WINDOWS заблокирован. Отправьте СМС на номер 3649.
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D
Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть “C:\WINDOWS\system32\userinit.exe” (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))
Кстати ДокторВеб написал генератор таких вот кодов.
все хренатень. убрал так_ востановление системы дней на пять назад. и все. но грохнулась опера. пришлось переустановить. жаль что быстро убрал. хотелось бы получше узнать его. но он висит в опере в загрузки. а след в папке темп. удачи всем.
и вообще. это суки из нева лайн отправляют. я их нашел телефон и адрес.кстати официальные представители мегафона. вот так. т.е. нас разводят сотовики.
Сергей, думаю вы ошибаетесь, так как если бы было так как вы говорите, то репутация этой компании пострадала бы так что доходы от этих смс были бы как капля в море по сравнению с убытками от подтверждения такой информации. Если можно раскажите из чего вы сделали такие выводы.
Не знаю, поможет ли вам это, и тем более не претендую на исключительность метода, но работать это должно – была схожая ситуация. Сначала проверяете каспером с последними базами на другом компе – если лечит – радуетесь, если нет – читаете дальше. В общем грузитесь с чего – нибудь, что есть под рукой – liveCD я не пробовал, у меня ubuntu есть установленная – на вирусы на ней пох. Заходите на ‘тот самый’ порносайт или еще куда, где вы эту заразу поймали и стараетесь поймать живой ‘экземпляр’ этой заразы – обычно это trojan – dropper – в виде .exe или еще чего нибудь. Можете погуглить по имени файла, если помните его – возможно найдется на файлообменниках. Находите. Не пытайтесь его устанавливать – отравьте на исследование касперу. В моем случае через несколько часов пришел ответ :
Здравствуйте,
flvdecode.exe – Trojan-Dropper.Win32.Agent.bhec
Детектирование файла будет добавлено в следующее обновление.
> Блокирует компьютер с с предложением отправить смс.
>
С уважением,
Павел Зеленский
Ведущий вирусный аналитик
Теперь обновляете каспера на другом компьютере и проверяете опять. Вируса он удалит, но сопли в реестре останутся – чистите любой прогой для очистки реестра – я использую jv16 pover tools.
Если остаются обычные артефакты типа отключенного диспетчера задач, скрытого пункта Свойство папки и прочее – можете погуглить что и где в реестре поправить, а можете поставить XP Tweaker и там поправить. И последнее – тут много говорилось, почему их не садят, не казнят и анально не карают? В большинстве случаев их вину не так просто доказать, потому что ВЫ сами (большинство!) устанавливаете эти самые бесплатные download – менеджеры, кодеки для просмотра ‘особого’ видео и пр. И почти всегда вы ПРИНИМАЕТЕ ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ! Где-то это явно, где – то не очень – присутствует только ссылка – но этого НИКТО НИКОГДА не читает, а зря… Ведь там написана ВСЯ правда, что вам придется отправлять смс, и что доступ к компьютеру будет блокирован, что будет установлен порнобанер и пр. А программки эти пишутся по десятку в день, и нет ничего удивительного в том, что антивирус их не видет – думать надо головой! Неплохо зарекомендовал себя метод гугления имени подозрительного файла перед его установкой, если антивирус молчит – если наткнетесь на подобную тему в форуме – думаю, что делать объяснять не надо, и желательно, отправить образец на проверку касперу – это не реклама, просто я пользуюсь только им, можете хоть Гейтсу отправлять, я же буду говорить о том, в работоспособности чего я уверен.
Будьте, наконец разумными – бесплатный сыр бывает только в … – ну вы помните!
КО МНЕ ЭТА ЗАРАЗА ПРИШЛА С ФЛЕШКИ РАСКИНУВ КОСТИ – НАЖАЛ НА РЕСЕТ НА БЛОКЕ И ВКЛЮЧИЛАСЬ ПЕРЕЗАГРУКА ПОТОМ F8 – безопасный режим и восстановление системы – поставил точку вчерашним днём и снова перезагрузил – всё чисто
А я искал про диспетчер как раз… Помогло!
У меня было тоже самое, только не с Windows а с ВКонтакте.ру. Вот что там было написано:
“Для борьбы со спамерами и аккаунтами – пустышками мы ввели новую систему защиты. Теперь каждый аккаунт подлежит обязательной смс активации. Данная процедура является одноразовой. Для активации вашего аккаунта пожалуйста отправьте смс c текстом “511551125” на номер 3649. В ответном смс вам придёт код, который необходимо ввести в поле и нажать кнопку Активировать аккаунт. Смс на номер 3649 бесплатны!
——————————————————————————–
ВКонтакте всегда заботится о Вашей безопасности! “
Спасибо всем за инфо
Спасибо автору,помогло :)
перевёл дату на месяц вперёд и всё пропало спс Вам за подсказку PS. когда перевёл дату смог спакойно удалить папку которая использовалась другим админом))))
Большое спасибо!!!!
Подцепил подобную хрень. Прикреплён был к скачанному файлу. Не то кодеки какие-то для воспроизведения потокового видео, не то флэш-плеер. Вылечил, вроде бы… Воспользовался самым первым советом. Окно было под Вистой голубовато-серого оформления и само не вылезало. Нащупалась другая серьёзная проблема: после того, как вирь установился на ноутбук, обрубился инет. При чём в процессах появился один мерзкий процесс, который клонировал сам себя каждую секунду. Убил его кое-как процесс-киллером, а вот после этого, после того, как начинаешь его убивать, вылезало это самое окно. Окно НЕ сообщало о том, что Виндовз заблокирован, а вещало о том, что мне предоставлен бесплатный доступ к порно ресурсу на 00:00 часов и минут. А так как доступ кончился, то нужно слать СМС…
Виря-то я как бы прибил. Удалил из папки ТЕМР, включил диспетчер задач, путь загрузки Winlogon в реестре подправил, в общем, всё проделал, как написано в первом посте. Но теперь не работает интернет. Бук устанавливает интернет-соединение, передаёт от 2 до 3 кб, принимает от 20 до 30 кб и на этом всё. Ни одна прога в инет выйти не может! Антивирус Eset Smart Security 4 выдаёт: “Ошибка открытия сокета”, Опера ругается, что нет связи с удалённым сервером, Скайп ваще ничего не говорит. При попытке играть по локальной СЕТИ через wi-fi Diablo II тоже сказал, что socet не может быть открыт! Пытался откатить Винду на разные даты – не помогает. Инет у мну через 3g модем и мобилу по блютусу.
Прошу знающих людей помочь мне советм, как заставить приложения выходить в инет?! Форточки переставить не могу, т.к. при переустановке они форматнут винт С:\ который у меня на 110 гигов.
У меня появилось окно с порнорекламой на весь рабочий стол,естественно,просят отправить смс на 3649 с текстом М20920006 . Борюсь с этой заразой со вчерашнего вечера, диспетчер задач заблокирован,безопасный режим не вкючается,время перевести тоже невозможно,ибо пишет:восстановление системы откючено групповой политикой… Короче,я в шоке!что делать?
Нда ребят… Все что описано выше не поможет… Все это бред сивой кобылы в новогоднюю ночь… Реальный совет который вам поможет, а точнее два:
Совет первый:Если у вас пишет то что установлена нелицензионная система то код будет 13616, после этого сразу нажимаем комбинацию трех пальцев и ждем…в процессах появляется например 601.ехе. Сносим его, если проворонили, то вводим опять код и ждем… Цифры каждый раз будут разные.Запускаем поиск и находим этот файл(а заодно и папку где он лежит) и сносим все вместе с папкой к е****й матери.После этого качаем Dr.Web® LiveCD, пишем на болванку. После качаем Dr.Wed CureIt,Kasperky virus remowal tool, Ad-Aware.Можно заодно и нод.И запускаем это все по очереди… Ждем окончания сканирования(по пути удаляем все найденые зараженные обьекты).После качаем NoAdware(крякаем,обновляем)сканируем-удаляем.Дальше качаем Reg Organizer(крякаем)и чистим в авторежиме весь реестр.После в ней же чистим файлы. Теперь перегружаем машину и грузимся с Live CD доктора веба… Проверяем им машины(ещё пару выковырнет)После грузимся в безопасник(просто безопасник)и всеми антивирями ВМЕСТЕ сканим машину.После скана и удаления грузимся в обычный режим и если все ок, то проганяем машину др.Вебом.Все, радуйтесь жизни… Заодно ещё раз пройдитесь Reg Organizer и будет вам добро…Перед началом всей работы прочитстите(если у вас это получится)Темпы,куки и всю прочую лабуду.Изапаситесь пивом и терпением… У меня сразу сканило пять антивирей…А все то что написано выше в моем случае не помогло…Удачи. если что пишите в аську475143973
Если не катит, сносите Винду…
с ужасом посмотрела на вылезшее сообщение о том что винда на моем ноуте нелицензионная…чуть было не отправила сообщение, но потом вчиталась в адрес “офиса microsoft в Москве” и поняла что улицы Кирилова у нас нет))))) вообщем помогло банальное восстановление системы на недельку назад через безопасный режим….
кста…в моем варианте вируса еще был указан “юридический адрес” и даже телефон))))
2Маша:
У меня появилось окно с порнорекламой на весь рабочий стол,естественно,просят отправить смс на 3649 с текстом М20920006 . Борюсь с этой заразой со вчерашнего вечера, диспетчер задач заблокирован,безопасный режим не вкючается,время перевести тоже невозможно,ибо пишет:восстановление системы откючено групповой политикой… Короче,я в шоке!что делать?
Столкнулся с той же проблемой, что и у Вас. Решение нашел самостоятельно.
1. Удаляем значение в реестре: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\App_IDs со значением где указан путь к файлу nlLnE.dll (обычно он находится в C:\Windows\System32, ну у кого как)
2. Удаляем или переименовываем файл nlLnE.dll по указанному пути (у меня получилось переименовать)
В результате последствий вирусни у меня отключились диспетчер задач и редактор реестра (остальное не проверял). Действия с реестром проводил через TotalCommander c плагином для редактирования реестра.
Если возникли проблемы с лечением – пишите, чем смогу… gem777@mail.ru
2Сергей:
Спасибо! Все получилось!!!!
Только у меня был не nlLnE.dll, а – zdnCM.dll
И действия проводил через ERD-Comander-2008
фаил может быть любой, размер примерно 126Кб. скрытый, название из 5-и букв, а в свойствах что-то про касперского
2Александр:
Да, все верно, я забыл указать, что в свойствах было про каспера.
Еще одна неточность:
Я написал, что значение в реестре App_IDs, неточность в том, что значение именуется как: AppInit_DLLs.
На 25 ноября этот блокер не обнаруживался антивирусами, прогнал dll на virustotal, был обнаружен только некоторыми из антивирей. Поэтому мне DrWeb CureIT не помог в тот момент, на данное время не знаю, насколько он обнаруживается антивирями.
У кагО проблемы с ПОРНО ИНФЕРМЕРОМ (= …грузитесь с ЛИВе СД —- грузите Файловый менеджер УДАЛЯЙТЕ ВСЕ ТЕМПЫ в пользователях и интернет експоуреТЕМП =) перезагрузитесь, прогоните через ComboFix должно исправить реестры=)
парни помогите плиз!! Кароче такая хрень поймал типо тоже отправте смс а потом вобще пробала а инет остался заблокирован что делать плиз подскажыте (пишети в мыло илю сюда либов асю 391-415-432) ЗАРАНИЕ ОГРОМНОЕ СПОСИБО!!!!
Блин ничего сначала не знал об это вирусе… зашел скачать и вылазит, мол, отправте смс …и (если б я раньше прочитал что нибудь за эти вирусы) ничо не помогло, не мог зайти даже в диспечер задач и в безопаный режим. Пришлось отправить.. сняли 300 рублей – козлы
В пятницу подхватил вирус – при запуске офисных програм, выскакивает порно картинка и требует смс на номер 3649 с текстом М….. Ни чего страшного заходим на сайт Д ВЕб скачиваем специальную програмку (тут нужно создать образ на СД диске) загружаем комп с этого диска и через 5 часов Ваш комп здоров. А жители Украины говорят спасибо Оператору Лайф который обслуживает номер 3649
схватил позавчера винлокер…
на image-хостинге название не запомнил.
Было так: выскакивает на экран серое окно с предложением отправить смс за какой-то хренью – ничего не работает, никакие комбинации клавиш. Через несколько секунд браузер закрылся, я обнаружил что вызов диспетчера задач изменился но не придал особого значения этому. На следующий день врубаю комп – вуаля. Безопасный не вызывается – следует перезагрузка, никакие ухишрения с клавой не работают. Мутил с знакомым, испробовали всё из перечисленного – нихрена.
Заюзали livecd – удалил к чертям собачьим всё ,что получил в день заражения, за исключением доверенного. Вирус выглядел так: msxnet32.dll
Перезагрузил – хренушки, реестр не правил – винда считает что удалил важный файл. Ну и что, поставил другую винду..к этому всё и шло.
Вирусописание и распространение вирусов карается уголовным кодексом любой цивилизованной страны.
Вымогательство обычно карается ещё строже.
Никто не додумался в милицию заявление написать?
Получателей СМС-денег взяли бы споличным.
у меня правда была другая проблемма! я зашел на какой-то порносайтег, а там видео, чтоб его посмотреть попросило скачать и установить флэш-кодек! потом когда все было скачано и установлено то выскочило окно белое с замком и написано чтоб уплатил деньги через СМС иначе хана компьютеру! что только ниделал нихрена! за этим окном диспетчера невидно! оно заблокировало интернет… но у меня стояла прога Артмани (для взлома рессурсов игр)запустил ее и там когда выбираешь процесс показало путь активного процесса псевдоокошка этого долбаного!!! ну вот оно находится в папке ,,темп,, кароч залез туда поколдовал трохи поудалял все полностью а то что не удалялось то переименовал – переименовываете нажимайте ентер! пару раз! перезагружаете и все! мне помогло!
Мне помог этот совет!!Спасибо!!
Пуск–>Выполнить–>набираем в строке regedit–>жмем ОК
идем сюда–> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe !!все после этой строки путь к тому месту где эта дрянь лежит!! –> c:/документс&сеттингс/аккаунт/local settings/Temp/(don9CF6.tmp) <–запоминаем это путь и этот файл(это он сцука!!)Лезем туда, находим (don9CF6.tmp) и еще несколько файлов с именем don9CF6 но с другим расширением и все их переименовываем(попытки их удалить вешали проводник),перезагружаем комп и вуаля!!у меня все исчезло!!потом опять лезем c:/документс&сеттингс/аккаунт/local settings/Temp/(don9CF6.tmp)и сносим эти файлы нафиг,качаем свежий Dr.Web и прогоняем полную проверку,находит троян,вот и все вроде!!
