Тэг ‘winlock’

Очередной Winlock - Спасибо за размещение рекламного модуля

Компьютер после загрузки выдаёт “Спасибо за размещение рекламного модуля”, голубое окошко с требованием пополнить счет абонента через терминал оплаты. Одновременно с этим блокируется клавиатура и мышка (кроме Alt+Ctrl+Del кнопки не работают)

[фото coming soon]

Полный текст рекламного баннера (частично..) приведен ниже:

Спасибо за размещение рекламного модуля

В целях соблюдения международного законодательства необходимо
впредь воздержаться от посещения сайтов, содержащих детскую порнографию

Желание улучшить технику глубокого минета…

В этом помогут материалы сайта сообщества любителей…

Если по каким либо причинам, Вы хотите удалить данный рекламный модуль
согласно акцептированного ранее соглашения, Вам необходимо совершить следующие действия

Пополните счет абонента Билайн через терминал экспресс-оплаты … на сумму 460 руб.

В окне ниже введите код операции с чека

Внимание! Просим Вас внимательно вводить код, в случае неправильного

У Вас больше не будет возможности досрочного прекращения размещения рекламного баннера

Оплатите в терминале и попробуйте через два часа

Загрузился в безопасном режиме (получилось так, что под другим пользователем - возможно, это существенно), выбрал восстановление системы и откатился на ближайшую точку восстановления. После перезагрузки рекламный модуль с требованием отправить СМС не появился.

Дальше разбираться не стал.

Раньше блокировщики просили отправить СМС (еще один СМС-вирус), сейчас перешли на терминалы - видимо, решили сэкономить на комиссии агрегаторам.

Опубликовано Декабрь 1, 2010 | автор: levik  |  Комментарии (8) »

Порно информер требует отправить SMS с кодом 1011424 на номер 5121

Очередной порно информер, требующий для разблокировки Windows отправить SMS с кодом 1011424 на номер 5121. Эх, картинки нету… :(

Сделан довольно оригинально - внешне напоминает Internet Explorer с открытым сайтом .com. Однако,  если обратить внимание на стиль окон, видно, что это не совсем IE от Windows (да и с версей IE не ладится - значок от ie 6, а выглядит “под восьмерку”). И надпись - мол, мы не блокируем программы, мы не вирус :) Хотя, розовый стиль и легко одетые женщины уже порядком надоели…

Что ж… идем на сайт DrWeb и получаем код “1238396875″ (DrWeb позволяет отправлять бесплатные SMS на короткие номера???) . Конечно, вирус этот код не удалит, однако первое время работать можно будет.

Ручными поисками заниматься не стал - прогнал компьютер LiveCD со свежими базами. (вирус с бородой попался)

Нашел кучу всякой гадости типа NtRootkit в system_volume_information, Officla48 (в одном из tmp файлов и в C:\windows\srnh.lto). Последнее подгружалось в реестре (”расширенный” boot, shell  до Explorer.exe rundll32.exe srnh.lto iqfnr). Чистим до просто “Explorer”, не забываем поставить свежий антивирус.. и всё. :)

Удачи

Опубликовано Май 31, 2010 | автор: levik  |  Нет комментариев »

Вирус Winlock просит отправить СМС с текстом T701016100 на номер 3381

Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.

Порно баннер требует отправить СМС с текстом T701016100 на номер 33810

При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) :) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.

Касперский, нод и антивирусные утилиты не запускаются.

Для временной разблокировки подошел  код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.

Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)

Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)

Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.

Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.

UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042

Опубликовано Май 16, 2010 | автор: levik  |  Комментарии (15) »

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Скриншот: Internet Security просит отправить SMS

Вы не зарегистрировали вашу копию Internet Security

Установив данное ПО вы согласились с данным лиценизонным соглашением предложенного Вам для проверки системы на наличие вредоносных программ. На основании лицензии Вы должны либо удалить ПО до окончания пробного периода или оплатить лицензию на дальнейшее использование продукта

Осталось времени:

Работа системы заблокирована для предотвращения дальнейшего распространения вредоносного ПО
Для продолжения работы и очистки вашей системы от вирусов и троянов необходимо активировать Вашу копию.

Чтобы получить код активации отправьте SMS
Отправьте СМС с кодом К212015300 на номер 4460 Стоимость SMS сообщения 10 руб с учетом НДС*
Укажите полученный код активации:

И чуть ниже торчат серые буковки, однако промотать и прочитать не получается .

Очередное сообщение, блокирующее работу системы и требующее отправить SMS. DrWeb пока его не распознал (базы сегодняшние)

Здесь можно поискать код для разблокировки, однако после разблокировки, вирусы остаются в компьютере! Читать дальше про Internet security вирус

Опубликовано Январь 26, 2010 | автор: levik  |  Комментарии (3) »

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro
Для продолжения работы необходимо активировать Вашу копию!
Чтобы получить код активации - отправьте SMS
- таким сообщением порадовал компьютер.

А между строками - красный таймер с трехчасовой задержкой.. Ой, уже 2:58:12. Карааууул…
Никто не знает, где в инете на четырехзначные номера бесплатные СМС можно отправлять? :)

Как лечить?

читать об удалении uBest NetSpeed Pro

Опубликовано Декабрь 3, 2009 | автор: levik  |  Комментарии (20) »