService = objSWbemLocator.ConnectServer(strComputer, _
"root\CIMV2", _
strUser, _
strPassword, _
"MS_409", _
"ntlmdomain:" + strDomain)
Set colProcessList = objWMIService.ExecQuery ("SELECT * FROM Win32_Process WHERE Name = '"&strP&"'")
For Each objProcess in colProcessList
objProcess.Terminate(0)
Next

удушили процесс - спокойно удаляете файлики - лезете в реестр - чистите там винлогон - и всё)
ну это так - можт кому из сисадминов пригодится)) у нас просто есть компы которые находятся за 10-30км от нас... и из-за одного виря ехать как-то неохота)

Potapka
а у тебя шо все юзвери локальные админы?
эта хрень пишет в ветку локал машин - а юзер без админских прав не может вносить изменения в эту ветку.

Potapka

Цитата:

процесс удушил удалённо, файлы удалил - реестр почистил

А какими средствами администрирования? У меня просто нет домена, например, и как так ловко удушить - чего-то не допру ( Тупо коннектимся с помощью VNC

kaskad
Второй скрипт и прибивает процесс на компьютере у пользователя. Это скрипты для управления компьютером посредством WMI, домен для них не нужен (хотя с ним проще).
Достаточно что бы был административный доступ к удаленному компу.
Запускаешь скрипт вводишь имя процесса. После завершения лезешь на админскую шару C$ удаляешь файлы и удаленно чистишь реестр.

Добавлено:
Potapka
Очень хорошее решение, особенно если сеть большая

Кстати, парадокс, генератор по сцылке на сайт дрвеба выдал мне ПРАВИЛЬНЫЙ код ответа, чтобы убить красномордого ГАДа ) Потом уже антивирем просканил в сейф-моде и добил его.

Генератор, напоминаю, тут http://news.drweb.com/show/?i=304&c=9&p=0

Но не забываем потом посмотреть раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и меняем значение параметра "Userinit"
с "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe (тут может быть прописан ещё какой-нить файл, его нужно будет удалить нафик с харда)" на "C:\\WINDOWS\\system32\\userinit.exe", если оно там осталось

Видимо, в вебе генератор дополняют потихоньку новыми кодами ответа.

zvAndrey
А можно для меня и остальных тупых по шагам? Не в курсе, как запустить ентот скрипт, уж простите (

kaskad
Копируешь скрипт в файл с расширением vbs и запускаешь его:
wscript filename.vbs
Для первого скрипта перед запуском, если нет домена, зайди на административную шару удаленного компьютера, это аутентифицирует тебя на удаленном компьютере и тогда можешь запускать скрипт.
Для второго вводишь имя компьютера или его адрес, вместо домена (если его нет) тоже имя компьютера или его адрес, имя локального админа, его пароль и имя процесса который нужно убить.

да уж понаписали ,завтра на свежую голову буду красного мочить , хорошо что сразу не стал винду переставлять

генратор на сайте доктора рулит , осталось почистить все

Нда, парадокс, но как раз-таки на красномордого гада генератор на сайте ДрВеба не действует. Пишет "неверный код".

Кто еще опробовал методом нехирургического вмешательства исправить положение?

Кстати, еще в копилку вирусоцеплялок:
http://online-films.razvlekyxa.net
http://www.dsc.net.ru

Сайты онлайн просмотра кино потенциально заразны. Стоит нажать на проигрывание, как выскакивает стронний сайт!

Шедевр, а не вирус...
Главное, в каком пролете все антивирусы,
похоже, они настолько увлеклись отловом нелегальных копий и ключей
что совсем забыли про своё основное предназначение:
ловить и уничтожать вирусы, а ещё лучше не пропускать
или они в доле с вирусо-писателями ???
в последнее время только такие мысли и приходят...

north_crow
"а у тебя шо все юзвери локальные админы?
эта хрень пишет в ветку локал машин - а юзер без админских прав не может вносить изменения в эту ветку."

вообще-то скрипт служит для быстрого придушивания процесса без всякого гемора причём тут вообще реестр)) главное - придушить процесс - окошко уйдёт - и делай с ним что хочешь)

zvAndrey
"Очень хорошее решение, особенно если сеть большая"

- писался для оч. большой корпоративной сети (в коей я и работаю) с большим количеством доменов разбросаной по нескольким районам, поэтому аутентификацию на второй скрипт и написал)) я просто так выложил - чтоб другим сисадминам меньше париться)

plankton13kg

Цитата:

методом нехирургического вмешательства исправить положение?

самый не хирургический подождать 2-3 часа, сам выключится,
но у меня терпения не хватает, тем более инструменты всегда с собой.

Слишком уж вольготно стало юзерам в инете.
Не то чтобы хочется усматривать в этом теорию заговора, но манипуляция юзерским страхом за свою информацию идет основательная. Всего-то оказалось достаточно - кинуть вирус и все уже на ушах, ибо привыкли к знакомым инет сервисам и прочему.


Добавлено:
Беда в том, что инструментов-то нема
Тогда будем ждать, а потом уже с Вебом расправляться.

Если автор действительно, как здесь предполагали, читает форум. То дальше следует ожидать увеличения периода ожидания.