SpayniX Web Portal

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Windows заблокирован - отправьте SMS

E-mail Печать PDF
(1 Проголосовало)

Многие уже встречались с таким троянцем который блокирует Windows и показывает такое сообщение:

Windows заблокирован

Для разблокировки необходимо отправить СМС с текстом ****на номер ****

При запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

Вот несколько разновидностей скриншотов которые вы можете увидеть:






Есть несколько путей решения этой проблемы.

1. Специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Новый генератор Доктор Веба (xml )

Генератор ответных СМС на сайте Касперского

Генератор ответных СМС на сайтеsupport/winlock/" target="_self"> Eset Nod32

upd. 2. Появился телефон для помощи и разблокировки компов от троянов мошенников. Как говорят пользователи нашего сайта звонили - все ок.
+7 800 100 7337 (федеральный)
+7 495 363 1427 (московский)

Наиболее простым способом дезактивации рекламного баннера является обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер», которой принадлежит короткий номер, используемый злоумышленниками.Назовите оператору необходимые сведения о вредоносном ПО, чтобы получить код разблокирования.Обращаем ваше внимание на то, что обращение в службу поддержки компании «А1: Первый альтернативный контент-провайдер» и последующая разблокировка не позволяют полностью излечить пораженную ОС. После дезактивации вредоносного ПО мы настоятельно рекомендуем вам пройти остаточное лечение своего ПК.

 

upd. 3. Появилась очень полезная программка с набором ключей для разблокировки компьютера от СМС - мошенников: RansomHide.

old. 4. Переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. (Срабатывает не для всех версий трояна)

5. Вмешательством в систему можно сделать так:

1. Загружаемся с LiveCD

2. Удаляем файлы blocker.exe и blocker.bin из директории C:\Documents and Settings\All Users\Application Data

3. Запускаем редактор реестра (regedit), в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение параметра "Userinit" с C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ ALLUSE~1\\APPL IC~1\\blocker.exe наC:\\WINDOWS\\system32\\userinit.exe так же проверяем, чтобы параметр "Shell" выглядел так Shell=Explorer.exe

4. Вот ещё совет от нашего пользователя:

Коды разблокировки не прокатили ничьи - ни Web, ни Касп, ни Nod..
просили 7520115 на 5121
Решение: после загрузки c live CD нашел в реестре WinLogon ссылку на \program files\common files\Opera\Opera.exe - чего быть не могло.
Удалил ссылку и сами файлы(не путать с нормальной оперой, которая лежит там, где положено) - и все  , чего и Вам желаю

6. Появился новый вид мошенничества, примерно вот такое сообщение появляется при открытии сайта Вконтакте, Одноклассников:

Уважаемый пользователь! С Вашего аккаунта была замечена неоднократная SPAM рассылка! В связи с этим Ваша страница была временно заблокирована, для разблокировки аккаунта Вам необходимо отправить SMS с текстом 16230330 на номер 3381. Напоминаем, что мы вправе удалять неактивные аккаунты в течении 2-х недель. 
С уважением, администрация Сайта ВКонтакте.

Естесственно отсылать никаких СМС не нужно, просто ваш компьютер перенаправляется на поддельный сайт. Для того, чтобы убрать перенаправление нужно открыть Блокнотом файл hosts, по пути C:\Windows\System32\drivers\etc(у всех одинаковый)

Нужно удалить всё снизу до строчки 127.0.0.1       localhost

Если всё работает, значит всё отлично, но обычно троян опять может переписать этот файл - поэтому нужно обязательно проверить компьютер антивирусам или утилитой от Др.Веб .

Немного информации для тех кому интересно:

Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска.

Что делает? Копирует себя в %windir%\system32\drivers с именем winlogon.exe, затем прописывается в реестр в Windows\CurrentVersion\Run, а после первой же (неизбежной!) перезагрузки еще и как оболочка
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

или так

В реестре изменить значение HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon параметра "Userinit" с "C:\WINDOWS\system32\\userinit.exe, \blocker.js" на "C:\WINDOWS\system32\userinit.exe", исключить таким образом автозагрузку скрипта.


Потом инициирует перезагрузку и выдает очень натуральную картинку о нелицензионном программном обеспечении, и требование оплатить через яндекс-деньги, если посмотреть, как же теперь активироваться :))) Красота!

Защит никаких нет, скрытых троянов, регистрируемых сервисов, ocx или dll, убиения антивирусов - нет, все крайне просто. За исключением того, что даже в защищенном режиме попадаем туда же... ;) но есть еще вариант "с поддержкой командной строки", который собственно и спасает.

Комментарий очеведца: Вылез смс-вирус с требованием отправить сообщение 1023302 на короткий номер 5121. Позвонил в http://www.alt1.ru/ по московскому номеру +7(495) 363-14-27 сообщили код для убирания банера 5091769345, тут же появилось сообщение что текст смс изменился и ещё нужно отправить текст 1023703 на 5121, сообщили код разблокировки 6012734206. Помогло, экран с гадостью пропал.

Не поддавайтесь на уловки вирусописателей, отправляя им запрашиваемые SMS.

 

Источник: asadmin.ru

Обсудить на форуме

Обновлено 20.08.2010 16:33  

Добавить комментарий



Анти-спам: выполните задание
network monitoring tool

Погода

Яндекс.Погода

Статистика

Пользователи : 705
Статьи : 246
Просмотры материалов : 1480805
mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterСегодня102
mod_vvisit_counterВчера135
mod_vvisit_counterЗа неделю646
mod_vvisit_counterЗа месяц2372
mod_vvisit_counterВсего840097

Кто на сайте

Сейчас 26 гостей онлайн

Поиск

Информация о профиле

Application afterLoad: 0.004 seconds, 0.52 MB
Application afterInitialise: 0.114 seconds, 3.13 MB
Application afterRoute: 0.132 seconds, 3.68 MB
Application afterDispatch: 0.311 seconds, 8.30 MB
Application afterRender: 0.592 seconds, 9.36 MB