» Windows заблокирован!

Подобный вирус поразил и меня.
Серый экран со станадртным текстом типа от фирмы ООО "Какой то там Security" и смс с кодом на номер 1711
Вылечился загрузкой с безопасный режим и удалением файла:
%systemdir%\system32\portmap.exe
так же файлик прилепился по тому же пути sdra64.exe
в списке программ Startup этот вирь добавил ярлык на скачивание самого себя по дурости удалял сразу не смотря куда ведет а на второй машине ярлык как раз указывал на директорию в которой он расположен
нужно отключиться от сети и прошерстить реестр везде где встречается этот файл удалить.
на другом компе уже не мудрстовал а пошел по пути который любезно описал NeliyZar с экранной лупой используя утилиты от systernals - Process Explorer и Autorun поубивал portmap.exe и т.д. по стандартной схеме.

З.Ы. Live CD с касперским эту хрень не увидел нод тоже не подавал признаков жизни

вот что значит человек с любовью писал код

Цитата:

Подобный вирус поразил и меня.
Серый экран со станадртным текстом типа от фирмы ООО "Какой то там Security" и смс с кодом на номер 1711
Вылечился загрузкой с безопасный режим и удалением файла:
%systemdir%\system32\portmap.exe
так же файлик прилепился по тому же пути sdra64.exe
в списке программ Startup этот вирь добавил ярлык на скачивание самого себя по дурости удалял сразу не смотря куда ведет а на второй машине ярлык как раз указывал на директорию в которой он расположен
нужно отключиться от сети и прошерстить реестр везде где встречается этот файл удалить.
на другом компе уже не мудрстовал а пошел по пути который любезно описал NeliyZar с экранной лупой используя утилиты от systernals -  Process Explorer и Autorun поубивал portmap.exe и т.д. по стандартной схеме.

у меня повеселей - kaspersky lab antivirus online
и черный экран - просит отправить смс на 2895 за 150
говорит что надо лицензию на касперыча якобы купить, тк онлайн-касп обнаружил у меня вирус, который только эта лицензия и поможет вылечить...
таких файлов нет, так что сижу копаюсь, под hirens xp mini чего-то cureit не запускается, сейчас буду livecd drweb пробовать...

может кто знает как справится? когда я понял, что словил - вырубил всё лишнее через msconfig
однако при перезагрузке не помогло
и ещё - сразу вырубились alt-ctrl-del

kinglear
Эту дрянь легко вычислить загрузившись в LiveCD (только не Drweb ) и запустив под удаленным реестром (учеткой Администратор) утилитку avz (Исследование системы). Там по анализу этого протокола уже можно точно сказать кто где сидит . Решается за 40 минут

Цитата:

запустив  под удаленным реестром (учеткой Администратор)

можно поподробнее - как запустить удаленный реестр под livecd?
drweb ничего не нашел
avz ом попробую сейчас под livecd

kinglear
На практике с нормальным LiveCD получается так
загрузился под LiveCD:
Открываешь папку с avz в ней файл avz.exe Кликаешь по нему правой кнопкой мышки "Запустить с удаленным реестром". Далее предложат выбрать учетку реестра винды больной. Надо выбрать "Администратор". Запустится программа avz. (если не запустится -фигово надо другую LiveCD пробовать) В меню программы avz:Файл-Исследование системы. Откроется "Протокол со множеством птичек " В этом протоколе изменить "Только активные службы и драйверы " на "Все службы и драйверы". Внизу еще поставить птичку "Создать zip архив с протоколом". Запускаешь. По завершению можно просмотреть этот протокол.
Если есть желание то этот zip архив кинь на файлообменник и ссылку сюда выложи. Поглядим

ЗЫ Еще можно так же лог в hijackthis прогнать и тоже выложить.

kinglear
У меня этот гад был в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Заменил Shell со стандартного Explorer.exe на новый user32.exe
Поменял назад на Explorer.exe и убил user32.exe в system32

Вроде бы пока загружаюсь в систему нормально.

А у меня веселее - лазил по сайтам, никого не трогал - выскочила эта хрень и денег требует...

Блин, какае-то новая разновидность - выскакивает не при старте системы, а через некоторое время, пока не могу найти/вывести. Запускал Панду-онлайн, сканит, успевает найти заражённый файл и выскакивает окно. Где/чем искать? Просит СМС на номер "4460"

RIZIY, тем же AVZ не пробовал?

Просканил AVZ в безопасном режиме, каких-то шпионов пару штук она удалила - ничего не изменилось, продолжает выскакивать.

RIZIY
AVZ не поможет, это не вирь или троян. а программа вымогатель. HiJackThis вам в помощь, с его помощью проверьте автозагрузку.

Мне помогло подключение винта к другому компу (примерно равноценно загрузке с LiveCD) и удаление пары экзешников из папки documents & settings/Имя страдальца/aplication data.

Привет всем ) Собрал, похоже, все енти трояны в кучку ((( В паре случаев помог генератор от Др. Веба, разок помог пользователь форума pumpkin (честь ему и хвала!), опять попался злобный троян ( На ентот раз на сером фоне угрожает тем, что при попытке его удаления снесёт винды нафик. Плюс разводит, что у меня пиратская копия, отправьте СМС на номер ХХХХ, дабы оправдаться перед мелкософтом. Однако в сейф-мод пустил, позволил прогнать CureIT. Он наудалял кучу фалов, классифицировав их как Trojan.Winlock.19. Однако после ребута в обычном режиме - болт ( Опять, говорит, гони баблос. Вот какова метода отлова ентой гадости? В winlogon реестра не нашёл ничего нового или необычного ( Подмогните мануальчиком по поиску и устранению дряни ентой. Премного, вечно ваш )

kaskad

Цитата:

Однако после ребута в обычном режиме - болт ( Опять, говорит, гони баблос.

Похож на мой, тоже ничем не определялся - локализовал проблему отключив в msconfig в Автозагрузке всё, что запускаю не я (т.е. оставив проги, которые я ставил в загрузку) - пока больше ничего не вылазит, может потом Анвири его вычистят.

RIZIY
Интересный вариант ) Завтра же попробую с утра и отпишу.

RIZIY
В общем, отключил нафик всё в автозагрузке - опять вылетело требование баблоса ( Где он может прятаться?

Добавлено:
В общем, методом перезагрузки выяснил, что отключается не всё, один файлек постоянно заново прописывается и называется он nvcpl.exe. Упорно прописывается каждую загрузку заново. Гугль сказал, что енто безобидный драйвер NVidia. Отключал всё через msconfig - как по-другому отключить понадёжней?

kaskad, RIZIY использовал метод так называемой "чистой" загрузки для выяснения, после чего у него окно с требованием бабла появляется. Про этот метод читай здесь.

"ОС Windows заблокирован отправьте SMS 9056765 на номер 4460"
Гугль нашел, машина не моя, стоит дома, не хватает времени дойти, сам пока не пробовал,
на DrWeb нашел minDrWebLiveCD-5.0.0.iso, тоже скачал, как и остальное по нижним ссылкам
http://news.drweb.com/show/?i=304&c=5
http://forum.theabyss.ru/index.php?showtopic=200039
Кто убьет - отпишитесь, просьба
Удачи,

Здорово всем, помогите кто может. На вирусном буке хотел переустановить винду (Vista). С установочного диска WinXP SP3 отформатировал хард, но почти сразу установочная прога выдала стоп-ошибку. Приблизительно что-то вроде: у вас были вирусы и винда заблокировала вход в систему, переустановите дрова харда и контроллера. Честно говоря для меня темный лес. Подскажите что делать, заранее плиз.

Победили "ОС Windows заблокирован отправьте SMS 9056765 на номер 4460" ,
Конкретно для той машины, снят ESET NOD v.2 , дал диск - ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso - через какое- время экран черный , машина висит,
Дал Загрузочный LiveCD + ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe , не загрузилось, (DVD-ку года 3, если не больше, так и "читает" местами, HDD снимать боится, новый DVD не покупают, флешками пользуются),
Машина загружена в безопасном режиме, запущен свежий drweb/cureit/launch.exe (он по "совету" жены первым запустил Kaspersky Virus Removal Tool, который нашел 37 вирусов, но привет "отправьте SMS" не пропал)
Сразу после drweb/cureit/launch.exe ( тоже нашел кучку "радости") не перезагружаясь запущен Combo Fix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe), удален combofix /u , загружен в нормальном режиме, в автозагрузке отключено все лишнее, временно поставлен ftp://ftp.drweb.com/pub/drweb/windows/drweb-500-win.exe , запущена полная проверка, проверяет уже часа 3, привет на 700 руб "ОС Windows заблокирован отправьте SMS 9056765 на номер 4460" ликвидирован,
Всем удачи,

DiletantButch
Для начала советую скачать Acronis Disk Director Suite, записать загрузочный или взять готовый, и посмотреть, нет ли на любимом "буке" скрытого раздела
http://forum.ru-board.com/topic.cgi?forum=35&topic=20564&start=2020#lt
И как следствие посетить http://forum.ru-board.com/topic.cgi?forum=55&topic=7118&start=1440
Да и утилиты восстановления после форматирования никто не отменял, как мне представляется, вылечить от вирусов "бук" это совершенно одно, а форматирование HDD и установка другой ОС, это уже совершенно другое,
Самое главное - спокойствие, с "буком" обязательно идет диск восстановления, надеюсь "бук" не любимого шефа, драйверы, почта, данные были сохранена, сколько нового будет познано, особенно про "буки" , BIOS, и полезные программы, раньше это называлось -жизненный опыт,
Удачи,

ps: сорри, ссылка уже была

вот и все
http://news.drweb.com/show/?i=304&c=9&p=0

DiletantButch
Полезно будет ознакомиться
Восстановление разделов и информации на HDD
сюда
ZverСD + Notebook
сюда
Boot Live CD/USB - расширенная поддержка контроллеров SATA/RAID и сетевых адаптеров
сюда
Да и GOOGLE не забываем
сюда

Удачи,

volgograd131

Благодарю. Свершилось, на буке теперь XP-шка. Новая SP3 не ставилась ни в какую, взял старый загрузочный диск с WIN SP2, как по маслу. Перед этим отдавал диск на низкоуровневое форматирование.
Удачи.

В асю пришло сообщение:

Цитата:

22/06/2009 (12:16 GMT +03:00)
никого не узнаёшь на этой фотке? гг))
http://alrona.ru/1/foto15.gif

По указанной ссылке скачивается файл foto15.scr, вот результат его проверки на Virustotal-е. После запуска появляется поверх всех окон окно с сообщением об ошибке и предложением заменить дефектный системный файл отправив смс стоимостью в 10 рублей на номера: 1053(для России) и 4113(для Украины). На известные комбинации клавиш реакции нет, при перезагрузке окно появляется снова. После загрузки с LiveCD обнаружил новые файлы:
C:\WINDOWS\exxploree.exe
C:\WINDOWS\lks.exe
C:\WINDOWS\svcchost.exe
c:\WINDOWS\system32\sdra64.exe
После их удаления и удаления в реестре ссылок на них и текста сообщения, система нормально загружается и работает. Если файл foto15.scr запустить, то всё повторяется - появляется надпись и перечисленные выше файлы.

я забыл отписаться - самый удобный способ - win+U - вызывает экранную лупу, через неё можно запустить нормальный explorer (справка - alt+space - перейти к url)
через него запустить avz, посмотреть, что за процесс косячит
далее физически убиваем этот процесс, и файл
ps у меня был HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
explorer.exe из корня винды
pps огромное спасибо за помощь 01pump

У моих знакомых схожая ситуация.
Через пару-тройку минут после запуска Windows (XP) появлялось многократно вышеописанное изображение (типа Винда у вас нелицензионная и отправте смс с таким-то кодом на такой-то номер).
Причина на этот раз оказалась в парочке файлов явно подозрительно поименованных: что-то типа arc12x.exe (папка внутри пользовательского профиля (application data)) + serviSes.exe (папка Винды), которые автоматически запускались при загрузке Винды (присутствовали в msconfig).
Решение. Загрузился с PE, удалил в реестре ссылки на запуск вышеуказанных файлов, прибил сами файлы к такой-то матери...
И всё стало ОК.
Зараза была подцеплена в социальной сети вконтакте (через предложение установить какой-то там кодек).

Здравствуйте!У брата комп на Висте. Говорит, что нажал кнопку "заблокировать" . Теперь не может ничего сделать-черный экран и перезагрузка не помогает.
Подскажите, пожалуйста, кто знает, как помочь ему!
спасибо!
Добавлено: БИОС не грузится, монитор работает