Останнім часом почастішали скарги від клієнтів на те, що їх система раптом в один прекрасний момент стала просити відправити sms на номер ..... Ім'я цього вимагача - Trojan.Winlock На екран виходить табличка з цим проханням і що після цього у повторному sms прийде ключ для повторної активації продукту Майкрософта. Найгірше що можна зробити для вирішення цієї проблеми це дійсно відправити sms, хто просить. В цьому випадку з Вас спишуть еную суму грошей, сам особисто чув про випадки взагалі волаючого лохоторна, коли людина після відправки sms і списання з нього грошей отримував у відповідь код активації з проханням відправити цей код ще на чотири номери, нібито безкоштовно, що після таких дій твориться з його балансом думаю здогадуєтеся. Пам'ятайте, Майкрософт свої продукти через sms не реєструє, своїми SMS-ками ви лише поповните кишеню зловмисника.
Перший раз про вірус-здирників я почув від свого знайомого, коли він уже з ним зіткнувся. Він повідав мені історію про свої методи "боротьби" з ним. Вобщем він бовкнув дурницю, sms відправив як від нього і вимагали і розпрощався з трьомастами рублями, ніякого результату, крім зменшення балансу він, як і варто було очікувати, не отримав, проблему вирішив радикально, зніс Windows. Але до чого такі клопоти, коли можна все вирішити простіше, навіть не вдаючись до використання антивіруса.
Коли мені сьогодні принесли таку машину на ремонт, моєму погляду, замість завантаження постало попередження про те, що якщо шановний користувач хоче і далі користуватися своєю системою, то йому варто відправити sms на короткий номер. І, найголовніше, попередження, що б ніхто не намагався навіть пробувати використовувати антивірусники або вживати інших заходів, крім як sms сервісу, в іншому випадку з робочою системою можна розпрощатися.
Якщо картинка або її варіації (бачив більш незграбні варіанти, де навіть не намагалися "закосити" під майкрософтовського оформлення) Вам знайомі, то ви зараз читаєте саме той щоденник, який Вам потрібен
Ну мої дії були банальні, я завантажився з LiveCD і просканував машину, правда зізнаюся ні з найновішими базами і у результаті знайшов пару вірусів, які як з'ясувалося не мали до проблеми ніякого відношення. Так як качати новий Live було лінь, а підключати до іншої машини болящий хард не було часу (клієнт був терміновий і йому машина потрібна була до обіду), вобщем я, порадившись з однією людиною, вступив простіше.
Повторюю, впринципі не знадобилося навіть антівірусника, повторно завантажився з того ж LiveCD, зайшов в папку C: \ Document and Settings \ Ім'я користувача \ LocalSettings \ Tempтам я виявив цілий вагон тимчасових папок і файлів, які зніс все дочиста. Далі перезавантажив комп'ютер і вже без появи набридає таблички-рекетира зайшов в звичайному режимі. Після завантаження заходимо до реєстру Пуск-Виконати-regedit Там шукаємо гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon і наводимо значення параметра Userint в первісний стан до впливу вірусу, C: \ windows \ system32 \ usrinit.exe У мене в цьому параметрі був ще прописаний повний шлях до tempовской папки і найменуванням лиходія, який в ній сидів.
До речі, на зараженій машині цілком можливо після цього вірусу перестав працювати Автологін, тобто виходить логін Адміністратор і для продовження завантаження було необхідно натискати ОК, хоча пароль ніякий не стояв. До зачистки папки temp після спроби залогінитися якраз і виходило вимога з проханням відправки смс. Після dela цього рекетира, хоч і банер-вимагач пропав, але необхідність натискати Ок для входу в систему залишилася, погодьтеся кожен раз це робити не дуже зручно. Тому після входу в систему йдемо в Пуск-Виконати-control userpasswords2, там знімаємо прапорець, який відповідає за цю опцію.
Додано (09.11.2009, 10:36)
---------------------------------------------
Видалення вірусу, який просить відправити код з SMS. Частина 2
Хвиля шкідливого вірусу, який просить відправити код з SMS, до сих пір не припиняється. Лиходії познущалися над багатьма домашніми користувачами персональних комп'ютерів, заражаючи СМС вірусом через різні джерела передачі даних.
SMS шкідливий код приходить по ICQ, при відвідуванні деяких заражених сайтів і при стрибку неперевірених файлів. Причому ця падла, настільки має багато різних модифікацій і видів, що боротьба з SMS вірусом в кожному випадку індивідуальна.
Вище викладено як видалити шкідливий код вимагає відправити СМС на вказаний зловмисниками номер - це одне рішення і підійде воно не всім.
Днями така біда трапилася на комп'ютері батьків, довелося поїхати і розібратися з гадом. Причому, форма СМС вірусу була зовсім іншою. Виводилася табличка непристойного змісту в верхній частині екрану при завантаженні будь-якого браузера, і не давала навіть використовувати пошукову форму, щоб знайти додаткові варіанти вирішення проблеми.
При спробі змінити настройки браузера, в кожному відкривається вікні налаштувань з'являлося це спливаюче вікно шкідливого вірусу, і не давало нічого зробити.
Вирішив спробувати більш простий спосіб, ніж повну переустановку операційної системи, а саме відновити систему з контрольної точки відновлення, де то місяця 2 назад - і знаєте вийшло! СМС вірус повністю пропав як ніби його й не було.
* РІШЕННЯ: Пуск - Програми - Стандартні - Службові - Відновлення системи - далі вибираєте минулий період і запускаєте відновлення з контрольної точки.
І ні в якому разі, не здумайте піддаватися заклику відправити SMS, щоб отримати код для розблокування шкідливого коду, ваш телефонний рахунок спустошать і нічого натомість не отримаєте!
Додано (27.01.2010, 23:22)
---------------------------------------------
Якщо завантаження комп'ютера блокована і на екрані з'явилося вікно з написом "WINDOWS ЗАБЛОКОВАНІ" - ви стали жертвою сімейства шкідливих програм Trojan.Winlock. він же Win32.Blocker, призначених для шантажу і вимагання.
При установці на комп'ютер ці зловредів прописуються в автозавантаження, в ключ реєстру [Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon], параметр "Userinit", в результаті чого блокують запуск ОС.
Отримавши управління на запуск ОС, зловредів відображають вікно з вимогою відправити SMS з певним текстом на вказаний короткий номер.
У відповідь користувачеві обіцяють вислати код розблокування, який відключить шкідливу програму і розблокує завантаження комп'ютера.
Як впоратися з цією заразою, ми і спробуємо з'ясувати ...
Найголовніше: Не піддаватися на виверти вірусів, відправляючи їм запитувані SMS, блокування все одно не зніметься, а грошей знімуть пристойно!
Сам по собі Trojan.Winlock. він же Win32.Blocker нескладно видалити за допомогою AVZ, AVPTool, Dr.Web CureIt! або вручну з редактора реєстру, але є одна проблема - завантаження ПК блокована, і користувач не може отримати доступ до робочого столу і запустити будь-які програми або утиліти. Захищений режим Windows також заблокований.
Що робити, як бути?
По-перше, якщо під рукою є інший комп'ютер з інтернетом, то для вас компанія Dr.Web зробила генератор кодів розблокування. Тут ви можете знайти даний генератор.
Просто введіть ваш текст СМС, і згенеруйте код активації. Після цього ви зможете потрапити на робочий стіл і боротися далі.
Друге, чим можна скористатися: це диск з Live CD і одна з антивірусних утиліт, я вважаю за краще Dr.Web CureIt !. Завантажити останню версію завжди можна тут. Вставляємо диск з LiveCD в дисковод, заходимо в БІОС, виставляємо завантаження з CD-ROM, і завантажується. Потім запускаємо Dr.Web CureIt! з флешки або з диска, і перевіряємо системний розділ.
І третє: є ще один метод входу в систему без використання LiveCD
1. Натиснути комбінацію WIN-U на клавіатурі - з'явиться вікно активації спеціальних можливостей. Воно, як виявилося, має дуже високий пріоритет, і троянець йому не перешкода.
2. Запускаємо з цього вікна екранну лупу. Запустити, вона виводить своє віконце, в якому є гіперпосилання «Веб-сайт Майкрософт». Якщо натиснути її, то запускається IE.
3. Після запуску IE можна завантажувати з нього будь-які цілющі утиліти, типу AVZ, AVPTool, або Dr.Web CureIt! і запускати програми з диска ПК (в рядку адреси можна вказати будь-яку програму), online-сканер і т.п.
Можна спробувати знищити цю заразу вручну:
Відкриваємо regedit і йдемо HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon в Userinit
Там повинна бути тільки запис виду «C: \ Windows \ system32 \ userinit.exe,»
У нашому випадку вірус дописав в кінці цього рядка свій запуск.
Шукаємо файл, прописаний в даній сходинці і прибиваємо його
Шукати вірус треба приблизно в таких папках:
з: \ windows \ temp
c: \ windows \ system32 \ назва вірусу * .exe
C: \ Documents and Settings \ User \ Local Settings \ Temp
C: \ Documents and Settings \ User \ Local Settings \ Temorary innternet files
Назви завжди різні
Коли він тільки з'явився, то він самознищується через дві години, тепер цього не відбувається.
Судячи з коментарів і повідомлень в інтернеті ця зараза постійно модифікується. Змінюється номер і код для sms-повідомлень, змінюються імена файлів. Вірним засобом є чистка всіх тимчасових папок і повна перевірка системного розділу антивірусом зі свіжими базами.
Удачі вам в боротьбі з цим шкідливим вірусом!
Взято з сайту http://chipxp.ru
Додано (27.01.2010, 23:24)
---------------------------------------------
ЩЕ ВАРІАНТ
Джерелом зарази є файли blocker.bin і blocker.exe, які знаходяться в C: Documents and SettingsAll UsersApplication Data.
Після їх видалення система завантажується нормально.
Для тих, хто зіткнувся з даними трояном:
0. По-перше, не відправляти НІЯКИХ СМС!
По-друге, вирішити проблему можна наступним чином:
1. Вантажимося з Live CD Ви не можете завантажувати файли з нашого сервера, який бачить файлову систему.
2. Заходимо c: / documents and settings / all users / application data /
3. Видаляємо звідти два файли: blocker.exe і blocker.bin
4. Перевантажуємося в нормальну систему.
5. ОБОВ'ЯЗКОВО, оновлюємо антивірус і скануємо ВРЮ систему.
PS: 1.Спеціалісти Dr. Web написали crack (генератор кодів) для разблокіраціі. C місць повідомляють, що начебто підходить код активації 3893879
2. Судячи з коментарів автори зарази постійно її модифікують. Змінюється номер і код для sms-повідомлень, змінюються імена файлів. В якості додаткового захисту раджу встановити оновлення для вашої системи. Оновлення PreSP4 для російської Windows XP SP3 Ви не можете завантажувати файли з нашого сервера. Цей пак сам встановить всі оновлення до квітня місяця.
3. Народ в коментарях підказав ще один простий спосіб: переводите в BIOSе годинник на день в перед, вірус повинен перестати виявлятися. Ну а потім антивірусом його.
Останні версії вірусів іменуються по різному, і не обов'язково з розширенням ехе.
Так що будьте пильні!
Додано (28.01.2010, 12:54)
---------------------------------------------
ЗНАЙДЕНО РІШЕННЯ
www.drweb.com
АБО
http://support.kaspersky.ru/viruses/deblocker
ВСЕ ХТО зіткнувся з трояном ВАМ ПО ЗАСЛАННІ ВИЩЕ)
Що робити, як бути?