Московское время -
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
ANTIVIR Жилец Форума
Зарегистрирован: 26.05.2006 Сообщения: 102 Откуда: Ногинск
|
Добавлено: Чт Апр 23, 2009 9:03 pm Заголовок сообщения: Будь бдителен |
|
|
Уже многие жаловались на то, что при подключённом интернет соединении вдруг вылетает красное окошко, либо весь экран становиццо чёрного цвета с надписью "Windows заблокирован, для разблокировки отправьте смс на такой-то номер".
Что только не придумают... а самое интересное что это работет |
|
Вернуться к началу |
|
|
Белая Лисица песец
Зарегистрирован: 21.04.2006 Сообщения: 7715 Откуда: г. Ногинск
|
Добавлено: Чт Апр 23, 2009 9:04 pm Заголовок сообщения: |
|
|
да-да... была такая фигня. на провокацию не поддалась) |
|
Вернуться к началу |
|
|
ANTIVIR Жилец Форума
Зарегистрирован: 26.05.2006 Сообщения: 102 Откуда: Ногинск
|
Добавлено: Чт Апр 23, 2009 9:14 pm Заголовок сообщения: |
|
|
Один недалёкий товарисч мне рассказал как он решал эту проблему:
"Положил на счёт сто рублей, отправил... эфекта ноль, положил исчо 200 и отправил на указанный номер дабы разблокировать систему - эфект тотже" В итоге выключил ноут на два часа. После включения всё было в ажуре. |
|
Вернуться к началу |
|
|
Nesh Только зареганый
Зарегистрирован: 26.04.2009 Сообщения: 4
|
Добавлено: Вс Апр 26, 2009 12:28 pm Заголовок сообщения: |
|
|
ИМХО поставь firewall и АВ и будет тебе счастье. |
|
Вернуться к началу |
|
|
RaPet Долгожитель
Зарегистрирован: 01.02.2007 Сообщения: 980 Откуда: РФ
|
Добавлено: Ср Июл 01, 2009 10:36 am Заголовок сообщения: |
|
|
ANTIVIR писал(а): | Один недалёкий товарисч мне рассказал как он решал эту проблему:
"Положил на счёт сто рублей, отправил... эфекта ноль, положил исчо 200 и отправил на указанный номер дабы разблокировать систему - эфект тотже" В итоге выключил ноут на два часа. После включения всё было в ажуре. |
А на мой "недалёкий" взгляд, ну очень умный человек! Кратчайшим путём, с минимальными моральными потерями и за минимальные деньги человек исправил ситуацию! Это я с позиций своего личного опыта говорю. Или я чего-то не поняла? _________________ Я же сказал"ваше новое", но это не означает, что оно вообще абсолютно новое.
Оно вполне может быть чьим-то старым. |
|
Вернуться к началу |
|
|
Дядь Серёжа Кладезь мудрости народной
Зарегистрирован: 06.09.2004 Сообщения: 22959 Откуда: откуда все:) Глухово
|
Добавлено: Ср Июл 01, 2009 11:10 am Заголовок сообщения: |
|
|
RaPet писал(а): | очень умный человек! Кратчайшим путём, с минимальными моральными потерями и за минимальные деньги человек исправил ситуацию! |
Кратчайшим путём её надо было решать вообще без денег, просто перезагрузицца. Ну или антивирь запустить. _________________ Если мальчик любит мыло
И зубной порошок,
То у этого дебила
Будет заворот кишок. |
|
Вернуться к началу |
|
|
RaPet Долгожитель
Зарегистрирован: 01.02.2007 Сообщения: 980 Откуда: РФ
|
Добавлено: Ср Июл 01, 2009 10:26 pm Заголовок сообщения: |
|
|
Дядь Серёжа писал(а): |
Кратчайшим путём её надо было решать вообще без денег, просто перезагрузицца. |
Дядь, кажется, ты не вполне осознал ситуацию и плохо её представляешь!
Цитата: | Ну или антивирь запустить |
Дык поздно! Скjрее всего, антивирь к тому времени уже взломан и этот вирус не видит... Если б всё так просто было, народ бы не переустанавливал Windos. _________________ Я же сказал"ваше новое", но это не означает, что оно вообще абсолютно новое.
Оно вполне может быть чьим-то старым. |
|
Вернуться к началу |
|
|
Сомалийские пираты
Зарегистрирован: 02.10.2006 Сообщения: 13984 Откуда: Универсальная Река Абсолютной Любви
|
Добавлено: Ср Июл 01, 2009 10:49 pm Заголовок сообщения: |
|
|
А вы уверены, что после отправки денег вам что-то активизируется?
Или если активизируется - то через месяц не затребует денег снова.
Когда есть возможность халявно взять денег, никто просто так не остановится. В этот раз вам активизируют винду, а в следующий раз затребуют гораздо большую сумму и пообещают убить уже железо (а это возможно). _________________ Sapienti sat |
|
Вернуться к началу |
|
|
RaPet Долгожитель
Зарегистрирован: 01.02.2007 Сообщения: 980 Откуда: РФ
|
Добавлено: Чт Июл 02, 2009 8:48 am Заголовок сообщения: |
|
|
Сомалийские пираты писал(а): | А вы уверены, что после отправки денег вам что-то активизируется?
|
Вот в этом-то и главная суть сомнений! Так сказать, слабое звено!
Цитата: | Или если активизируется - то через месяц не затребует денег снова.
Когда есть возможность халявно взять денег, никто просто так не остановится. В этот раз вам активизируют винду, а в следующий раз затребуют гораздо большую сумму и пообещают убить уже железо (а это возможно) |
А вот что бы этого избежать, в образовавшуюся временную паузу принять кардинальные меры, как то: обновить антивирусную программу, почистить диски и, может быть, переустановить Windows в спокойном состоянии. _________________ Я же сказал"ваше новое", но это не означает, что оно вообще абсолютно новое.
Оно вполне может быть чьим-то старым. |
|
Вернуться к началу |
|
|
Uncle Floyd суп с котом
Зарегистрирован: 13.08.2005 Сообщения: 8195
|
Добавлено: Чт Июл 02, 2009 1:24 pm Заголовок сообщения: |
|
|
RaPet писал(а): | Или я чего-то не поняла? |
а Вы в наперстки с цыганами не играли? говорят, это помогает кратчайшим путём, с минимальными моральными потерями и за минимальные деньги поправить финансовое положение |
|
Вернуться к началу |
|
|
RaPet Долгожитель
Зарегистрирован: 01.02.2007 Сообщения: 980 Откуда: РФ
|
Добавлено: Чт Июл 02, 2009 4:01 pm Заголовок сообщения: |
|
|
Uncle Floyd писал(а): |
RaPet писал(а): | Или я чего-то не поняла? |
а Вы в наперстки с цыганами не играли? говорят, это помогает кратчайшим путём, с минимальными моральными потерями и за минимальные деньги поправить финансовое положение |
Хорошо смеётся тот, кто смеётся последним! Вот попадёшь в такую ситуацию с вирусом, тогда и смейся в волю! _________________ Я же сказал"ваше новое", но это не означает, что оно вообще абсолютно новое.
Оно вполне может быть чьим-то старым. |
|
Вернуться к началу |
|
|
TANITY ГигаФлудер
Зарегистрирован: 31.01.2005 Сообщения: 2131 Откуда: Ногинск_citY
|
Добавлено: Чт Июл 02, 2009 4:20 pm Заголовок сообщения: |
|
|
RaPet писал(а): | Uncle Floyd писал(а): |
RaPet писал(а): | Или я чего-то не поняла? |
а Вы в наперстки с цыганами не играли? говорят, это помогает кратчайшим путём, с минимальными моральными потерями и за минимальные деньги поправить финансовое положение |
Хорошо смеётся тот, кто смеётся последним! Вот попадёшь в такую ситуацию с вирусом, тогда и смейся в волю! |
а если вам смс придет с текстом "привет, это Вася(Лена, Петя...) у меня проблемы, срочно положи мне денег на телефон"
вы ее каким образом решать будете?
из той же серии всем рассылали открытки с задолженостью на какой нибудь старой симкарты.
Помоему все эти примочки для лохов понятны. Обычный развод на деньги - только вот новый.
А по сему надо антивирус обновлять и иметь в друзьях такого человека, который мелкие проблемки сможет вам по телефону объяснить, как исправить. _________________ Период полураспада зарплаты равняется неделе и от размера зарплаты не зависит |
|
Вернуться к началу |
|
|
B.C. Rich ГигаФлудер
Зарегистрирован: 11.04.2005 Сообщения: 2253 Откуда: Ногинск
|
Добавлено: Чт Июл 02, 2009 11:16 pm Заголовок сообщения: |
|
|
RaPet писал(а): | Сомалийские пираты писал(а): | А вы уверены, что после отправки денег вам что-то активизируется?
|
Вот в этом-то и главная суть сомнений! Так сказать, слабое звено!
|
А почему вы вообще решили, что эти левые люди имеют хоть какое-нибудь отношение к Windows вцелом и к вашей конкретной копии в частности? Врядли дядюшка Билл и его МелкоМягкая корпорация опустились до использования сервисов типа "4242" _________________ Better watch out,
Cos I'm de assassin
Последний раз редактировалось: B.C. Rich (Пт Июл 03, 2009 9:15 pm), всего редактировалось 1 раз |
|
Вернуться к началу |
|
|
RaPet Долгожитель
Зарегистрирован: 01.02.2007 Сообщения: 980 Откуда: РФ
|
Добавлено: Пт Июл 03, 2009 4:08 pm Заголовок сообщения: |
|
|
B.C. Rich писал(а): |
А почему вы вообще решили, что эти левые люди имеют хоть какое-нибудь отношение к Windows вцелом и к вашей конкретной копии в частности? Врядли дядюшка Билл и его МелкоМягкая корпорация опучтились до использования сервисов типа "4242" |
Да ничего я не решила! Мне с самого начала сказали, что это такой вирус, развод на деньги. Вопрос в том, как выходить из этой ситуации. _________________ Я же сказал"ваше новое", но это не означает, что оно вообще абсолютно новое.
Оно вполне может быть чьим-то старым. |
|
Вернуться к началу |
|
|
mrRisk Форумщик
Зарегистрирован: 13.06.2009 Сообщения: 25 Откуда: Ногинск
|
Добавлено: Сб Июл 04, 2009 7:42 pm Заголовок сообщения: |
|
|
Ну во первых это разводка чистой воды,не думаю ,что они вообще тебе разблокируют винду.Им нет дела кто отправил деньги на счет ,а кто нет.Они просто хотят заработать бабла.Так что не отправляй не куда деньги.Вирус думаю полный голяк написаный на каленках студентом либо содраный и немного модифицируемый пинч.Не думаю что малвара харошо прячется так что проверь ветвь реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run и еще [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] и [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices] найдешь какую нибудь хрень удаляй , но сначало проверь в инете.
Так же посмотри в процессах вдруг там прячется предатель особое внимание обрати svchost.exe и посмотри в firewall куда они стучат. |
|
Вернуться к началу |
|
|
RaPet Долгожитель
Зарегистрирован: 01.02.2007 Сообщения: 980 Откуда: РФ
|
Добавлено: Вс Июл 05, 2009 7:39 pm Заголовок сообщения: |
|
|
Цитата: | ...проверь ветвь реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run и еще [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] и [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices] найдешь какую нибудь хрень удаляй , но сначало проверь в инете.
Так же посмотри в процессах вдруг там прячется предатель особое внимание обрати svchost.exe и посмотри в firewall куда они стучат. |
К сожалению, лично я в этом ничего не понимаю по причине полной безграмотности! Но тем, кто разбирается, быть может, поможет. _________________ Я же сказал"ваше новое", но это не означает, что оно вообще абсолютно новое.
Оно вполне может быть чьим-то старым. |
|
Вернуться к началу |
|
|
B.C. Rich ГигаФлудер
Зарегистрирован: 11.04.2005 Сообщения: 2253 Откуда: Ногинск
|
Добавлено: Вс Июл 05, 2009 10:03 pm Заголовок сообщения: |
|
|
RaPet писал(а): | К сожалению, лично я в этом ничего не понимаю по причине полной безграмотности! Но тем, кто разбирается, быть может, поможет. |
А чего именно не понимаете? Если про то, как найти реестр и сделать то,о чём пишет Риск, то: Пуск->Выполнить->regedit-> далее по инструкции. Если точно знать что искать, то можно какую- нибудь программку использовать, типо "reg cleaner". Не знаю, поможет ли, но почистить реестр никогда не вредно) _________________ Better watch out,
Cos I'm de assassin |
|
Вернуться к началу |
|
|
mrRisk Форумщик
Зарегистрирован: 13.06.2009 Сообщения: 25 Откуда: Ногинск
|
Добавлено: Вт Июл 07, 2009 3:56 pm Заголовок сообщения: |
|
|
Сидел вчера вечером и вдруг вспомнил, я видал уже такую малвару ,не знаю такая ли она или нет но вот что я нарыл.
Вирус:Trojan.WinLock.**
копирует себя в: c:/documents and settings/all users/application data/
под именем: blocker.exe и blocker.bin
дописывает в реестр: HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ключ: "C:\\WINDOWS\\system32\\userinit.exe,..,C:\\DOCUME~ 1\ \ALLUSE~1\\APPLIC~1\\blocker.exe"
-----------------------------------------------------------------------------------------------------------
Что представляет собой вирус, блокирующий запуск Windows
Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. Trojan.Winlock распространяется в виде поддельных кодеков.
Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a. Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A.
Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.
Деструктивные действия вируса
После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\<rnd>.tmp (<rnd> – случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af.
После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\<rnd>.tmp;
– в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={<rnd2>}&wid=<rnd3>&u=<rnd3>&number=<rnd4>install=1,
где <rnd1> – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты, <rnd2> – специально сформированный уникальный идентификатор, <rnd3> – случайное число, <rnd4> – серийный номер жесткого диска.
– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора. Затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).
---------------------------------------------------------------------------------------------------------
АДРЕС РАЗБЛАКЕРОВКИ У ДОКТОРА ВЕБА!!!!!!(проверен ))
http://news.drweb.com/show/?i=304
!!!! Это только разблакировка это не удаление вируса.
-----------------------------------------------------------------------------------------------
Программа от Symantec(не проверена!!!но symantic авторететная компания так что тоже пользуйтесь)
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/Ransom_unlock.exe
---------------------------------------------------------------------------------------------------------
УДАЛЕНИЕ ВИРУСА
Способ 1 (Не проверенный так ,что на свое усматрение .С маей точки зрение лучшие попробывать другой способ.)
Как удалить вирус вручную
Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите свою ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
то нибудь
– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
– закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;
– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;
– закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK;
– во время перезагрузки нажмите D.Это программа.elete для входа в CMOS Setup Utility;
– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме;
– проверьте систему антивирусом со свежими базами.
Способ 2 (ссылка на форум virusinfo .Сайт весьма авторитетен.Там руководство. http://virusinfo.info/showthread.php?t=44642
--------------------------------------------------------------------------------------------------------
Советы Мой(банальные)!!! перед всем этим сделайте backup необходимых вам данных так ,как любое изменение может вызвать потерю данных, особенно Способ 1.
Во вторых пора уже начать пользоваться брандмауэрами или firewall ,встроенный в windows брандмауэр не начто не годиться (факт!!).
И в третих смотрите что вы скачиваете из интернета ,любой файл может быть потенциальной заразой.
P.S Самое интересное что Доктор веб нашел вирус первым,Старый доктор рулит. |
|
Вернуться к началу |
|
|
B.C. Rich ГигаФлудер
Зарегистрирован: 11.04.2005 Сообщения: 2253 Откуда: Ногинск
|
Добавлено: Вт Сен 01, 2009 11:56 pm Заголовок сообщения: |
|
|
Получил подобное сообщение В контакте (якобы от Павла Дурова ): "ваш аккаунт был заблокирован антиспам - системой. Для разблокировки отправте бесплатное смс на номер...". И вид у главной странички был палёный: ни одна ссылка не открывалась, язык не менялся и т.д. Явно при обращении к vkontakte.ru страничка подменялась.
Поступил как обычно в таких случаях. открыл блокнотом C\WINDOWS\SYSTEM32\drivers\etc\hosts и вручную удалил оттуда всё, что связвно с контактом (если не уверены, то можно резать вообще все строчки, кроме local host). Проблема решилась. _________________ Better watch out,
Cos I'm de assassin |
|
Вернуться к началу |
|
|
mrDuke Мега-Звезда
Зарегистрирован: 12.04.2006 Сообщения: 386 Откуда: из транса
|
Добавлено: Пт Сен 04, 2009 10:35 am Заголовок сообщения: |
|
|
B.C. Rich писал(а): | Получил подобное сообщение В контакте (якобы от Павла Дурова ): "ваш аккаунт был заблокирован антиспам - системой. Для разблокировки отправте бесплатное смс на номер...". И вид у главной странички был палёный: ни одна ссылка не открывалась, язык не менялся и т.д. Явно при обращении к vkontakte.ru страничка подменялась.
Поступил как обычно в таких случаях. открыл блокнотом C\WINDOWS\SYSTEM32\drivers\etc\hosts и вручную удалил оттуда всё, что связвно с контактом (если не уверены, то можно резать вообще все строчки, кроме local host). Проблема решилась. |
Таже ситуация произошла и у меня только у меня помимо контакта эта дрянь выскакивала и на однаклашках и на мыле.... Способ удаления такой же ))) _________________ all you need is trance |
|
Вернуться к началу |
|
|
B.C. Rich ГигаФлудер
Зарегистрирован: 11.04.2005 Сообщения: 2253 Откуда: Ногинск
|
Добавлено: Пт Сен 04, 2009 10:06 pm Заголовок сообщения: |
|
|
mrDuke писал(а): | Способ удаления такой же ))) |
"Семь бед - один reset"
Но эта дрянь перед тем как я пароль сменил всё равно успело спама наотправлять, Хорошо ещё, что вконтактовцы, наконец, спам - фильтром озаботились... _________________ Better watch out,
Cos I'm de assassin |
|
Вернуться к началу |
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|
|