Вирус Winlock просит отправить СМС с текстом T701016100 на номер 3381
Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.
При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.
Касперский, нод и антивирусные утилиты не запускаются.
Для временной разблокировки подошел код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.
Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)
Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)
Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.
Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.
UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042
Метки: winlock, вирус, мошенничество, смс
Спасибо!
подошел код 279346830
Только вчера удалил порно экран кодом 279346830 но теперь комп тормозит жуть. Как мог поймать эту заразу ума не приложу, по порнухам не лазил… Как он вообще попадает на комп и как ему удается отключть антивирусы, неужели в антивирусах нет защиты?
Чтобы поймать такой “баннер” не обязательно посещать порно-сайты. В общем-то, любой может “закинуть” такой баннер. Другое дело, что не всегда умышленно и специально… В последнее время множество сайтов размещают на своих страницах рекламные скрипты (цепляющие заголовки в стиле “Вы не представляете…” Не исключено, что похожим способом находят своих клиентов и “порно-баннеры”.
Miha,”вирусы” проникают на компьютер через “дырки” в системе. В Internet Explorer критическая уязвимость продержалась несколько лет.
Пользуясь случаем (например, многие вирусы для проникновения используют уязвимости виртуальной машины Java), записывают файл на диск во временный каталог, доступный для браузера, а затем запускают его на выполнение.
Файл, запущенный с правами администратора может хозяйничать на компьютере. (Лучший способ - не использовать права администратора без необходимости. Для установки-удаления есть функция Run As “Выполнить от имени”.. В windows Vista - “Запустить с правами администратора”)
Проблему с компьютерными “тормозами” может решить “чистка реестра” и удаление лишних файлов из автозагрузки (и, возможно, планировщика задач)
Не понятно, однако - почему мошенников ни кто не ловит??? Номер, куда отправляются $$$ совсем не анонимный и оператор 100-процентно знает, кому перевёл Ваши деньги!!!
Дело в том, что номер “числится” за так называемой компанией-агрегатором. Оператор переводит денежные средства на их счет, после чего они, взимая комиссию за пользование сервисом, перечисляют оставшуюся часть третьим лицам. Такая схема оплаты очень удобна как для пользователей (можно воспользоваться мобильным телефоном, который практически всегда под рукой), так и для получателей средств (вся денежная часть ложится на профессионалов).
Однако, “мошенники” умело пользуются наличием такой схемы, а также уязвимостями операционных систем. Остается лишь доказать причастность конкретных лиц к созданию и распространению вредоносного ПО, и…
Та же шняга..только у меня пишет отправьте смс с тестом N110261725385 на номер 3381,можете дать код активации?
На сервисах смотреть надо.. точно работающего кода пока нет:
http://support.kaspersky.ru/viruses/deblocker
Дадут бесплатно. Целый день сидел, ничего не помогло! Позвонил - все ок.
+7 800 100 7337 (федеральный)
+7 495 363 1427 (московский)
http://corp.alt1.ru/about/43
А у меня текс-44155344 просит отправить на 3381,обыскала все сайты,решения моей проблемы нет нигде. Че делать? (((((((((((((((((((
rizota , попробуйте один из кодов:
290954419
900301939
Надеюсь, поможет. Однако, помните, что исчезновение окна не означает полное удаление вируса с компьютера. Скорее всего через некоторое время проблема с вирусом возникнет повторно.. возможно, в другом виде.
Рекомендую обновить антивирус (можно подписаться на лицензионный).
Помогите 35104613 на номер 3381
http://support.kaspersky.ru/viruses/deblocker
очень помог, спасибо!!
ключ подошел!
для 35104613 на номер 3381 выдает ключ 6688439
Инструменты для борьбы с вирусами блокирующими Windows.
http://indor.g-service.ru/index.php?option=com_content&view=article&id=75:-windows&catid=47:2010-06-29-03-02-02&Itemid=73
site: indor.g-service.ru/
помогите пожалуйста!!
В связи с тем, что с вашего аккаунта происходила рассылка спам-сообщений, мы временно ограничили Вам доступ. Вам необходимо пройти активацию вашего аккаунта.
Для активации и получения кода отправьте смс с текстом:
1525250567205 на номер 3381
помогите пожалуйста!!
vkontakte.ru
Генератор кодов, паролей против смс БАННЕРОВ, сразу говорю что, ко всем баннерам пароль не додбирает, но для 50-60% подходит!!! Вот ссылка /download/94386.98d147022d0f6caa582d2a82ae21/Generator_kodov_bonus.rar.html
{spam_detected}