Страницы
Промо
Ваш компьютер блокирован, отправтье смс на номер 7132
Попался мне недавно очередной СМС вирус. Сотрудники прибежали с башенными глазами, полными слёз и ноутбуком в руках. Спасай, кричали они, с нас магарыч. Ну как тут откажешь.
В окошке следующий текст. Посмею заметить? что текст написан не очень грамотным человеком :)
Внимание Ваш компьютер блокирован, для разблокировки компьютера Вам надо отправить СМС. В противном случае данные вашего компьютера будут удалены безвозвратно.
Для получения кода активации Вам надо отправить СМС
С текстом regsysy b20
На номер 7132
После входа в систему без разговоров вылетает окошко, белое и красивое. Ни удержание Shift ни стандартные Win+D, Win+U, Ctrl+Shift+Esc ни даже великий Ctrl+Alt+Del не смогли дать мне шанс вызывать диспетчер задач.
Начинаем развлечения.
Перезагружаем компьютер и держим F8. Загружаем в безопасном режиме с поддержкой командной строки. Запускается система и консоль. Вызываем диспетчер задач и находим файл sound.exe. Уж чересчур подозрительный.
Такого процесса я не знаю, но и найти его где-то в реестре прописанным в автозагрузку тоже не могу.То что это он во всём виноват сомнений нет. Как только я его убил — окошко пропало. И система выдала сообщение что не может найти sound.exe.
Сам файл находится в папке c:\windows\media\sound.exe. Весит 35 килобайт и не определяется ни одним антивирусом. Но это пока.
Файл удалил и полез искать кишки в реестре. Наткнулся на ветку HKEY_CURRENT_USER\Software\Microsoft\ Windows\ShellNoRoam\MUICache и там его ключик. Ссылается на сам файл.
Ключик тоже удалил. Перезапустил компьютер и вуаля. Все отлично. Файл отправил Касперскому и тут же получил ответ.
Здравствуйте,
sound.exe - Trojan-Dropper.Win32.Wlord.xz
Детектирование файла будет добавлено в следующее обновление.
Не люблю подобные дела. Портить людям жизнь и наживаться на этом — это низко и тупо. Таких вирусописателей и распрастранителей нужно бить ногой в ебло.
Комментарии
| Комментарий от Алексей [ 17 января, 2010, 23:57 ] |
НА САЙТЕ: https://av.demozone.ru/ ВВОДИМ ТЕКСТ, КОТОРЫЙ ВАМ ПРЕДЛАГАЮТ ОТПРАВИТЬ ПО СМС, |
| Комментарий от Кирилл [ 18 января, 2010, 03:05 ] |
Хлопцы, вы все молодцы и я с вами согласен, что этим пидарам ПО ПИЗДАКУ надавыть ! ! ! |
| Комментарий от Кирилл [ 18 января, 2010, 03:13 ] |
И еще… есть такая прога: RansomHide – небольшая утилита, которая поможет Вам в случае, если Вы лазали по интернету и Вам потребовалось установить flash-плеер для “нормального” отображения страницы, или просто нажали не на ту кнопку и теперь с вас требует отправить sms-сообщение по указанному номеру для разблокирования компьютера. |
| Комментарий от марина [ 18 января, 2010, 10:26 ] |
sayrus141!!!огромное спасибо,поступила точно как вы,зашла в программ файл,а там висит что то даже по цвету отличающееся,все папки жёлтые,а тут квадратик синего цвета.я с ним поступила как вы расказывали,успела выбросить в корзину и очистить,раньше я пользовалась сайтами,где можно подобрать ключ,два раза помогло,а в этот раз даже и не начали разрабатывать этот троян сожалению,они идут на шаг впереди антивирусов,ещё раз спасибо,сижу счастливая от сознания,что не надо переставлять винду,и что в очередной раз фигулю под носулю этим гадам! |
| Комментарий от KAWASAKI zx9r [ 19 января, 2010, 01:05 ] |
Миниатюрная утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет… Очередное обновление к версии 0.1.23 Небольшая история: Принесли мне както компьютер на ремонт. В котором при запуске появлялась большая женская %гениталия% на весь 19 дюймовый экран, которая просила отправить смс с текстом таким то на номер такойто. Поиск вирусов через Livecd эту самую %её% не убрал. Интернет к слову из за вируса накрылся %ею% и попасть на любой форум для советов или хотя бы в яндекс нельзя было. Но я зашел в сеть со своего компа и наткнулся на сайт https://news.drweb.com/show/?i=304. В самом низу сайта есть генератор ответных кодов для таких вот вирусов. Вводишь код этой %гениталии% и она испаряется. Но это если у вас тырнэт не заблокируется вирусом. А если таки заблокируется? Переустанавливай винду ибо убрать такие вирусы пока сложно, не имея под рукой хитрых антивирей на livecd. И я написал огроменную программу на целых 15 килобайт в которой собраны все те же самые ответы, что и на упомянутом сайте. Собственно програмку для упокоения этих вирусов я и выкладываю. Лицензия – Freeware Русский язык – встроенный OC Win all |
| Комментарий от Ольга [ 19 января, 2010, 10:11 ] |
Баннер с СМС 8553341 на номер 7132 ПОМОГИТЕ!!! Я из РБ, позвонить оператору не могу. |
| Комментарий от KAWASAKI zx9r [ 19 января, 2010, 11:20 ] |
Ольга, попробуй этот: iqpay021190 |
| Комментарий от Ольга из РБ [ 19 января, 2010, 21:16 ] |
Загрузила комп и пока эта хрень не успела запуститься, я ее перетащила в корзину (да, на рабочий стол перетащила еще вчера)потом сразу же очистила корзину. Пока не появилась. Может еще как перестраховаться? |
| Комментарий от Ольга из РБ [ 19 января, 2010, 22:03 ] |
Стала качать DrWeb, а он не качается, выскакивает сообщ. после 4% загрузки (около 5 минут)про какой-то таймаут. Подскажите что это такое??? |
| Комментарий от KAWASAKI zx9r [ 20 января, 2010, 07:45 ] |
Утилиты для борьбы с вирусами ! |
| Комментарий от Кэт [ 21 января, 2010, 13:39 ] |
Здравствуйте! У меня похожая проблема, только никаких окон не вылезает и смс отправить не предлагает. Просто сидела в интернете, вдруг резко вырубился комп. После включения перестали запускаться программы, не могут найти файл dll в папке Temp. Я в ней посмотрела, эти файлы оттуда тупо пропали!(набирала их в поиске, он выдавал, но к концу поиска они пропадали) Пыталась запустить восстановление системы, пишет: “восстановление системы отключено групповой политикой. Для включения восстановления системы свяжитесь с администратором домена”. Что делать? Я в этом деле полный чайник, подозрительные файлы от неподозрительных отличить не могу, описанных выше не встречалось. Помогите, пожалуйста!!! |
| Комментарий от Лёха [ 22 января, 2010, 05:27 ] |
Спасибо большое сайту доктора веба)) |
| Комментарий от Виктор…самовар… [ 22 января, 2010, 16:41 ] |
При включении после приветствия появляется на чёрном фоне надпись о том, что онлайн антивирус обнаружил на компе вредоносный вирус с постоянно меняющимся шифром( через 130 секунд) Просит смс для получения кода…Рабочего стола нет… В винду захожу при перезагрузке с командной строкой…Посоветуйте чё-нить… А!!! |
| Комментарий от Булат [ 22 января, 2010, 16:44 ] |
Сегодня проснулся и вижу табличку просят отправить СМС на номер 9691, прое..лся с кампом часа 2, ноль результатов, отправил СМС 300 рублей нет и просит отправить еще!!! помогла полная переустановка винды, а это полная жопа((( |
| Комментарий от KAWASAKI zx9r [ 22 января, 2010, 19:57 ] |
Кэт, dll в папке Temp и не должно быть. Эту папку вообще можно удалить и она восстановится сама. Восстановление системы = Мой компьютер (правой кнопкой мыши жмешь) = “управление” = вкладка “службы и приложения = “службы” – дальше смотришь что вкл. или выкл. и т.д., запускаешь “восстановление системы”. |
| Комментарий от Мария [ 22 января, 2010, 20:49 ] |
Я вас очень прошу помоч!у меня выскакивает табличак с отправкой смс на номер 1350 с текстом 891281442!))помогите пожалуста!))) |
| Комментарий от KAWASAKI zx9r [ 22 января, 2010, 23:38 ] |
Булат, я извиняюсь что часто влезаю сюда… но на этой странице написано все что нужно для уничтожения подобного хлама. ВЫ ЧИТАТЬ УМЕЕТЕ????? Лично для тебя… _ КОД ДЛЯ РАЗБЛОКИРОВКИ; 1718193387 НАПОМНЮ: |
| Комментарий от Наталья [ 23 января, 2010, 10:15 ] |
Здравствуйте. Сегодня появился новый вирус на компе, так же вылезло окно и написано: Помогите решить эту проблему |
| Комментарий от Татьяна [ 23 января, 2010, 16:10 ] |
Столкнулась с той же проблемой. В компютере понимаю, но немного…Скачалась какая то фигня через контакт, вылезло окно – посередине экрана “отправьте бесплатную смс с текстом 70+131381 на номер 2810”. Блокировалась папка куда скопировался этот файл,не удалялся никак, диспетчер задач не открывался, комп на перезагрузку не реагировал… |
| Комментарий от Ольга [ 23 января, 2010, 16:54 ] |
Люди, миленькие!!!!!! у меня радость!!!!! убрала я это окно о блокировке системы с помощью этого сайта и ссылки (15 декабря от Валероа) на новую прогу от Вэба…О, счастье-то какое!!! прям реально номер ввела, правда, текст у меня только примерно был похож (у меня был 7372015, а вэб предлагал текст 7372007), я всё равно его ввела, код доступа получила. воспользовалась им…Всё сработало!!!!!!!! Урааааааа!!!!!!!!!! |
| Комментарий от Ольга [ 23 января, 2010, 17:06 ] |
Виктор…самовар… вот у меня тоже как у вас на чёрном фоне, онлайн антивирус….всё моё…..воспользуйтесь этой ссылкой, сразу идите в поиск по номеру, потому что по картинке я нашла название нашего трояна (100), но по номеру трояна даётся код больно длинный, он не прокатывает, а вот когда поиском по короткому номеру для смс воспользовалась, то..да будет всем счастье)))))))) |
| Комментарий от альберт [ 24 января, 2010, 14:42 ] |
для Ольги как попасть в поиск когда доступ везде закрыт и можно писать только в командной строке в безопастном режиме (на чёрном фоне надпись о том, что онлайн антивирус обнаружил на компе вредоносный вирус с постоянно меняющимся шифром( через 130 секунд) Просит смс для получения кода…Рабочего стола нет…) можно по конкретний |
| Комментарий от макс [ 25 января, 2010, 09:01 ] |
ребята, читайте ithappens вот цитата оттуда дословно Закрою-ка я тему с вирусами, требующими отправить SMS. Cкладывается впечатление, что многие из разработчиков этих вирусов учатся в наших институтах, да и то на троечку. Самые запомнившиеся экземпляры из тех, что видел: 1. Отличный вирус, но имел одну маленькую особенность — закрывался по Alt+F4. 2. Милая игрушка, которая принимала вообще любой код для «активации». 3. Показывал порнуху (потоковое видео с какого-то сайта), а когда отрубался инет, тупо вылетал с ошибкой. 4. Расплодился по всем компам в фирме, кроме машины генерального. Оказалось, пугался двух мониторов, при включении выдавал ошибку и закрывался. Самое интересное, что 95% этих вирусов дают доступ к рабочему столу. Большинство из них блокирует все возможные способы обхода и все известные науке антивирусы, но ведётся на старую-старую фишку. Открываем ворд, печатаем любую букву, нажимаем кнопку выключения. Винда закрывает всё, что может закрыть, в том числе и наш вирус, а ворд спрашивает, сохранить ли документ. Нажав на «отмену», мы останавливаем выключение компьютера и имеем отлично работающую винду. |
| Комментарий от Tyngys1964 [ 25 января, 2010, 12:59 ] |
Хочу поделиться своей проблемой а также ее решением. Скачал я 22 января 2010 года flash плеер и через час получил блокировку компьютера. Вышел из ситуации достаточно просто зашел по ссылке на Касперского и по номеру получил два кода разблокировки, один не подошел, а второй прямо в цель. Даю ссылку на сайт но думаю что многие уже ее знают. https://support.kaspersky.ru/viruses/deblocker Сегодня в РБК статья на эту тему. Производители антивирусных программ просят вмешаться власти в наведении порядка в этом вопросе. Я думаю таких п… надо надо на кол сажать, что бы помучались. Я если честно потерял несколько часов, что очень обидно. |
| Комментарий от Ольга [ 25 января, 2010, 13:20 ] |
для Альберта….ну вот сюда-то ты как-то попал же..я с ноута зашла в поиск, нашла этот сайт, здесь уже увидела здесь ссылку, прошла по ней…а дальше по моему предыдущему посту..потом пошла ввела полученый номер в комп, и усё готово))) |
| Комментарий от Ольга [ 25 января, 2010, 13:38 ] |
Альберт…если у тебя нет возможности попасть на тот сайт, отпишись здесь с номером и текстом смс. я тебе сама посмотрю…..ок? |
| Комментарий от Ольга [ 25 января, 2010, 13:41 ] |
Альберт…вот смотри, у меня (сейчас по-конкретней глянула) был чёрный фон с постоянно меняющимся алгоритмом и с надписью о смс с текстом 1702015 на номер 8353, если у тебя так же, то тебе подойдёт доступ 2047692…сейчас смотрю, уже даже мой текст у них имеется, а позавчера был только с текстом 1702007, значит база постоянно пополняется))))) |
| Комментарий от виктор [ 25 января, 2010, 15:57 ] |
поигрались с инетом, вылезла на весь экран: “Оплатите заказаное порно”. причем когда в инете кликали на ссылку Каспер отключился! через безопасный режим войти не удается. Все равно переходит на полный экран с надписью.При отключении-ключении компа смс для номера 7122 генерируется разное 7851104,7851106.7851109. При смс 7851111. позвонил хозяину номера “Инкормедия” в Москве. 8-495-7898538. сказал что они козлы. девушка попросила подождать пока код сгенирируется. код получился – 354025958. вылезло окно установки пейера. закрыл нафиг. сейчас каспером проверяю. потом двеба скачаю и им проверю |
| Комментарий от альберт [ 25 января, 2010, 19:19 ] |
Олечка огромное спасибо всё пропал |
| Комментарий от Дмитрий [ 25 января, 2010, 22:37 ] |
Лучше всего использовать откат системы или использовать Dr.Web LiveCD? более подробно можно прочитать здесь https://softpile.ru/drweb-livecd.html |
Написать комментарий