WINDOWS заблокирован. Отправьте СМС на номер 3649.
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных. Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D
Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть “C:\WINDOWS\system32\userinit.exe” (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))
Кстати ДокторВеб написал генератор таких вот кодов.
так скажешь код на 4460?
У кого код K706113100 на номер 4460 – вводим код – 1685992988. И будет вам счастье..
To kylikss: для k706113000 пароль должен быть такой: 1685992888.
Повтаряю еще раз к каждому числу добавляем восемь! Если число двузначное получается то складываем в нем цифры.
Доброго вам времени суток.столкнулся с проблемой нелицушного довнлоад мастера у трёх человек.во всех случаях блокируется диспетчер задач,реестр,командная строка и все программы.Кстати msconfig нормально проходит,но там ничем помочь системе не удалось(отключал всё,но толку ноль).Во всех трёх случаях от безысходности приходилось переустанавливать систему.Очень рад,что нашёл этот форум.Что самое интересное,в случае с вирусом нелицушного гетакселератора в реестре находил его и удалял всю ветку,банер пропадал,но оставались проблемы с инетом(потом кьюритом просто досканивал всё норм).Этот же давнлоад ваще злостный.Если в первом случае удавалось успевать запустить регорганайзер,то в последующих абсолютно ничего не устанавливает,даже в самом начале,и соответственно ничего не запускает.Пока не разобрался каким образом его убить,могу лишь подсказать малое:если щёлкнуть по часикам(внизу),или как писали мой комп свойства,или панель управления-установка и удаление программ,то баннер убирается,но до следующего обращения к любой программе.Но это может помочь хотя бы для сохранения важных данных.Кстати сканил свежим кьюритом,абсолютно ничего не нашёл(Очень бы хотелось понять принцип действия подобных вирусов,что бы понять как с ними бороться,а ещё интересно понять как от этого защититься в дальнейшем(на антивирусы надеяться не приходиться(у одного клиента был каспер с обновлёнными базами,но один хрен).Если кто-то располагает подобной информацией,буду очень признателен. Если сам чего намою,так де поделюсь информацией.С уважением.
Кстати,по поводу порно баннеров.Недавно словил дома такой.Повезло тем,что диспетчер задач не заблокался,в процессах нашёл эту дрянь. plugin.exe лежала эта дрянь в программ файлс и прописывалась в автозагрузке. Самое интересное,что кьюриту указал на этот файл,а он мне сказал,что всё норм. Возможно придётся подправить реестр после этого,после прочтения вашего форума нашёл и у себя след в винлогоне было ещё значение ссылающееся на свхост.(То-то я и гляжу,после этого при загрузке системы вылетала ошибка свхост.ехе.Щас ребутнусь проверю. А ещё что-то не нашёл ничего по поводу порно баннеров в браузерах. Сталкивался и с такой проблемой. Такую гадость лечить проще всего. Надо смотреть в надстройках и удалять подозрительные.А можно удалить все,а потом по очереди включать(или наоборот отключать по одной),только не забывайте перезапускать браузер,что бы увидеть на каком плагине способ помог.В мозиле и опере можно просто заблочить активность данного сайта(что бы узнать адрес сайта,надо правой кнопкой щёлкнуть ка картинке банера и выбрать свойства,там будет адрес её,вот его то и вводим в блок).Есть ещё вариант скачать плагин дб или бд блок,как то-так,точно не помню. Если кому-то помог,это здорово.С уважением.
Огромное спасибо, Admin!!! Идея с [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon] сработала!
вторым параметром в Userinit было “…kui2c3.tmp”. удалила, потом нашла все подобное везде (регистр, локал сеттингз,…) и….. тоже удалила. перегруз. сейчас все ок.
да, и за оживлялку таск мэнэджера – спасибо!
повторюсь – берегитесь kui2c3.tmp!!!
Пляяяяя… Жалко вас всех. Без иронии и сарказма говорю. В 2007 году я поставил себе Убунту. Алилуйя.
Всем добрый день. у меня похожая проблема…после загрузки винды (Виста) синий экран просит отправить смс на номер 5370, с текстом 552007…для доступа к порно ресурсам…пробовал менять время в биосе…не помогло….диспечер не запускается, alt+tab не работает. что можете посоветовать???
заранее спасибо
Лечить просто. Надо позвонить в компанию a1 агрегатор, им принадлежит номер 3649, 4460 и прочие. Описать проблему и они бесплатно дадут ключ для разблокировки. Вот ссылка https://www.a1agregator.ru
Ключ дают всем без проблем!!!
Та же песня но серая страница на весь экран, в безопасном не грузится выбивает синий экран ошибки, переустановил винду пока норм.
Vasa
действительно помогает.
Пацаны не партесь есть более простой способ удалить этот вирус(главное что бы был антивирус)короче открываете панель управления:установка и удаление программ жмете удалить Opera,Mozila firefox или другие!!!жмете удалить и выскакивает антивирус с этим найденным вирусом и вы просто жмете УДАЛИТЬ !!!!!!!!!!!
Еще нашел интересную шнягу попробуйте набрать код
«ЗАЧИСЛЕНЫ» говорят помогает :)
Комментарий от sias [ Сентябрь 23, 2009, 11:13 ]
я долго от смеха по полу валялся когда прочитал… потом я долго рыдал что эта фишка сработала!!! биос пытался тож но не катит. винду стал ставить думаю дай с мобилы поищу что народ пишет вобщем всем спасибо за советы))) теперь буду искать что от этого говнища осталось!
РУКи ЛОМАТЬ НУЖНО КТО ТАКОЕ ГОВНО ДЕЛАЕТ!
Несколько слов о Диспетчере задач.
Для запуска Диспетчера задач выполняем действия.
Ищем файл gpedit(C:\WINDOWS\system32)
Конфигурация пользователей-Административные шаблоны-Система-Возможности Ctrl+Alt+Del-Свойства (ставим отключен)-Применить. Жмем Ctrl+Alt+Del находим гада, вырубаем поцесс и далее удаляем.
Жена в ноутбуке словила красного. НОД32 467 прошляпил. Говорят 474 сборка этот фокус не пропускает. Различные способы лечения вышибли заставку, только теперь страницы перестали открываться.
Это стало поводом поставить 7 вместо ХРени, ибо на 7 такие фокусы по определению не проходят. Там права администратора даются не по умолчанию.
А вообще надо жаловаться больше на этот кошелёк, эти услуги незаконны!Кто поторопился и заплатил – требуйте возврата у своего сотового оператора. Они если немного наехать возвращают.
Да и вообще эти четырёхзначные контент-провайдеры прижимать законами пора!Грабят людей напропалую и управы нет на них никакой. Закон нужен!
Сегодня подхватил такой вирус. Через “щёлочки” поменял разрешение экрана, это не сильно помогло, но скраю получилось запустить восстановление системы с раннего состояния (Выполнить,msconfig,общее, запустить восстановление системы и т.д ) Помогло, работает пока.
У меня вирус который просил смс на номер 1350 заткнулся когда я ввел код – 6523
=)
Комментарий от Maria [ Декабрь 13, 2009, 19:02 ]
Помог только звонок по телефону 8 (495) 3631427 Добавочный 555
Спасибо, Maria! тветили сразу и код без вопросов сказали!
Для iLite сработала следущая закономерность –
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″
текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188
Поймал то-же самое, удалил всё из втророй операциоки (на компе их две)
сначала мне заблокировал сеть порноинформатор или как его там)( типа отправьте смс на номер 1350 и т.д. и т.п нашла код информатор убрала после чего с помощью cureit (не помню как точно пишется) удалила 8 троянов делее после полной проверки вирусов не обнаружилось но доступ в интернет все равно перекрыт что делать??? помогите пожалуйста так как без интернета жизни нет!!!
Сегодня вылетела красная хня: “Система заблокирована. Отправьте смс…..” Надпись стоит поверх всех окон.
Проводник работал :) но с тормозами сильными добрался до AVP.exe (то бишь Каспера) и полная проверка.
В процессе проверки (50-55%) вирус был найден и удален надпись сразу исчезла сама…
Предлагаю создать сообщество, пока на добровольных началах и наказывать спамеров по полной программе(удовольствие перевернуть в страх).
Необходимо:
1. Любая зацепка для выхода на конкретное лицо или фирму
2. Финансовая составляющая (вполне решаемая задача)
3. Исполнители
у меня тоже проблема.
подскажите текст 2104 номер 3649 занята часть экрана инэт работает; мигает надпись(войти на сайт) как ее убрать?
Что-то ничего не помогает… СМС 590400041 на номер 9691. Ни у кого не было?
попробуйте набрать код
«ЗАЧИСЛЕНЫ» говорят помогает :)
ПОМОГАЕТ !!!!!!
Мне помогло перевести дату на 30 дней вперед.
Присоединяюсь к Игорю от 06/01/2010!
Этих виртуальных бандитов должны отлавливать ФСБ и мочить их в сортирах!
Отправляйте все письма в ФСБ на сайте https://www.fsb.ru/fsb/webreception.htm.
Нужна государственная помощь в защите нашей частной собственности от вымогателей.
Вот текст моего письма:
В мой копм. загрузилась программа-вымогатель, которая просит отправить СМС с кодом К205414800 на номер 4460.
Прошу ФСБ обезопасить мою частную собственность (компьютер) и мои деньги от вымогательства со стороны владельца этого номера и конечного получателя денег.
Прошу привлечь его/их к судебной ответственности за вымогательство.
С уважением, гражданин РСФСР.
Пара показательных процессов отобъет охоту запускать эти программы в сеть!
