WINDOWS заблокирован. Отправьте СМС на номер 3649.
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D
Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть “C:\WINDOWS\system32\userinit.exe” (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))
Кстати ДокторВеб написал генератор таких вот кодов.
код разблокир.6303881
Если у вас пишет что Виндоус заблокирован, отпрате СМС для разблокировки, то просто оставляете включенным компьютер на 2 часа и заставка сама выключается,
Мда…. не помогло все что описано выше (парадокс)….
Хелп кто разобрался…
По порядку о проблеме:
1. антивирус стоит Avira Antivir Personal, last update 07.12.09
2. скачал программу, антивир не отреагировал установил, проверил, все ок, комп выкл.
3. утро, включаю комп, разрешение дикое 800х600, сыпется куча системных сообщений о не догруженных программах и модулях, полностью залочен доступ к всем файлам с любыми расширениями… даже txt блочит.
Anvir task manager – в отрубе, диспетчер задач заблочен, пуск -> выполнить , заблочен, доступ к реестру также залочен, тотал коммандер не запускается, переменные среды вынесены в C:\Temp – папка снесена, все папки с временным файлом в ДокументсИСетингс удалены, дата в БИОСе менялась на дни и недели в перед, Dr.Web Curitel и прочие аналогичные оси с АВ не помогли даже не определили наличие вируса, хотя все скачено сегодня с оф сайтов на бук там же записано и опробированно на зараженном настольным ПК….
4. После пары часов колдовства, вылезло белое окно с надписью: Вы нарушили лиц.соглашение программного продукта iMax Download Manager – пипец отжигают хорошо что не iPhone to windows mobile. Кстати текст: отправьте СМС с текстом М204011500 на номер 3649, Осталось времени 02.59 минут…. Генерация кода на сайте Доктора ВЭБ не помогла коды не подходят….
5. гружусь с winPE с кучей софта, анти вирей и т.д. поиск файлов от 08.12.09 все сношу что нашел, В том числе и sda64.exe в Windows\system32\ перезагрузка и вот пароход им в анал та же хрень…
6. в 18.35 оставил включенным ПК с е… табличкой, нарисовался только через 4 часа, хм… у таблицы отсечка Осталось времени 3 с .уем часов.
Факты:
Доступа к системным утилитам и сторонним программам – нет.
Запуск файлов и выполнение программ – не возможно.
Антивирус после прочеса в течении 3.5 часов выдал результат – 0.
Удаление всех файлов загруженных с 07 по 08.12.09 – не помогло.
Помогите Хелп!!!! Советы типа переустанови это слишком просто хочется эту сцуку за одно место взять….
Кто это написал????? Я сам программист уже 15 лет как но написать такую подляну в голову не падало…. Убил бы выстрелом в голову из Дедовской двустволки…
Эксперимент продолжался всю ночь 2 захода по 2.55 мин. таймер до нуля, ожидание перезагрузка и все тоже самое…., всю симптоматику сегодня отправлю в антивирусные конторы…
Два дня лажу по нету найти нихрена не могу, у самого та же ерунда что и у Age бля попал мля, теперь вместе будем сидеть ждать((( хорошо хоть второй комп есть, кстати чтобы убрать эту табличку на время, попробуйте правый клик по мой компьютер-свойства, помогает
P.s. подключил спецов знакомых, говорять пока только перезагрухка и поможет мать его
Age [ Декабрь 9, 2009, 23:14 ]
У меня такое же сообщение “iMax Download Manager и т.д.”.
Подождал пока время (3 часа) выйдет – ноут не выздоровел.
Безопасный режим поначалу грузился, но потом заключил окончательно.
Удалось загрузить за 1,5 часа обычный режим.
Очистил папки:
– c:\Documents and Settings\”Имя_Пользователя”\Local Settings\Temp\
– c:\Documents and Settings\”Имя_Пользователя”\Local Settings\Temporary Internet
К – C:\\WINDOWS – пока не пробиться.
Попытки “Восстановление системы” дают сообщение – “Отключено групповой политикой.Свяжитесь с администрацией домена”
С удовольствием приму помощь.
с утра отправил запрос по антивирусным конторам… уже вечер в ответ тишина….
повторил весь парад действий:
снял хард зацепил на другой ПК по порядку прогонял под разными антивирями:
все с последними базами, ключи с прилагаемого диска с журнала компьютер билд….
1. AVZ – результат 0
2. Kasper – результат 0
3. Dr.Web – результат 0
чистка всех папок на подозрительные файлы:
удаление всего закаченного до 07.12.09
в том числе опять удаление файла sda64.exe он сцуко откудато произрастает… удаление не типичных библиотек…
удаление всего с папок:
C:\Documents and Settings\Я\Local Settings\Temp
C:\Documents and Settings\Я\Local Settings\Temporary Internet Files
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Documents and Settings\Default User\Local Settings\Temp
C:\Documents and Settings\NetworkService\Local Settings\Temp
найдена еще один непонятный файл не имеющий отношения к оси но маскирующийся, svchost32.exe удален к е…ой матери.
Результат:
цепляю хард стартует система… вроде порядок но сыпяться сообщения о неверных путях в реестре, чищу реестр, правлю пути, перезагруз и ЧТО ВЫ ДУМАЕТЕ?
Е..ная с..а опять таже ебалаечная история… при первой же попытки запустить любой файл..
НО!!!! Эксперимент продолжается… Я выковыряю тело этой уеты….
Парни, есть очень простой способ как избавиться от этой фигни. Позвоните по номеру 8(495)3631427 Добавочный 555. Приведу пример моего разговора с ними:
-Здравствуйте.
-Здравствуйте.
-Номер 3649 принадлежит вам?
-Назовите код смс.
-М204111500
-Код активации……(извините не запомнил, был на эмоциях)
-Почему вы творите это дело.
-Это не мы, это наш партнер нарушил правила партнерского соглашения, мы ему уже отказали в услугах и бесплатно раздаем коды активации.
Раз этот номер принадлежит вам, то я на ваше имя могу писать претензии в прокуратуру?
-Пишите, это ваше право.
У меня точная копия как у Age.Еще при запуске меню “удаление програм” окно уходит, но запуске .exe файлов опять выходит.Аcrobat-запускается при старте .pdf файлов.
To Age: если получиться обязательно напиши.Удачи
Age, друг, если ты ее победишь, напиши как, тоже самое у меня, делал тоже что и ты, пытался врубить восстановление системы в реестре и т.п., Итог один: НИХЕРА!!! борюсь, если справлюсь дам знать!!!
Кстати, к тому, что вирусное окно закрывает часть экрана,и некоторые окна, некоторых программ не видно из-за этого. Я менял разрешение экрана три четыре раза, пробовал всякие экзотические разрешения, на некоторых режимах часть(самый краешек) окна становится видимым и можно его зацепить и вынуть из под окна вируса.
Age, у меня таже самая проблема! Ход твоих действий по идентификации вируса совпадает с моим :) Ни один антивирь с новыми базами не видет его. Загружаться антивирусам даёт только через LiveCD. Остальное всё блокирует. Так же в ручную искал вирус в папках-ничего не нашёл, правда в одном из temp-ов я нашёл подозрительный exe сидевший у меня в реестре здесь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit «C:\WINDOWS\system32\userinit.exe, и этот *.exe» Удалил, в regedit всё почистил, что было с ним связанно/ Перезагрузил комп, появляется заново. Вообщем, промучился 3 суток, переустановил винду в папку (например)Windows2. А предыдущую системную Windows затёр.
Спасибо огромное Ilovich! два дня билась-ничего не помогало! реально НИЧЕГО!!!!!!!!!!! звонила в тех поддержку этого А1А, записали телефон, сказали ждите два дня!!! Я свою систему всю на уши поставила. А позвонила по номеру 8(495)3631427 ,как ilovich написал,там уточнили время (с точностью до минуты) и дали код! На последнии версии этой хрени ничего не действует! так что звоните,не откладывайте!
Спасибо огромное!
Комментарий от ilovich [ Декабрь 10, 2009, 19:10 ]
Реально работает!!!!!!!!!!!!!!!!
реально работает звонок по телефону. позвонил около 10 вечера, выслушали, сказали код…всё четко и чертовки приятно что без нервов=)
позвонил на номер 363-14-27 доб. 555
на код М204211000 дали код активации 7537544333
Поставил Касперского, делаю полную проверку компа. Уже 30 троянов нашел.
Всем удачи.
А я его все таки победил… сегодня подготовлю подробный обзор и размещу….
у меня вылезла эта чушь в опере!опера не закрывается это окно висит потом кое-как зыкрыл оперу окно исчезло сделал так Пуск–>Выполнить–>набираем в строке regedit–>жмем ОК
идем сюда–> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] у меня «C:\WINDOWS\system32\userinit.exe» это значит все окей или пипец?))
А кто-нибудь знает, что за ерунда выскакивает – ilite net accelerator с якобы предупреждением о нарушении лицензионного соглашения и просьбой отправить смс на 3649. Блокирует антивирус и запускается при открытии приложений. Генерация кодов Др.веб не помогла, наверное новая версия. В безопасном режиме – то же самое, ждать пробовал, время менять – не помогает.
позвонил на номер 363-14-27 доб. 555
на код М204111300 дали код активации 7537444633
“А я его все таки победил… сегодня подготовлю подробный обзор и размещу….”
Age, очень ждём! Мне весьма интересно!
У меня довольно детская и наивная история. Повелась на развод мур-клуба, т.е установила программу-комп вырубился, умала ладно, раз рботает пронесло.Захотела зайти в контакт и опана…”В связи с тем, что у Вас установлена не официальная копия Windows, Мы совместно с Microsoft ограничили доступ к некоторым сайтам. Для легализации продукта – нужно проделать следующие действия.
Для того чтобы активировать свой Windows, отправьте SMS с текстом: “vsemobiles” на один из следующих номеров:
9099 для абонентов России;
7138 для абонентов Украины;
Если Вы не отправите сообщение в течение 24 часов, то мы будем вынуждены отформатировать Ваш жесткий диск, тем самым удалить всю информацию с него.
Стоимость SMS равна номинальной стоимости, установленной вашим оператором.”
Вот такая ерунда. На одноклассниках и яндексе тоже самое( восстановление системы не помогает.Пуск-все программы-служебные-активация виндоус…Тоже не помогает…на опере тоже самое…генератор от веба непомогает. НЕ ЗНАЮ ЧТО ДЕЛАТЬ. Вирус обнаружить неполучается( вообщем у вас люди прошу помощи:(
Итак постараюсь изложить все по порядку:
Все время пока я пытался найти тело программы мой взгляд был ориентирован на папки
Windows, Windows\system32 и Documents and Settings с всеми подкаталогами….
В действительности тело и место старта если так можно назвать находиться в папке
C:\Program Files\Common Files\TM FilePacker\ и
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\
Что мы делаем:
1. загружаемся с LiveCD и удаляем следующие папки:
C:\Program Files\Common Files\TM FilePacker\ и
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\ogzc.dll
C:\WINDOWS\system321.tmp а лучше все подозрительные файлы с таким расширением удалить.
чистим папки:
C:\Documents and Settings\Я(ваш профиль)\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows\Temp
удаляем из реестра пути:
[HKEY_USERS]\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run значение: userinit
[HKEY_USERS]\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run значение: userinit
Также смотрим подозрительные программы на загрузку, в моем случае:
Ixbsqlp, cyfgjxi, gpzldeao и подобные… все сносим.
Перезагружаемся и радуемся….
Для тех кто вводил код активации не мешает проверить указанные папки на присутствие этих файлов….
Всем Удачи!!!
Спасибо за информацию, ilovich!
Попробуй для своего номера вот такой код – 7537444833
Всем “обладателям” текста смс начинающегося на М:
по-видимому, логика ответного кода активации (состоящего из 10 символов, как и текста смс) такова – вместо М ставится 7, к остальным цифрам текста смс прибавляется 3
PS Спасибо Age! Делал тоже самое, только в Common Files заглянуть не догадался..
Помог только звонок по телефону 8(495)3631427 Добавочный 555
НО!!! помог с 4 звонка, сначала другой человек звонил, потом я…
делают вид что не понимают что происходит, если говорить не уверенным тоном крутят и спрашивают всякую фигню про время и даты… и говорят про 2-3 дня ожидания. Последний звонок сделала четко сказав “у меня вирус, который просит отослать СМС с кодом таким-то на ваш номер телефона, дайте код, пожалуйста”
код продиктовали моментально
https://downloads.kaspersky-labs.com/trial/registered/D4NYOKQH7DVZYEKPGMX5/kis9.0.0.736ru.exe
без комментарий просто качайте и на полную проверку))
Если у Вас не получается самостоятельно удалить вирус, требующий отправить СМС на короткий номер 4171, 3649, 5155, 1350, 7122, 8353 или другие
Если на экране написано что Вы Нарушили лицензионное соглашение программы Imax Download Manager,
Доступ в интернет заблокирован в связи с нарушением лицензионного соглашения программы Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro и др.
Появился порно баннер (порнозаставка) на весь экран? Не запускается никакой антивирус, exe, bat, com файлы?
Если у Вас не получается самостоятельно удалить вирус – обращайтесь к специалистам E-HELP.KIEV.UA
Мы поможем Вам быстро и качественно почистить компьютер от вируса БЕЗ переустановки системы и потери данных!
Большой опыт работы, тысячи вылеченных компьютеров
044 5878626
8(495)3631427 Добавочный 555 – работает.
Код активации который дает оператор заточен под текущую дату – т-е если эксперементировали со сменой дат – проверяйте, на компе должна быть текущая дата.
Age, спасибо большое! Вот я дурья башка в Common Files тоже не догадался залезть…век живи-век учись!
Вера тоже подхватил эту заразу. iLite Net Accelerator типа не лицезионная.
отправьте код M204612200 на номер 3649
кажется все уже перепробовал, систему сносить не хочется.
