PDA

Просмотр полной версии : Кошелек или жизнь



NickGolovko
03.01.2010, 10:37
Кошелек или жизнь
Эволюция "фабрики вымогателей", последний квартал 2009 года

Наступил Новый, 2010 год. Во всем мире праздничное затишье: офисы и магазины закрыты, на улицах почти никого. Все отдыхают после главного праздника и готовятся отмечать новые. Но не везде ситуация так спокойна и благополучна: русский сектор Интернета все еще лихорадит после масштабной эпидемии, которую устроили в конце уходящего года многообразные троянские вымогатели.

Для справки: троянский вымогатель (Trojan-Ransom) - вредоносная программа, нарушающая целостность пользовательских файлов, работоспособность отдельного программного обеспечения или операционной системы в целом, и требующая от пользователя заплатить за восстановление нарушенного функционала или поврежденных файлов.

Мы употребили здесь слово "многообразные", но, пожалуй, в этом случае было бы правильнее сказать "однообразные": работа злоумышленников, постоянно изготавливавших все новые и новые вредоносные продукты, напоминала работу на конвейере. С завидной периодичностью (примерно раз в две недели) "фабрика вымогателей" выпускала очередной образец вредоносной программы, с однотипным названием, скроенным по одному лекалу и составленным из одних и тех же слов, и с одной и той же схемой работы: баннер-окно высокого приоритета, которое нельзя ни закрыть, ни свернуть, с текстом о якобы нарушенном лицензионном соглашении и требованием отправить платное SMS-сообщение на особый номер, чтобы получить код разблокирования.

Надо, однако, признать, что функционал вредоносных программ все время совершенствовался, от версии к версии становясь все более изощренным. В этой статье мы и поговорим о том, как развивались вредоносные продукты, сходившие с конвейера "фабрики вымогателей", на основе сведений из информационных бюллетеней VirusInfo (см. раздел Инфекция дня (http://virusinfo.info/forumdisplay.php?f=177)).

1. "Get Accelerator" (Trojan-Ransom.Win32.Agent.gc)

Первым образцом троянских вымогателей, вызвавших масштабную эпидемию, был вредоносный продукт под самоназванием "Get Accelerator". Он был занесен в базу данных "Лаборатории Касперского" как "Trojan-Ransom.Win32.Agent.gc", антивирусные продукты Dr. Web называют его "Trojan.Winlock.366", а BitDefender эвристически определил его как "Gen:Trojan.Heur.Hype.cy4@aSUBebjk".

Первые случаи заражения этой программой мы увидели примерно в середине октября минувшего года. К началу третьей декады произошел резкий всплеск инфекции, который, к слову сказать, повторился ближе к концу года; эпидемические всплески отчетливо видны на суммарном графике поисковых запросов, составленном по данным аналитического сервиса LiveInternet (http://liveinternet.ru).


http://virusinfo.info/images/ga.png
Рис.1. Количество поисковых запросов определенного типа, суммарное

"Get Accelerator" был, в сущности, одним из примитивных представителей продукции "фабрики вымогателей". Пользователю отображалось обычное окно приложения без элементов управления, какое относительно просто изготовить в визуальной среде программирования, с парой угрожающих надписей и таймером; при этом нарушалась корректная работа сетевого подключения, что не позволяло пользователю выходить в сеть Интернет.


http://virusinfo.info/images/gascreen.jpg
Рис.2. Снимок экрана компьютера, пораженного "Get Accelerator"

Вредоносная программа состояла из двух компонентов - драйвера %WinDir%\dmgr134.sys и внедряемой динамической библиотеки %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll; оба компонента были отчетливо видны в результатах исследования системы AVZ, имена их были фиксированными, что позволяло составить стандартные рекомендации по их удалению:


***

Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Операционная система перезагрузится.


***

"Get Accelerator" был актуален в течение 1-2 недель, после чего злоумышленники запустили в производство новую версию.

2. "uFast Download Manager" (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)

Вторым представителем семейства стал т.н. "uFast Download Manager", получивший наименования "Trojan-Ransom.Win32.SMSer.qm" и "Trojan.Win32.Agent.dapb" в базах данных "Лаборатории Касперского" и "Trojan.Botnetlog.11" - по классификации Dr. Web; BitDefender вновь определил вредоносную программу эвристически, назвав ее "BehavesLike:Trojan.UserStartup".

Атака этой вредоносной программы пришлась на начало ноября, когда первая волна "Get Accelerator" была уже погашена. На графике поисковых запросов вновь отчетливо виден эпидемический всплеск, хотя он был и не таким мощным, как у предыдущего образца.


http://virusinfo.info/images/uf.png
Рис.3. Количество поисковых запросов определенного типа, суммарное

В сравнении с "Get Accelerator" "uFast Download Manager" был устроен немного сложнее с точки зрения интерфейса и несколько проще в том, что касается реализации. Окно, отображавшееся пользователю, приобрело "полупрозрачный" вид, исчезла и рамка окна, характерная для "Get Accelerator"; надписи и требования, однако, остались все теми же. Основание для вымогательства также не изменилось: программа нарушала работу сетевого подключения. Иногда от пользователей поступали сообщения и о блокировке Диспетчера задач.


http://virusinfo.info/images/ufscreen.jpg
Рис.4. Снимок экрана компьютера, пораженного "uFast Download Manager"

Вредоносный продукт на этот раз пытался имитировать "настоящий" менеджер загрузок - создавал свою папку в каталоге %UserProfile%\Application Data. Основной компонент на сей раз был один - исполняемый файл с опять же фиксированным именем типа %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe; он по-прежнему был отчетливо виден в протоколах AVZ и мог быть удален вместе с иногда застревавшим в системе дроппером при помощи стандартных рекомендаций:


***

Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239):



var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Softwa re\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+'\zavupd32.exe','');
QuarantineFile('%UserProfile%\applic~1\ufastd~1\pr opet~1.exe','');
DeleteFile('%UserProfile%\applic~1\ufastd~1\propet ~1.exe');
DeleteFile(SP+'\zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

Операционная система перезагрузится.

Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:


В диспетчере устройств Windows удалите сетевой адаптер
Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.



***

Просуществовав несколько недель, "uFast Download Manager" был вскоре сменен обновленной версией "Get Accelerator".

3. "Get Accelerator" - 2

После падения "uFast Download Manager" злоумышленники вернулись к "брэнду" "Get Accelerator". Под старым именем вышла новая модификация вредоносной программы, остававшаяся актуальной почти месяц.

В сравнении с предыдущими версиями авторы "продукта" сделали шаг вперед: предприняли попытку защитить свое творение от антивирусных консультантов и их инструментов. Во-первых, появилось случайное имя вредоносного драйвера, а, во-вторых, этот же драйвер занялся маскировкой внедряемой библиотеки aekgoprn.dll, подставляя вместо пути набор цифр. Впоследствии авторы вообще отказались от особого драйвера и вместо этого стали модифицировать системные драйвера, усложняя тем самым процедуру лечения. С этого момента "фабрика вымогателей" уже не выпускала образцов, для которых можно было бы предложить стандартный скрипт AVZ.

Однако, как выяснилось, все это были еще цветочки. Гром грянул позже, в начале декабря.

4. "iMax Download Manager" (Packed.Win32.Krap.w)

Удар, нанесенный этим вредоносным продуктом, пришелся на 8-9 декабря. "iMax Download Manager" в разы превзошел всех своих предшественников как по масштабам эпидемии, так и по вредоносному функционалу. На момент атаки определить его были способны только продукты "Лаборатории Касперского", да и то эвристически - по подозрительному упаковщику файла.

В том, что касается масштабов эпидемии, достаточно привести несколько цифр:

- 9 декабря на лечебном сервисе VirusInfo были побиты рекорд одновременного присутствия (без малого 1 000 человек онлайн одновременно) и рекорд суточной посещаемости (впервые в истории портала он превысил 20 000 уникальных посетителей в сутки),
- информационный бюллетень о вредоносной программе "iMax Download Manager" за два дня был просмотрен порядка 10 000 раз,
- суммарное количество поисковых запросов (на графике) превысило 10 000 - в 2 раза больше, чем предел для "Get Accelerator", и в 4 раза больше, чем для "uFast Download Manager".


http://virusinfo.info/images/im.png
Рис.5. Количество поисковых запросов определенного типа, суммарное

В области вредоносного функционала авторы также продемонстрировали большой "прогресс". "iMax Download Manager", помимо традиционного вымогательства, оказался способен:

- мешать запуску и работе антивирусных инструментов и сканирующих утилит,
- блокировать Диспетчер задач и Редактор реестра,
- препятствовать загрузке Windows в безопасном режиме,
- выключать Восстановление системы Windows.


http://virusinfo.info/images/imscreen.jpg
Рис.6. Снимок экрана компьютера, пораженного "iMax Download Manager"

Само собой, что о стандартных скриптах для антивирусных инструментов речь здесь уже не шла. Усилия антивирусных консультантов сосредоточились на двух способах решения проблемы - загрузке в обход операционной системы или поиску способов подбора т.н. "кода активации".

Не успела погаснуть волна этого вредоносного ПО, как последовала еще одна - более слабая, сопоставимая с масштабами волны "uFast Download Manager".

4. "iLite Net Accelerator" (Packed.Win32.Krap.w)

Вредоносный продукт под названием "iLite Net Accelerator" - это в сущности тот же "iMax Download Manager", выпущенный под другим именем. Для него даже не потребовался отдельный бюллетень в разделе "Инфекция дня". Отличия его от "старшего брата" незначительны и состоят скорее в типе цифрового кода для отправки в SMS-сообщении и собственно номере для отправки. Волна инфекции, однако, вышла вполне ощутимой.


http://virusinfo.info/images/il.png
Рис.7. Количество поисковых запросов определенного типа, суммарное

Для "iMax Download Manager" и "iLite Net Accelerator" в настоящее время существуют, как было уже сказано, два основных типа лечения. Первый разработан специалистами VirusInfo и состоит в использовании загрузочного диска, содержащего антивирусную сканирующую утилиту:


***

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса (http://virusinfo.info/pravila.html).


***

Однако данный способ требует от пользователя определенных навыков и к тому же не всегда применим (в частности, нередко вредоносный продукт поражает нетбуки, которые не снабжены CD-приводом). Если первый способ не подходит, остается другой - подбор "кода разблокировки" вместо отправки SMS-сообщения. Получить код вы можете одним из двух вариантов:

1) Использовать сервис разблокировки, любезно предоставленный нам "Лабораторией Касперского":

>>> http://virusinfo.info/deblocker/

2) Обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС (http://www.mts.ru/services/short_numbers/3649), наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.

Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:

а) выполнять требования злоумышленников и выплачивать им "выкуп",
б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" - гарантированный способ умертвить Windows).

Помимо перечисленных нами образцов, существует еще некоторое количество более мелких представителей этой группы - "File Downloader", "Toget Access" и им подобные.

И в заключение нашей статьи приведем любопытный график - объединенные данные по эпидемическим всплескам вымогателей:


http://virusinfo.info/images/graphransom.PNG
Рис.8. Общие данные по активности вымогателей

Эпидемия продолжается. Выводы делать вам...

viktur1
07.01.2010, 18:46
попробовал подобрать код разблокировки, но он выдаёт не только цифры, а символы и знаки----а в это окно кроме цифр больше ничего невозможно ввести

Добавлено через 2 часа 53 минуты

изголился таки и вставил код в форму - ну и что и ожидал - не работает

gjf
07.01.2010, 23:24
Рекомендуется даже после угадывания кода и снятия окна делать логи в разделе Помогите (http://virusinfo.info/forumdisplay.php?f=46). Часто в системе остаются "хвосты", которые лучше удалить.

Komel
08.01.2010, 21:09
С неделю назад заполучил гада, который точь в точь соответствует
4. "iMax Download Manager" (Packed.Win32.Krap.w)
с блокированием редактора реестра.
Про диспетчер задач ничего не скажу, тк пользую AnVirTaskManeger, который запускался, сообщал о новом элементе в авторане, но не работал.
В безопасном режиме гадкое сообщение не выплывало, но редактор реестра был по-прежнему недоступен.
Свежий КуреИт ничего не нашел (скачан с другого компа).
Утилита Касперского - тоже самое.
Суточной давности бесплатный Авир (мой штатный а/вирь) не нашел ничего.
Довольно древний ComboFix, случайно оставшийся на диске (я его после профилактического сканирования обычно удаляю) снес всю гадость за один проход и разблокировал реестр. Единственное последствие - прекратил автоматически подключаться в ИЕ7 настоящий ДаунлоадМастер (по правому клику подключается нормально, в ГугльХроме работает по-прежнему).

В заключение считаю необходимым отметить, что я совершенно не специалист в предмете и все вышеизложенное - не более, чем информация к размышлению и повод для комментариев тому, кто фтеме.

MBTY
09.01.2010, 13:15
А если подобный вирус заблокировал мне выход в интернет? Да я знаю что нужно отредактировать файл Hosts ну и еще пару способов есть, но их правда реально провернуть, когда на весь экран красуется %сами знаете что красутеся на новых версиях вируса%? Как я могу воспользоваться http://virusinfo.info/deblocker/ ? Можно ли где нибудь заполучить эту же базу разблокировки просто в текстовом файле или хотя бы в какой другой форме, не требующей наличия интернета? Здесь http://news.drweb.com/show/?i=304 напрмиер генератор ответов не закреплен за сетью. Мжно сохранить страницу на жестком диске и она будет работать (самая нижня таблица на странице) но база там уж очень мала.

rodmanizer
11.01.2010, 22:46
Скажите, или дайте ссылку, пожалуйста, на то, чтобы узнать, как можно выполнить скрипт в АВЗ если эта зараза блокирует запуск этой программы, и даже при попытке просто войти в папку с файлом AVZ, вырубает компьютер даже в безопасном режиме? Спс:xmas:

И еще один банальный вопрос - у родственников комп пустой. То есть никаких важных файлов не имеется и проще форматнуть системный диск С и переустановить за полчаса систему. Так вот - могут ли файлы гетакселератора находится на втором диске Д и потом лезть в систему? или формат системного диска С - все решает уверенно?

pig
11.01.2010, 22:58
Где бы файлы ни были, а ссылки на них в реестре больной системы. Так что формат решает. Но я бы потренировался на кошках. Пригодится.

PavelA
11.01.2010, 23:53
Скажите, или дайте ссылку, пожалуйста, на то, чтобы узнать, как можно выполнить скрипт в АВЗ если эта зараза блокирует запуск этой программы, и даже при попытке просто войти в папку с файлом AVZ, вырубает компьютер даже в безопасном режиме? Спс
не дадим. Лайв СД Вам в руки и искать зловредов по реестру "больного".
А если серьезно, то кроме AVZ есть еще утилиты которые позволяют исследовать систему и увидеть аномалии.

Аляна
14.01.2010, 22:56
Прошу помощи. Попала на троян. Деактивировала, но вот подходящего по описанию, у вас на страничке, антивируса не нашла. В выскакивающем окне не было отсчета времени, а какая-то картинка с порносайта. Выскакивало спустя минуту-две после загрузки компа(даже при отключеном интернете), и не убиралось вообще. Через минуту блокировало все действия на компе. Загрузка или копирование фаилов тормозилось или вобще вставало. Какой антивирус посоветуете использовать?

akalibr
16.01.2010, 09:27
Принесли мне ноутбук, ОС - Windows Vista, при загрузке в обычном режиме появляется курсор и все, диспетчер задач отключен, в безопасном - появляется на весь экран просьба с вводом кодом ответа. Я снял винт и подключил к ПК с KIS 2010 - он нашел 2 файла в Temporary Internet Files и удалил их. Но ноутбук не хочет до конца грузить Windows Vista, по прежнему зависает на курсоре рабочего стола, как в обычном, так и в безопасном режимах, диспетчер задач заблокирован. Посоветуйте, что можно предпринять в этой ситуации?

Doctor Igla
18.01.2010, 17:09
Могут. К сожалению. У меня 2 операционки на компе ХР и 7, подцепил дрянь на семерке, увы, хваленая MS Essentials оказалась не на высоте и в мой комп под видом обновления Adobe Flash Player 10 влетело стадо слонов-троянов, всего 16! Влетело во все диски где были папки Windows, очистить удалось благодаря запуску другой ОС ХР и Касперскому - полной проверке плюс надо банально вычистить все корзины TEMP&RECYCLER на всех дисках!

Добавлено через 20 минут


Принесли мне ноутбук, ОС - Windows Vista, при загрузке в обычном режиме появляется курсор и все, диспетчер задач отключен, в безопасном - появляется на весь экран просьба с вводом кодом ответа. Я снял винт и подключил к ПК с KIS 2010 - он нашел 2 файла в Temporary Internet Files и удалил их. Но ноутбук не хочет до конца грузить Windows Vista, по прежнему зависает на курсоре рабочего стола, как в обычном, так и в безопасном режимах, диспетчер задач заблокирован. Посоветуйте, что можно предпринять в этой ситуации?

Поврежден файл SVHOST Попробуйте режим repair mode (восстановление системы с установочного диска Виста) ->F8 при загрузке -> repair your computer-> System Restore-> выберите последнюю точку восстановления системы. Должно помочь. На семерке работает, значит и у вас пойдет. УДАЧИ!:rolleyes:

SetiX
18.01.2010, 17:22
У друзей заражение происходило так:им предлагали скачать adobe flash player 16 или 18(точно не помню) для просмотра flash роликов,после этого появлялось это окно

SDA
18.01.2010, 17:28
в мой комп под видом обновления Adobe Flash Player 10 влетело стадо слонов-троянов, :
Интересно, как можно обновлять Adobe, чтобы попасть. Ведь Adobe Flash Player можно обновить на официальном сайте Adobe. Даже не можно, а нужно :)

bolshoy kot
18.01.2010, 22:14
Интересно, как можно обновлять Adobe, чтобы попасть. Ведь Adobe Flash Player можно обновить на официальном сайте Adobe. Даже не можно, а нужно :)
На сайте с "видеоприколами" или порновидео. Много сейчас таких сайтов с троянами. При попытке просмотра видео выскакивает "Установите Flash Player 10"

Добавлено через 2 минуты


Прошу помощи. Попала на троян. Деактивировала, но вот подходящего по описанию, у вас на страничке, антивируса не нашла. В выскакивающем окне не было отсчета времени, а какая-то картинка с порносайта. Выскакивало спустя минуту-две после загрузки компа(даже при отключеном интернете), и не убиралось вообще. Через минуту блокировало все действия на компе. Загрузка или копирование фаилов тормозилось или вобще вставало. Какой антивирус посоветуете использовать?
Вот описание этого вируса:
http://virusinfo.info/showthread.php?t=66935

SDA
18.01.2010, 22:40
Качать обновления Flash Player на порнушных сайтах, кликая на выскакивающий банер, от великого ума. :)

Saint-technik
20.01.2010, 13:42
Блокировка антивирусных утилит чаще всего реализуется через библиотеку, прописанную в ключе реестра AppInit_DLLs, который находиться в "HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Windows". По-умолчанию значение параметра должно быть пустым.
Лечил несколько компов следующим методом: Загрузился через Windows Live CD (ERD Commander, Alkid Live CD и т. п.). Зашел в редактор реестра. Если по вышеуказанному адресу прописана какая-то длл-ка, запоминал путь к ней и удалял значение параметра. После перезагрузки запуск антивирусных утилит как правило становился возможным. Дальше удалял саму вирусную длл-ку и производил обычную очистку от вирусов.
PS: неправильная правка реестра может привести к плачевным последствиям, поэтому ответственности за чьи-то кривые руки я нести не собираюсь. Пользоваться или не пользоваться моим советом - каждый пусть решает как хочет. После очистки на всяк случай рекомендую все-равно обратиться в раздел "Помогите".

PavelA
20.01.2010, 14:19
По-умолчанию значение параметра должно быть пустым.
-- Утверждение ошибочное и даже вредное. Последний Касперский вписывает в этот ключ 4 библиотеки.

Saint-technik
21.01.2010, 00:33
Об этом я не знал, так как последним Касперским не пользуюсь, а шестой насколько я успел увидеть на нескольких машинах туда ничего не прописывает.
То есть это выходит, что последний Касперский загружает аж четыре свои библиотеки в адресное пространство каждого процесса, использующего user32.dll? Тогда мне начинает становиться ясным почему так много говорят о его ресурсоемкости...
В любом случае я просто поделился способом возможного решения проблемы, хотя похоже что тут от пользователя требуется определенные знания.

bravedefender
21.01.2010, 12:04
Недавно столкнулся с такой проблемой, но в самом неприятном виде

oleg_kuzen
21.01.2010, 12:07
Братик скачал тот же самый якобы Adobe Flash Player 10, с какого-то сайта, похоже порно, т.к. на окне отправки смс написано: "Вы провели на нашем сайте 1 час, потому по соглашению вы должны оплатить месячное посещение сайта для бесплатного просмотра или скачки (или что-то там такое) эротического видео ", ниже на номер 9691 отправьте 590500041, и окно для разблокировочного пароля. Окно с большим приоритетом, поверх всех окон, не закрывается и не сворачивается, при перезагрузке также появляется сразу, обычное серое без картинок, все работает, но ничего не могу сделать, т.к. окна под ним.
Получил на вашем сайте код разблокировки, но вопрос: Что за вирус конкретно, если окно пропадет, то как лечить комп?

Saint-technik
21.01.2010, 13:01
oleg_kuzen, для получения помощи в лечении нужно обратиться в раздел "Помогите" этого форума.

gjf
21.01.2010, 23:06
Ну вот тут уже люди начали говорить довольно дельные вещи (http://pazzive.livejournal.com/188661.html). При достаточной юридической подкованности и желании, распространение инфекции можно подавить, так сказать, с другой стороны.

rozan
22.01.2010, 19:41
Помогите кто-нибудь! У МЕНЯ ЗАРАЖЕН КОМП! я не знаю что мне делать? в компах не шарю

gjf
22.01.2010, 21:45
rozan, Вам сюда (http://virusinfo.info/pravila.html).

Angelisk
22.01.2010, 23:02
Сегодня столкнулся с баннером "Get Access" приблизительно следующего содержания: "Доступ в сеть заблокирован! Вам был предоставлен бесплатный доступ к сайту эротического содержания на строк 1 час. Вам необходимо активировать программное обеспечение Get Access. Для этого отправьте СМС с кодом (не помню) на номер 1350". Доступ к управлению службами заблокирован (т.е. при попытке открыть управление службами окно наглухо висло.) Каспер ничего не нашел, AVZ тоже промолчал, однако минут через 5-7 после принудительного завершения процесса explorer.exe (хотя может быть это и простое совпадение) баннер пропал, появился доступ к службам, где обнаружилась странная служба "userinit" без параметров запуска и без файла, который должен стартовать. Как выяснилось файл, стартующий при запуске данной службы именуется "userinit.sys". Правда обнаружить этого зверя не удалось, видимо, он самоликвидировался (хотя такое поведение вряд ли похоже на действие трояна данного семейства)... Надеюсь, этот рассказ кому-нибудь поможет...

slawa33
23.01.2010, 12:16
Где то подцепил такую же хрень. Типа для продолжения работы программы нужно активировать через СМС. Антивирусы не помогли. Зашел в безопасном режиме, там это окошко не вылезло. и с помощью программы ccleaner удалил указанную программу, после чего этой же программой почистил ошибки реестра. Этим методом почистил уже 2 компа. Во втором случае было окошко с порносайта, удалил программу где в названии фигурировали смс и ммс.

slex19
23.01.2010, 15:02
Поймал Get Access. avast! даже не пикнул. Лечился аналогично slawa33. Вроде помогло.

Casper99rus
23.01.2010, 20:29
Ну вот тут уже люди начали говорить довольно дельные вещи (http://pazzive.livejournal.com/188661.html). При достаточной юридической подкованности и желании, распространение инфекции можно подавить, так сказать, с другой стороны.


спасибо за ссылку. На ноут прилипла "прошивка" с требованием отправить смс на 4460 с кодом К207815200, вылечился вот http://www.drweb.com/unlocker/index, но замечу что в списке указан код ..59, но пароль подошел)

gjf
23.01.2010, 20:35
Метод slawa33 действенен, если речь о работе некоего исполняемого файла. У нас были случаи, когда:
а) блокировка делалась системным драйвером;
б) блокировка делалась внедряемой библиотекой;
в) загрузка в безопасном режиме блокировалась.

Поэтому, как уже не раз говорилось, универсального способа не существует :(

Magisty
23.01.2010, 23:22
Сегодня столкнулся с баннером "Get Access" приблизительно следующего содержания: "Доступ в сеть заблокирован! Вам был предоставлен бесплатный доступ к сайту эротического содержания на строк 1 час. Вам необходимо активировать программное обеспечение Get Access. Для этого отправьте СМС с кодом (не помню) на номер 1350". Доступ к управлению службами заблокирован (т.е. при попытке открыть управление службами окно наглухо висло.) Каспер ничего не нашел, AVZ тоже промолчал, однако минут через 5-7 после принудительного завершения процесса explorer.exe (хотя может быть это и простое совпадение) баннер пропал, появился доступ к службам, где обнаружилась странная служба "userinit" без параметров запуска и без файла, который должен стартовать. Как выяснилось файл, стартующий при запуске данной службы именуется "userinit.sys". Правда обнаружить этого зверя не удалось, видимо, он самоликвидировался (хотя такое поведение вряд ли похоже на действие трояна данного семейства)... Надеюсь, этот рассказ кому-нибудь поможет...
Я тоже на такого натолкнулась сегодня. Диспетчер задач не работал. Кое-как создала второго пользователя, из-под него антивирусник запустила. Нашел, убрал вроде. Написал, что в папке Windows был. Вирус, кстати, в автозагрузке видно было!!!

max999
23.01.2010, 23:29
Довольно древний ComboFix, случайно оставшийся на диске (я его после профилактического сканирования обычно удаляю) снес всю гадость за один проход и разблокировал реестр.
+100000000000000000000!!!! Спасибо помогло!!!!!!!
Тоже получил трояна от вымогателей-блокеров. Расскажу как я "сражался" за свой комп и деньги. авось кому поможет.
Сначала замигал неубираемый порно-баннер, потом когда я включил проверку компьютера в NOD32 комп внезапно перезагрузился и на экране появилось неубираемое сообщение с отсчетом времени о том, что у меня вирус и чтобы его отключить надо отправить смс сообщение.
Я, как человек принципиальный, решил не поддаваться на провокацию. После того как task manager не включился (почему-то было запрещено администратором(который я)) я ребутнул комп и зашел под другим аккаунтом - маминым (благо знал пароль). Под её аккаунтом task manager запустился на пару сек и исчез. После минуты попыток за несколько сек снять задачу вируса мне это удалось: пришлось жать ctrl+alt+delete, а потом резко дергать мышь чтобы переключиться с вкладки "процессов"" на "приложения" и на "снять задачу".
Появился wallpaper но ни одной иконки и нижней панельки тоже не было (где пуск и сист трей). В диспетчере задач я нажал "выполнить" и ввел explorer. Открылась папка мой компьютер. Потом я полез в чат и там меня отправили на сервис деактивации вымогателей-блокеров на http://virusinfo.info/deblocker/. Не найдя там код разблокировки я пришел в этот форум. Скачал ComboFix и после удаления nod32 запустил его в безопасном режиме. Он снес блокировку реестра и вирус. Порно баннер оставил, но после запуска касперского 2010(которого я установил после восстановления) баннер исчез.
Komel, тебе ещё раз огромное спасибо: перед тем как прочитал твой пост почти отчаялся.

Alexeu
25.01.2010, 15:23
Наткнулся на баннер, блокурющий работу ПК и ОС почти полностью. Баннер требует отправить код K205615900 на номер 4460. Явное вымогательство. Переустановить систему нельзя. так как будут утеряны важные для работы родитеелей файлы.
Полученные на сервисе коды НЕ ПОМОГАЮТ (возможно они устарели). Чем и главное КАК лечить?

SDA
25.01.2010, 15:38
Наткнулся на баннер, блокурющий работу ПК и ОС почти полностью. Баннер требует отправить код K205615900 на номер 4460. Явное вымогательство. Переустановить систему нельзя. так как будут утеряны важные для работы родитеелей файлы.
Полученные на сервисе коды НЕ ПОМОГАЮТ (возможно они устарели). Чем и главное КАК лечить?
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

1okWolf
26.01.2010, 05:42
Извиняюсь, если пишу слишком рано. Поймал Internet security, номер 4460, пока что Windows не заблокирована. Скачал AVPTool, в данный момент идет проверка, но поскольку 3 логических диска на 2 физических винтах (750Гб) сканировать будет очень долго. Лицензионные Аваст и Доктор Веб пропустили следующее (на данный момент): Packed.Win32.Krap.w, Trojan-Dropper.Win32.Smser.jl, Backdoor.Win32.Hupigon.ca, HackTool.Win32.ICQPass.c. Источник первого - скорее всего один из архивов дополнений к Fallout 3 с PlayGround.ru. Инструкции изложеные выше принял к сведению, но у системы есть особенность - 2 раздельных винчестера и 2 операционные системы. Поражен диск С с ХР, диск D и Е с лицензионной Windows 7 вроде бы чист, так как практически не использовался, с него в данный момент и работаю. Интернет по техническим причинам возможен лишь с полуночи до 8 утра по Москве, но просмотреть возможный ответ можно. Если есть какие-либо специфические советы, жду. Тему в "Помогите" создам завтра после записи логов.

gjf
26.01.2010, 11:23
Ну вообще при такого рода инфекции рекомендуется просканировать системный диск - зловреды чаще всего прячутся там. Потом загрузиться в обычном режиме - и уже просканировать всё остальное. Заодно и проверите, всё ли удалилось.
Это же не файловый вирус (во всяком случае, пока).

Alexeu
26.01.2010, 21:54
Ульитлита ничего не нашла, а проблема осталась. Как решить - я не знаю...
Замечена особенность: после чистки компа инсталлер перестал вообще работать, а в интернет выбраться с инфециронового компа - нереально.
Вирус наверняка написан как программа и антивирь со всякими ультилитами не могут найти его в безе данных.
Адресовано Лаборатории Касперского: Ваши коды не помогают и, прога по видемому, тоже :(

SDA
26.01.2010, 23:08
Ульитлита ничего не нашла, а проблема осталась. Как решить - я не знаю...
Замечена особенность: после чистки компа инсталлер перестал вообще работать, а в интернет выбраться с инфециронового компа - нереально.
Вирус наверняка написан как программа и антивирь со всякими ультилитами не могут найти его в безе данных.
Адресовано Лаборатории Касперского: Ваши коды не помогают и, прога по видемому, тоже :(
А CureIT http://www.freedrweb.com/ чистить не пробывали?

Chrono-xXx
27.01.2010, 09:48
Alexeu, такая-же беда с почти таким-же кодом. Баннер косит под якобы антивирус Internet Security и якобы находит на компе какие-то вирусы (на самом деле вполне безобидные файлы шрифтов, курсоров и т.п.) - затем требует своей активации или удаления - ни дает запустить ничего в любых режимах ОС, выключает комп сразу-же как только чувствует угрозу. Удаление всех(!) измененных файлов за дату заражения ничего не дал - скорее всего вирус успешно восстанавливается из записи реестра или меняет даты файлов после установки.

Лечение: жесткий диск сняли, подключили к другому компу и прогнали черед Lavasoft Ad-Aware 2010 (lavasoft.com - есть и триальные и бесплатные версии) - результат поимки стопроцентный. После чего вернули диск в родной комп, зашли в систему и с помощью пункта "Восстановление системы" в AVZ (теперь он запустится без проблем) сняли все ограничения, что поставил вирус. Перезагрузка и все ОК.

Что интересно, после восстановления системы поставили Ad-Aware в исходную ось и прогнали - ничего подозрительного он не нашел ни в файлах, ни в реестре. Отсюда делаю вывод, что эта чудо-прога работает с файлами реестра на чужом диске как с самим реестром. Хотя я не специалист, могу и ошибаться - главное, что быстрый и эффективный результат есть.

m0lekula
27.01.2010, 12:51
На днях боролся с "Internet Security". Может кому поможет...
Попался очень неплохой блог Евгения Васильева (www.eavasi.ru (http://www.eavasi.ru)) со статьей "eKav antivirus — разблокировать и удалить навсегда!"
Вкратце как делалось.
Загрузка с диска ERD Commander. Поиском нашел все файла созданные в день Х.
Подозрительные DLL перенес в отдельную директорию, в реестре вычистил значение AppInit_DLLs, проверил содержимое HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Win logon и HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\Cod eIdentifiers\0\Paths чтоб ничего лишнего не было. Проверил все значения Autorun и удалил подозрительные приложения. В частности bat-файл, тупо удаляющий файл iexplore.exe.
NOD32 его определяет как "BAT/KillFiles.NCB"
После этого перезагрузился в нормальном режиме. Баннера не было. Программой MBAM (Malwarebytes' Anti-Malware) проверил комп и удалил остатки заразы. И включил блокированные редактор реестра и диспетчер задач.
Последующая проверка CureIt! ничего не дала.
Сканер Virustotal сказал что это Trojan.Winlock.938, Trojan.Download1.28107 и какая-то разновидность Koobface. А NOD32 спустя 2 дня говорит что это Win32/Kryptik

Кстати тоже может кому-то пригодится. Приведу цитату из комментария banner-killer с блога Евгения Васильева.

Если у вас баннер не дает запускать никакие браузеры, делайте так: Пуск-Все программы-Стандартные-WordPad
там жмите вызов справки. На «ободе» справки (там где название окна) нажмите ПКМ — Перейти к URL. Вот и бразуер explorer, но только в виде вордпада. URL вводить в правильной форме с http:// .
Видимо WordPad не рапознается как приложение и не запрещается баннером.

Dims007
27.01.2010, 13:55
R46R93K
А вообще, звоните по номеру: 8-800-555-0102. Дождитесь ответа оператора и назовите ей текст...

Добавлено через 2 минуты


R46R93K
А вообще, звоните по номеру: 8-800-555-0102. Дождитесь ответа оператора и назовите ей текст...

Ивиняюсь, это для ALEXEU.:)

Alexeu
27.01.2010, 18:08
Dims007, код подошел, спасибо большое.

Претезий к Лаборатории Касперского у меня уже нет, я просто немного ступил сам. Извените меня.

NIOnov
28.01.2010, 11:19
я промучался 2 дня и в итоге на каком-то форуме нашел единственное правильное решение которое мне помогло без вопросов....

звоните по телефону тех поддержки a1 "агрегатор" 8-800-555-01-02 (Звонок по России бесплатный).


там говорите что залочен компутер говорите им номер 4460
и говорите код который надо отправить в ответ получаете от девушки код для разблокировки и все... далее сканите комп др.веб кур ит... он все находит... проблема решена...

stsocrat
29.01.2010, 13:07
Где то подцепил такую же хрень. Типа для продолжения работы программы нужно активировать через СМС. Антивирусы не помогли. Зашел в безопасном режиме, там это окошко не вылезло. и с помощью программы ccleaner удалил указанную программу, после чего этой же программой почистил ошибки реестра. Этим методом почистил уже 2 компа. Во втором случае было окошко с порносайта, удалил программу где в названии фигурировали смс и ммс.

Удалил ту строку - теперь не могу залогиниться, сразу происходит логаут

Saint-technik
29.01.2010, 16:40
Удалил ту строку - теперь не могу залогиниться, сразу происходит логаут
Необходимо загрузиться с LiveCD (Alkid, ERD Commander), открыть редактор реестра и в ветке "HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\" установить значение параметра "Userinit" в "C:\Windows\system32\userinit.exe,"

PavelA
29.01.2010, 22:53
установить значение параметра "Userinit" в "C:\Windows\system32\userinit.exe,"
Маленькое замечание: Если директория системы у Вас именно такая .

Navigator19
01.02.2010, 23:27
В общем у кого Winlock тобешь заблокирован весь экран с просьбой отаслать СМС, и нельзя открыть диспечер задач, и в безопасном режиме тоже заблокировано, нет второго компа, и нет Live CD, и коды с сервисов разблокировки тоже не помогают делаем так

Цель добратся до проводника дабы запустить антивирусную утилиту или редактор реестра кому что удобно.

Жмём Win+U и быстро жмём Запустить если окно быстро блокируется и с первого раза не получилось то примерно намете курсором мыши где кнопка Запустить одновременно жмите кнопку мыши и жмите Win+U после появится окно экранная лупа в нём будет ссылка Веб-узел Майкрософт нажимаем на неё после этого окроется браузер далее идём Файл > Открыть > Обзор в поле справа выбераем Мой компьютер жмём ПКМ на диске С или любом другом диске и выбераем Проводник ну а дальше дело техники если редактор реестра regedit.exe не запускается то переименуйте его и попробуйте снова так же относится и к другим программам и утилитам которые не удаётся запустить!
Надеюсь кому небудь поможет!
Вот видио к статье http://bashtube.ru/video/83703/

VV2006
01.02.2010, 23:51
Navigator19, следует особо подчеркнуть, что предложенный способ поможет далеко не всегда - многие из последних локеров-блокеров (видимо давно уже в курсе :)) игнорируют любые комбинации клавиш.

Navigator19
02.02.2010, 12:37
VV2006, А можно на такой взглянуть или хотябы ссылочку где такова зверя подхватить можно!

VV2006
02.02.2010, 14:15
Navigator19, "Зверинец" пополняю бессистемно - увы, времени на работу с коллекцией не хватает. Это насчёт живых экземпляров. Но, думается, мир не без добрых людей! :) А ссылками, возможно, bolshoy kot поможет - ну прям как минный тральщик инет бороздит (http://virusinfo.info/showthread.php?t=30664&page=20)! :)

SDA
02.02.2010, 14:29
VV2006, А можно на такой взглянуть или хотябы ссылочку где такова зверя подхватить можно!

Набрать "sex" или "porno" в яндексе или гугле и вперед, там такой зверинец откроется, особенно, где "бесплатное видео". И лжеантивирусы с установкой троянов и блокираторы, в общем полный зоопарк. И самое главное жми все подряд :)

radd1kas
03.02.2010, 18:15
Вчера подхватил заразу-Онлайн антивирус просит СМС.Ничто не мог сделать-переустановил винду,потом почистил NODом,вроде всё в порядке.У меня вопрос: в реестре надо что-то править? И ещё :что делать если вдруг опять подобная дрянь залезет?

pig
03.02.2010, 20:36
Внимательно прочитать, аккуратно выполнить (http://virusinfo.info/pravila.html)
Тогда будет конкретный ответ.

shveyk
05.02.2010, 00:14
На днях сосед попросил помочь с компом, проблема была в том, что на экране была заставка с голыми бабами и предложение отправить SMS на корткий номер для разблокировки. Заставка не давала запустиь ни одну программу. При запуске в безопасном режиме заставки не было, я удалил эту мерзость из автозапуска, но при запуске в обычном режиме заставка появилась вновь. Пробовал использовать Kaspersky Anti-virus 8.0.0.357 Emergency Bootable CD и LiveCD, в обоих случаях после появления заставки останавливался привод. Попробовал CureIt, запустл его в безопасном режиме, через минуту после начала сканирования комп перезагрузился, больше запустить в безопасном режиме я его не смог. Решил переустановить систему, после переустановки просканировал kis 2010, в карантин попали две дряни: Trojan-Ransom.Win32. PornoBlocker.hz и Trojan-Ransom.Win32.PinkBlocker.eu.
Как можно ещё с этим бороться, кроме того,что попытаться найти код разблокировки, что не всегда удается?
До этого случая с подобными вещами справлялся без проблем.

VV2006
05.02.2010, 08:42
shveyk, ещё можно:
а) вычислить и вычистить локер, загрузившись с LiveCD,
б) попробовать обновленную бета-версию Dr.Web CureIt! для борьбы с Trojan.Winlock (http://news.drweb.com/show/?i=892&c=5).

gjf
05.02.2010, 15:31
Ну вот и Данилов новостями разродился (http://news.drweb.com/show/?i=898&c=9)....

SDA
05.02.2010, 16:45
Ну вот и Данилов новостями разродился (http://news.drweb.com/show/?i=898&c=9)....
ЛК тоже http://www.kaspersky.ru/news?id=207733172 только винлоки им почему то не попались ;)

shveyk
05.02.2010, 20:50
shveyk, ещё можно:
а) вычислить и вычистить локер, загрузившись с LiveCD,
б) попробовать обновленную бета-версию Dr.Web CureIt! для борьбы с Trojan.Winlock (http://news.drweb.com/show/?i=892&c=5).
Спасибо за информацию о новом CureIt!, попробую, думаю пригодится, а вот про чистку локеров после загрузки с LiveCD я не совсем понял, потому что в моём случае троянец не давал ему загрузиться, просто останавливал привод.

Юльча
05.02.2010, 21:20
про чистку локеров после загрузки с LiveCD я не совсем понял, потому что в моём случае троянец не давал ему загрузиться, просто останавливал привод.
а как это у вас троянец "останавливает привод" при загрузке с LiveCD? :O

shveyk
06.02.2010, 02:43
а как это у вас троянец "останавливает привод" при загрузке с LiveCD? :O
Вот этого к сожалению я объяснить не могу. Начинается загрузка LiveCD, появляется заставка с пауком, внизу должна появиться полоса загрузки, но вместо этого останавливался привод и любоваться на этого паука можно было часами.

gjf
06.02.2010, 02:45
shveyk, это невозможно из-за вируса в принципе, даже в теории. Проверяйте Ваши настройки в BIOS и Ваш LiveCD.

shveyk
06.02.2010, 02:53
После переустановки системы, я ради итереса прошелся этим же диском с LiveCD на этом компе, после сканирования kis 2010. всё работает. Так что с LiveCD И BIOS всё в порядке.

Юльча
06.02.2010, 03:06
Вот этого к сожалению я объяснить не могу. Начинается загрузка LiveCD, появляется заставка с пауком, внизу должна появиться полоса загрузки, но вместо этого останавливался привод и любоваться на этого паука можно было часами.
тогда понятно.. :)
но ваше предположение из разряда невероятных..
вы переключаться в подробный режим не пробовали?
например, у меня DrWeb LiveCD по каким-то причинам зависал на загрузке ntfsd, а если не переключаться в подробный режим, то была видна заставка паука :)

VV2006
06.02.2010, 09:36
Надёжнее и быстрее вариант с загрузкой какой либо PE-системы (BartPE, WinPE, ERDC). Плюсы: CurеIt! с привычным вин-фейсом, AVZ+реестр удалённой системы и возможность использования др.инструментов.
LiveCD от DrWeb не понравился неудобством переноса на флешку - слишком много ковыряний для работы с мультизагрузочным меню.

shveyk, Юльча, может были какие траблы с NTFS-томом и DrWeb LiveCD не смог их смонтировать?

Юльча
06.02.2010, 10:51
Юльча, может были какие траблы с NTFS-томом и DrWeb LiveCD не смог их смонтировать?
какие, например?
при этом LiveCD от касперского загрузился без проблем и с загрузкой самой Windows проблем небыло, хотя вирусов там был вагон и маленькая тележка )

Добавлено через 11 минут


Надёжнее и быстрее вариант с загрузкой какой либо PE-системы (BartPE, WinPE, ERDC). Плюсы: CurеIt! с привычным вин-фейсом, AVZ+реестр удалённой системы и возможность использования др.инструментов.
возможно, но DrWeb LiveCD как-то привычнее
вероятно буду пользоваться до тех пор, пока не попался тяжелый случай при котором его возможностей мне будет не хватать :smile2:

а по отсутствию win-интерфейса я абсолютно не страдаю - есть небольшой опыт работы с линуксом (без иксов), но вот просмотр реестра и авз совсем не помешали бы :yes3:

shveyk
06.02.2010, 12:17
может были какие траблы с NTFS-томом и DrWeb LiveCD не смог их смонтировать?
Диск от Касперского вел себя аналогично

VV2006
06.02.2010, 12:36
Юльча, для линуксоидов может и лафа такие Live-LinuxCD, только скорость загрузки+удобства быстрой настройки сети точно не в их пользу. Да и, как отмечалось выше, возможностей для "ручного" исследования удалённой системы в PE-системах больше.
Линукс, видимо, используется ав-вендорами от безысходности - win-платформы (хоть ту же PE-среду) великий и ужасный M$ не даст свободно использовать.

shveyk, в линуксе не силён, не могу судить о его возможности монтировать NTFS-тома с логическими ошибками или физическими повреждениями носителя. Систему, надо полагать, ставили с форматированием раздела?

shveyk
06.02.2010, 12:46
shveyk, в линуксе не силён, не могу судить о его возможности монтировать NTFS-тома с логическими ошибками или физическими повреждениями носителя. Систему, надо полагать, ставили с форматированием раздела?
Windows в своё время ему устанавливал я (у меня до недавнего времени стояла такаяже ОС), но учитывая склонность соседа собирать из инета всю вирусятину, неполадки в ОС могли быть у него любые.

gotmigor
07.02.2010, 10:32
Братик скачал тот же самый якобы Adobe Flash Player 10, с какого-то сайта, похоже порно, т.к. на окне отправки смс написано: "Вы провели на нашем сайте 1 час, потому по соглашению вы должны оплатить месячное посещение сайта для бесплатного просмотра или скачки (или что-то там такое) эротического видео ", ниже на номер 9691 отправьте 590500041, и окно для разблокировочного пароля. Окно с большим приоритетом, поверх всех окон, не закрывается и не сворачивается, при перезагрузке также появляется сразу, обычное серое без картинок, все работает, но ничего не могу сделать, т.к. окна под ним.
Получил на вашем сайте код разблокировки, но вопрос: Что за вирус конкретно, если окно пропадет, то как лечить комп?

у меня эта зараза тоже была- пришлось переустанавливать комп

shveyk
07.02.2010, 17:21
ваше предположение из разряда невероятных..

Сегодня знакомый сисадмин сказал, что недавно столкнулся с проблемой один в один как моя, вылечил с помщью LiveCD, но с помощью другого компа (переставлял винт на другой комп и сканировал LiveCD, после этого система, говорит,ожила).

ppalex
22.02.2010, 21:41
Пришлось столкнуться с несколькими разновидностями эти тварей. Но лечение, как ни странно, однотипное.

Наблюдалось только на машинах на которых исользуют Интернет Эксплорер, такое впечатление что на другие броузеры не распространяются (fierFox, Avant не наблюдается)

kuziakin
19.07.2010, 12:43
На XP такая зараза у нас была, пришлось переустановить, поставили win7 и такие опушения что win7 стал быстрее работать.
(http://eyesvision.ru/)восстановление зрения (http://eyesvision.ru/)