# Форум на русском языке  > Угрозы информационной безопасности  > Спам и мошенничество в сети  >  Активация Windows

## anton_dr

Лучше всего подходит этот раздел.

Цитата с нашего местного форума http://teron.ru/index.php?showtopic=139582




> Q: У клиента лицензионная OEM Windows XP. Сегодня утром при загрузке выскочело окно см. attach. При чем ПК не на какие команды не реагирует. Окно выскакивает до того, как нужно ввести логин и пароль.
> A: Это вирус, написанный одним смартовым человеком, который видимо сядет на некоторое время.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Trotil

> При чем ПК не на какие команды не реагирует.


Хм... Ну допустим получу я код активации... А вводить-то куда, если ничего кроме этого окошка нету??? Развод не до конца продуман, хотя стилевое оформление очень грамотное.

----------


## anton_dr

Смысл в том, что никакого кода вы получить в принципе не сможете. Рассчитано на домохозяек и пользователей, которые боятся всего, что им не известно.

----------


## Trotil

> Смысл в том, что никакого кода вы получить в принципе не сможете.


Смысл мне понятен (может я не ясно выразился?). Но идея страдает (см. выше)

----------


## Зайцев Олег

> Смысл мне понятен (может я не ясно выразился?). Но идея страдает (см. выше)


Я бы посоветовал пострадавшему: 
1. попробовать после появления окна нажать CTRL+ALT+DEL. Если вылезет системное окно с диспетчером процессов - то хорошо, можно будет запустить AVZ и снять логи, чтобы понять, как эта штука прописалась и как ее снести не переустанавливая систему
2. Если 1 не поможет, то нажать в начале загрузки F8 и попробовать загрузиться в защищенном режиме

----------


## Jolly Rojer

Вполне возможно что нельзя исключать диспетчер будет заблокирован хотя и не факт!

----------


## Muzzle

будет интересно поглядеть на зверька  :Smiley:

----------


## Ego1st

однако мошенику 5+ за реализацию и мысль, я его не оправдываю и считаю это плохо что он делает.. 
но мысль и реальзация шикарная однако..

----------


## Jolly Rojer

Во всяком случае достаточно оригинально!

----------


## Alex_Goodwin

http://www.wasm.ru/forum/viewtopic.php?id=22553

----------


## vaber

> http://www.wasm.ru/forum/viewtopic.php?id=22553


У кого-нибудь это работает?

----------


## anton_dr

Ссылка? Да.



> ))
> Господа, кажется, могу порадовать тех, кто хотел увидеть работающий вариант этой шняги )
> 
> Да, я ее поймал! (и оно доставило мне примерно 20 минут наслаждения).
> Итак:
> best.softnavigator.net/soft/download_16979.html - вот это архив с бесплатной игрой, качаемой с megasvalka.net.ru
> 
> (мне, большому дитю, захотелось "вспомнить все" и поиграть в старинную дендятину - Battle City)
> 
> ...

----------


## vaber

> Ссылка? Да.


Нет, не ссылка. Троян, который скачивается в архиве. После инсталляции и ребута, как пишут на васме, должно появиться изображение в ходе загрузки с выкупом (см. посто №1). У меня после инсталляции его ничего подобного не происходит  :Sad:

----------


## PhantasM

Хм. Танки работают только в демо-режиме и поиграть не удалось, как не хотелось бы, и после многих перезагрузок обещанного выше "смешного" окна приветствия тоже не смог увидеть. Зато есть этот "левый" winlogon  который опрашивая сеть терпеливо дождался ответа с IP 91.194.10.50, получил указание и отправил скопированную им информацию о пользователе ( в %temp% копии обнаружились адресов , паролей и куков)  по адресу -  89.108.66.156  
 Так что и мне тоже удалось получить массу удовольствия 
P.S. Видимо автор этого произведения добрый человек и каждому индивидуальную "радость" старается доставить  :Smiley: 

лог с virustotal.com
File tank.zip received on 09.15.2007 05:08:02 (CET)
CAT-QuickHeal	9.00	2007.09.14	(Suspicious) - DNAScan
DrWeb	4.33	2007.09.14	BackDoor.Generic.1616
eSafe	7.0.15.0	2007.09.13	Suspicious Trojan/Worm
F-Secure	6.70.13030.0	2007.09.15	Trojan.Win32.Sovest.q
Ikarus	T3.1.1.12	2007.09.15	Trojan-Spy.Win32.Agent.CH
Kaspersky	4.0.2.24	2007.09.15	Trojan.Win32.Sovest.q
McAfee	5120	2007.09.14	New Malware.ac
Panda	9.0.0.4	2007.09.14	Suspicious file
Prevx1	V2	2007.09.15	Heuristic: Suspicious Self Modifying EXE
Sunbelt	2.2.907.0	2007.09.15	VIPRE.Suspicious
Webwasher-Gateway	6.0.1	2007.09.14	Win32.Malware.gen#PECompact!84 (suspicious)

и что немного странно в базах AVZ  этот Trojan-Spy.Win32.Agent.CH есть в.
Обновление AVZ от 19.04.2005
но не  детектируется. Конечно он антиквариат, но..

----------


## AndreyKa

> в базах AVZ этот Trojan-Spy.Win32.Agent.CH есть в.
> Обновление AVZ от 19.04.2005
> но не детектируется. Конечно он антиквариат


Нет его в базах AVZ, то что выдает бредовый Ikarus всерьез воспринимать не следует.

----------


## ozzik

Хочу сказать от лица постродавшего и пережившего этот шок, может это поможет не опытным пользователям которые не умеют работать с командной строкой как и я. Диспетчер задач действительно везде заблокирован. Но я его легко открыл в безопасном режиме с поддерж командной строки. Может это только мой случай, но свернув командн строку я нажал три волшебные кнопки (отдельное спасибо Олегу) и уже мог выполнять указания Хелперов.

----------


## anton_dr

А они доработали по пожеланиям пользователей, с окошком для ввода кода  :Smiley: 

http://nesesser.habrahabr.ru/blog/29105.html#habracut

----------


## rubin

Автор не совсем грамотный



> <...> и*,* следуя инструкции*,* <...>


А так хорошо придумано  :Smiley:

----------


## CaHeK

Мдааа...а ведь ламер типа меня с ума бы сошел!(ну хотя бы для начала)
Спасибо сайту и всем кто нам помогает! :pray:

----------


## Mikael

> Мдааа...а ведь ламер типа меня с ума бы сошел!(ну хотя бы для начала)
> Спасибо сайту и всем кто нам помогает!


 

У меня вчера на ноуте, вылезло это окно, что Windows аблокирован... Ничего не нажимается, почитал, здесь.. но собо ничего не опнял, с чего мне начинать??? У меня и в безопасном режиме и в обычном это окно мешает!!! Винду переустанавливать не хочу.... с чего мне начать? подскажите пожалуйста для двоечника! :Smiley:

----------


## Bratez

> Винду переустанавливать не хочу.... с чего мне начать? подскажите пожалуйста для двоечника!


Для обычного пользователя, если нет возможности воспользоваться услугами специалиста, наверно только это можно порекомендовать:
http://www.freedrweb.com/livecd
Но если этого зловреда в базе DrWeb'a еще нет, то не поможет.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Jolly Rojer

> Для обычного пользователя, если нет возможности воспользоваться услугами специалиста, наверно только это можно порекомендовать:
> http://www.freedrweb.com/livecd
> Но если этого зловреда в базе DrWeb'a еще нет, то не поможет.


В любом случае поможет это! http://helpme.virusinfo.info/

----------


## Bratez

> В любом случае поможет это! http://helpme.virusinfo.info/


Разумеется, но если я правильно понял, там вообще нет возможности что-либо запустить, ни в нормальном, ни в безопасном режиме.

----------


## Sanek003

Я так думаю, что эта табличка на черном фоне? У меня друган делал наподобие для соседа по комнате, чтобы тот не лазил в комп. Просто щелкни мышкой в правом верхнем углу, где закрываются окна программ!!!!! :Beer:

----------


## bolshoy kot

Для справки:
Если окно стилизовано под bsod, то оно вызывается программой, которая прописывает себя в реестр как ekzabc и часто именуется svhgost.exe
Если окно просит отправить SMS 3649 и такое голубенькое, это предлагается установить на порносайте как информер. Прописывается в Userinit, blocker.exe либо *.tmp какой-то

----------


## nisome

Есть предложение, написать, как подобные "активаторы" стартуют, чтобы можно их было прибить при помощи Live-CD. Например, если эта дрянь прописывается через Shell (AutoRun), то можно сделать так:
1) Копируем полиморфный AVZ на жёсткий диск заражённого компа из-под Live-CD
2) редактируем реестр, вместо вируса в SHELL прописываем запуск переименованного AVZ в режиме AVZ GUARD.

*Сам  эту последовательность не пробовал*, привожу в качестве идеи.

3) Может имеет смысл в AVZ сделать проверку автозапуска не у запущенной системы, а у неактивной. Это полезно при запуске с Live-CD, чтобы проверять не сидюк, а систему на жёстком диске заражённого компьютера. Ну или хотя бы дать список ключей в реестре, где можно прописать автозапуск (в т.ч. и в Safe Mode).  :Huh:  
P.S. В AVZ нет возможности все ключи посмотреть, возникает ошибка *Out of Range* если ключ длинный.  :Sad:

----------


## bolshoy kot

> 2) редактируем реестр, вместо вируса в SHELL прописываем запуск переименованного AVZ в режиме AVZ GUARD.


А почему бы сразу "explorer.exe" не прописать?  :Smiley:

----------


## diakin

> Разумеется, но если я правильно понял, там вообще нет возможности что-либо запустить, ни в нормальном, ни в безопасном режиме.


Вроде надо в safe mode с командной строкой.
Поищи на этом форуме

Еще инфа
------------------------
При заражении машины, файлы blocker.exe и blocker.bin, копируется в директорию C:\Documents and Settings\All Users\Application Data, а также меняет в 
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметра "Userinit" 
"C:\\WINDOWS\\system32\\userinit.exe" 
на 
C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\  ALLUSE~1\\APPLIC~1\\blocker.exe"

зы. а вообще полезно иметь на компе две установленных винды.

----------


## bolshoy kot

> При заражении машины, файлы blocker.exe и blocker.bin, копируется в директорию C:\Documents and Settings\All Users\Application Data, а также меняет в 
> разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметра "Userinit" 
> "C:\\WINDOWS\\system32\\userinit.exe" 
> на 
> C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\  ALLUSE~1\\APPLIC~1\\blocker.exe"
> 
> зы. а вообще полезно иметь на компе две установленных винды.


Safe Mode не поможет, а файл может быть *.tmp и *.bin рядом. Прописывается туда.

----------


## nisome

> А почему бы сразу "explorer.exe" не прописать?


Вирь назад откатит. Часто вирусы одним запущенным модулем не ограничиваются, а в моём варианте сможем 1) не дать запуститься остальным модулям (тем, что после shell запускаются) и 2)остальное прибить, да и из AVZ можно в конце лечения explorer прописать.  :Stick Out Tongue: 

*Добавлено через 1 минуту*

Кстати, может кто знает, а что будет, если AVZ в Userinit временно прописать? И в добавок с  AVZ GUARD... :Roll Eyes (Sarcastic):

----------


## Чара

Здравствуйте всем!
Поймала "Активацию WINDOWS" 10 апреля. Первое - паника. И желание скорее получить код разблокировки. Слава Богу, вспомнила, что есть у кого спросить - что бы это значило. Поэтому мой совет: два-три часа ничего не решают (как правило), а умные люди среди знакомых есть у каждого. Пролечили со здорового ноутбука. А успокоиться помог этот чудесный сайт :Smiley: 
СПАСИБО!
И успела отговорить человека от SMS. Кстати, можно представить, скольких некому было отговорить!

----------


## Biburat

У одногруппника была такая проблема с блокировкой. Говорит на музыкальном сайте схватил :-) . У человека антивируса *нет никакого*. ПК и без этого работал у него крайне не стабильно.
Ctrl - Alt - Del - не помогали даже в безопасном режиме.
SMS - конечно, отправлять он не стал.

Проблема решилась неожиданно и самостоятельно.
На утро, при очередной перезагрузке сообщение пропало.... И больше не появлялось...

----------


## senyak

Читайте тут

----------


## Hanson

название хорошее )))



> Kaspersky 4.0.2.24 2007.09.15 Trojan.Win32.Sovest.q

----------


## MSD

люди, с такой ситуацией столкнулась моя знакомая, ну я покопавшись в сети понял несколько вещей:
1) есть несколько разновидностей этой гадости  :Smiley: 
2)действуют они так же немного по разному, но схоже!
во первых это обязательная блокировка винды и сообщение об оплате каким-либо способом!
во вторых у некоторых в безопасном режиме вирус даёт запустить диспетчер задачь, а у какого-то вируса такой шалости нет!
лично я девушке посоветовал провериться такой прогой как ad-aware(простая и понятная прога для полных чайников, когда нет времени досканально им обьяснять что лучше google и рук к нужному месту пришитых нет), после чего у моей знакомой появилась возможность увидеть диспетчер задачь...
ну адальше осталось решить эту проблему уже приложив усилия самостоятельно  :Smiley:  чем и займусь сегодня...
3) некоторые версии этой гадости испаряються как то сами спустя определённое время(зависит от таймера встроенногов этот вирус), что самое непонятное разные антивири не всегда этот вирус определяют, как во время его действия(блока системы), так и после, и что он(вирус) за собой оставляет, пока я не увидел ни одного отзыва по этому поводу! все обычно радуються тому что сообщение пропало само по себе и не задумываються над простыми вопросами "от куда взялось?", "где залегло?", и "что оставило после себя?"!!!
кто найдёт какую либо инфу отпишитесь, а то очень интересно что же это такое с ним происходит после того как он востанавливает доступ сам по себе!
не верю я в вирусы которые уходят сами по себе! :[

*Добавлено через 11 минут*

кстати вот наглядный пример ещё одного окошка с просьбой активации через смс!



что в обычном что в безопасном режиме выскакивает это самое окно и мешает работать, в безопаном режиме хоть более менее получаеться а в обычном житья нет совсем!(всё со слов знакомой)

----------


## nisome

Если таймер в вирусе стоит, то часы крутим на несколько лет вперёд или назад. :Wink:

----------


## MSD

какя понял таймер не везде и он просто смотрит на время, тоесть прошло нужное кол-во часов и тогда вирус отрубается!
тоесть принцип совершенно иной нежели к примеру в "чернобыле"!

----------


## Wiesel

А бывает, что антивирь не срабатывает, потому что вируса-то давно нет, а есть только его последствия. В реестре уже нагажено, и сам виновник уже и не нужен.

P.S. В Чернобыле замечательный принцип, надо сказать. Наглядное пособие для демонстрации нужности антивируса как явления  :Smiley:

----------


## lexa24

У меня вчера тоже вылезло такое окошко: Windows заблокирована, отправьте СМС, введите код,как то так. 
Я справился так: Перезапустил Винду в безопасном режиме. С командной строки ввел msconfig - Глянул в автозагрузки - Там хоть и много че для меня незнакомо и непонятно, но 1 приложение сразу вызвало подозрение, т.к. запускалось оно не из папок Windows или Program files, а отсюда: C:\Documents and Settings\Username\Application Data\yofie.exe
Я отключил его с автозапуска и смог нормально зайти в систему. Далее провел полную проверку системы сначала NOD32, потом бесплатной утилитой Dr.Web и наконец утилитой AVZ, все они показали, что комп у меня абсолютно чист. Поэтому я удалил вручную этот файл 
C:\Documents and Settings\Username\Application Data\yofie.exe
Вроде все нормально работает. Но хотеловь бы узнать почему Антивирусы никак не реагируют?

----------


## Torvic99

А вот что бы антивирусы реагировали, надо было не удалять этот файл, а прислать его на анализ.

----------


## lexa24

> А вот что бы антивирусы реагировали, надо было не удалять этот файл, а прислать его на анализ.


Дык я тоже так подумал, но умная мысля приходит опосля.

И Данный сайт я нашел уже после удаления. Добавил в избранное. Если еще че найду - так теперь конечно скину.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Kuzz

> Вроде все нормально работает. Но хотеловь бы узнать почему Антивирусы никак не реагируют?


Потому что вирусописатели постоянно пытаются "обойти" антивирусы.
В том числе и часто переделывают троев..

А вот если файл очень подозрителен, или хочется поделиться "уловом" - http://virusinfo.info/showthread.php?t=37678

----------


## avirarus

Есть такое слово крипторы ......

*Добавлено через 3 минуты*




> Есть такое слово крипторы ......


Первое ее найдут сигнатурой....
Второе ее изменят ......
Третье поможет только HIPS!  :Cheesy:

----------


## executive

> написанный одним смартовым человеком


"смартовый" это как? о_О

----------


## bolshoy kot

> У меня вчера тоже вылезло такое окошко: Windows заблокирована, отправьте СМС, введите код,как то так. 
> Я справился так: Перезапустил Винду в безопасном режиме. С командной строки ввел msconfig - Глянул в автозагрузки - Там хоть и много че для меня незнакомо и непонятно, но 1 приложение сразу вызвало подозрение, т.к. запускалось оно не из папок Windows или Program files, а отсюда: C:\Documents and Settings\Username\Application Data\yofie.exe
> Я отключил его с автозапуска и смог нормально зайти в систему. Далее провел полную проверку системы сначала NOD32, потом бесплатной утилитой Dr.Web и наконец утилитой AVZ, все они показали, что комп у меня абсолютно чист. Поэтому я удалил вручную этот файл 
> C:\Documents and Settings\Username\Application Data\yofie.exe
> Вроде все нормально работает. Но хотеловь бы узнать почему Антивирусы никак не реагируют?


Я видел его вживую. Притом не как исследователь, а как потерпевший. Отписывал в теме про информер. У меня был "hfdqe.exe". Окно выглядело как Winlock.19, но на весь экран. Win+U не помогал - окно "hfdqe.exe" перехватывало фокус на себя у любых окон.

----------


## nisome

_Про Winlock и ему подобные..._
Получается, что довольно надёжный способ - загрузиться с Live CD, скопировать AVZ на локальную систему и временно прописать AVZ в Userinit.

Способ не годится в том случае, если пользователь использует  систему защиты/компрессии данных, которая не позволяет получить доступ на запись при загрузке из другой системы (Live CD, другой комп с подключённым диском потерпевшего), экзотическую файловую систему или "продвинутый" способ дазбивки дисков (слышал про какие-то динамические разделы и проблемы с ними).  :Roll Eyes (Sarcastic): 

*Добавлено через 2 минуты*

Так что перед установки подобных "защит" надо хорошенько подумать, что делать, если загрузиться в штатном режиме не удастся.
Это касается и встроенного шифрования в WinNT.

----------

