• 0 Поддержать автора
  • Поделиться

SMS вирус вымогатель - как лечить!

Прохожий   
VIP пользователь   
22 January 2010 1986 4
вариант 1

простой способ На сайте DrWeba есть смс ответы которые формируются по номеру куда нужно отправить и тексту сообщения, после чего окно пропадает, после этого запускается DrWeb сканер и все прекрасно лечится.
__________________

вариант 2

смотрим тут

информация Ссылка
генератор кодов Ссылка
генератор кодов Ссылка


__________________

вариант 3

1=Есть СМС вирь 1 уровня ,когда можно запустить любую программу ,например тотал командер или другое ,хоть и окно практически на весь экран!
Лечим так.Запускаем с компакта или флешки Антивирус Зайцева (AVZ).
Файл -- Восстановление системы - галочки разблокировать дисп. задач и редактор реестра
Затем запускаем выполнение скрипта с помощью AVZ из аттача.
После этого запускаем регедит и импортируем регфайл из аттача.
Перегружаемся и все ОК!
2=СМС вирь 2 уровня - например eKav антивирус - любая прога тупит и не запускается!
Загружаемся с Live CD ,загружаем в редактор реестра - реестр пациента и правим
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC". Удаляем
Приводим значения "Userinit" и "Shell" - к такому значению!
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:WINDOWSsystem32userinit.ex e"
"Shell"="Explorer.exe"
После перезагрузки повторяем процедуру как для 1 уровня!


аттачи не привожу, т.к. не могу прикрепить файлы...
__________________

вариант 4

Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных.
Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось попотеть. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором smile.gif Я вроде ниче не блокировал.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.

DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionWinlogon]

Значение параметра Userinit должно быть "C:WINDOWSsystem32userinit.exe" (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все ненужные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше.

__________________




На случай порно-баннеров

1. Кто то начинает переустанавливать систему, кто то вообще форматирует жесткий диск из за этого баннера! Но не стоит впадать в такие крайности, все просто лечится и вся гадость удаляется без проблем. Главное спокойствие и для этого есть несколько способов. Первый. Если хотите посмотреть какие то для вас неизвестные сайты, то лучше пользуйтесь браузером Opera, самый безопасный браузер на сегодняшний день.

Главные файлы которые выводят показ на страницах браузера, хранятся в папке Windows/system32/ ищите там pllib.dll, toblib.dll, qyklib.dll, ppxlib.dll, putlib.dll и другие *lib.dll, они меняются в зависимости от того какой ”плохой” сайт вы посетили, главное смотрите на дату его появление, если оно появилось тогда, когда вы увидели ”отправьте смс с сосущей девочкой” на страницах браузера, то смело удаляйте этот файл(ы).

Вот самый быстрый ход выполнения задачи устранения гадости:

а. Эксплорер - Сервис - Управление надстройками - LexLibVideo Plugin - Отключить. Закрываем браузер.
b. Мой компьютер - Локальный диск С - Поиск файлов и папок - *lib.dll - Удалить
c. Пуск - Выполнить - regedit - ОК - Правка - Найти - LexLibVideo Plugin - Удалить всё что найдётся.

Если что то не понятно, то далее открываем браузер, идем Сервис - Надстройки IE (в английском варианте Tools - Manage addons), там ищем два-три плагина с стандартным dll расширением и с неизвестным именем в котором стоит AVI, MPEG формат, возможно еще название Lexlibinstaller или LexLibVideo Plugin (все что относится к медиа плеерам не брать в расчет) и тупо их отключаем. Сами по себе эти файлы не являются вирусами, это обычные надстройщики над браузером, только вредные Так же не забудьте удалить все временные файлы интернета (IE - Сервис - Свойства обозревателя - закладка Общие - Очистить (удалить) временные файлы интернета)

2. Если вы ребенок 12-14 лет, как в том 8 случае и боитесь своих предков как огня, то для начала можете отключить показ картинок в браузере, дабы не светить голых теток на экране, делается это так, в IE - Сервис - Свойства обозревателя - Дополнительно - убираем галочки ”Воспроизводить анимацию на веб-страницах” и ”Показывать изображения” и потом уже со спокойной душой уничтожать следы рекламного зловредного порно-баннера

3. Попробуйте просканировать компьютер на вирусы и шпионские модули с помощью программ-утилит CureIt от DrWeb, AdAware и Spyware Terminator

4. Есть очень хорошая утилита под названием HijackThis, выискивающе все то, что загружается системой, но это программа подходит для тех, кто хоть немного разбирается в Windows и не по наслышке знает что такое реестр. В ином случае вы можете удалить важные системные файлы или пути к ним. Но раз мы запустили программу, то работаем с ней, итак, после сканирования нужно проставить галочки в места где обнаружена гадость, как определить что это гадость, об этом было написано в 1 пункте.

5. Чтобы не ”хавать” такие картинки в будущем, то надо отключить ActiveX в браузере IE, через Сервис - Свойства обозревателя - Безопасность - жмите на ”Другой…” и там внизу есть несколько пунктов, которые нужно Отключить, и там же до кучи еще запретить всплывающие окна.
Для браузера Firefox, поставьте плагин noscript - всякой дряни станет меньше в разы.

6. Если у вас включено ”восстановление системы” то можете вернуться на день назад, выбрав контрольную точку для восстановления в Панель управления - Система. Но этот способ для тех, кто боится таких слов как ”удали в реестре”, ”ищи в папке system32?

7. Последний совет: Никогда не устанавливать не проверенные программыскриптыплагиныкодеки с НЕИЗВЕСТНЫХ ресурсов, а если еще речь идет о порнухе, то шанс лохануться есть 99%, и еще совет НИКОГДА не вводите паспортные данные и тем более данные кредитных карточек на подобных сайтах.

ЗЫ: Интересно, кто нибудь запомнил какой номер там прописан для отправки SMS ? По сути СМС-биллинги должны наказывать за такие дела…

ссылка на статью Ссылка

grada1976

Имя: grada1976
Группа: Активный пользователь
Сообщений: 425
Регистрация: 14.01.2010
Заходил(а): 01.01.1970
Город:
grada1976
Активный пользователь
   25 January 2010

Прохожий

Прохожий

Имя: Прохожий
Группа: VIP пользователь
Сообщений: 1963
Регистрация: 22.10.2009
Заходил(а): 01.01.1970
Город:
Район: Центральный
Телефон: (0512)537393 (основной)
Прохожий
VIP пользователь
   26 January 2010

я думаю, что при борьбе с вирусом это не метод... хотя тоже вариант

Ganka

Имя: Анна
Группа: Активный пользователь
Сообщений: 683
Регистрация: 22.10.2009
Заходил(а): 06.09.2015
Город: Николаев
Район: Заводской
Ganka
Активный пользователь
   26 January 2010
неделю назад пришлось переустановить систему, в автозагрузке ниче не нашли((((
Просматривают эту тему:

Forum