Вы используете нелицензионную Windows, система заблокирована. Отправьте смс на номер ХХХХ – Ага, щас!
В рунете разбушевалась мерзопакостная тварь под названием Trojan.Winlock (в классификации Dr.Web).
Эта зверюга подкрадывается незаметно (не ловится многими антивирусами даже с обновленными базами) и нападает на компьютер, вяжет его по рукам и ногам (блокирует), и начинает шантажировать владельца надписью типа этой:
В результате проверки было установлено, что вы используете нелицензионную версию операционной системы Windows. В целях противодействия незаконному использованию программного обеспечения Корпорация Microsoft ввела онлайновое лицензирование своих продуктов.
Для получения лицензии вам нужно отправить СМС сообщение на номер ХХХХ с кодом ХХХХХХ. В ответ вы получите номер лицензии, который нужно ввести в поле ниже для разблокировки вашей копии Windows.
Переустановка системы ни к чему не приведет.
За последние 4 дня я сам два раза (!) словил эту пакость на ноутбуке, причем во время обычного веб-серфинга по сайтам, внешне не вызывающим никаких подозрений.
Начал изучать эту темы, и выяснилось следующее:
1) У данного вируса имеются десятки модификаций, и его продолжают постоянно совершенствовать.
2) Отправка смс-ки списывает с телефона около 300 рублей, а код в ответ не присылается.
3) Некоторые старые версии вируса самоуничтожаются через пару часов. Мои экземпляры делать харакири не собирались.
4) У некоторых пострадавших компьютер блокировался даже при попытке входа в безопасном режиме.
А теперь инфа о том, как я лечил ноут.
В первый раз пришлось проделать хитрые манипуляции с реестром, что заняло (вместе с поиском информации, установкой необходимых утилит и т.д.) часа три.
Во второй раз испробовал более простой и надежный способ под названием “Dr.Web LiveDisk”. Это бесплатный антивирус, который запускается с CD или DVD диска под операционной системой Linux. Он запускается и работает НЕЗАВИСИМО от операционной системы, установленной на Вашем компьютере, даже если она повреждена или заблокирована, как было в моем случае.
Дальше все просто: после загрузки там имеется графическая оболочка, из которой запускается антивирус Dr.Web. Он минут 20 пошуршал в папке C:/Windows на компьютере, нашел и с моего согласия быстренько прибил файл вируса. Дальше Windows загрузилась уже без всякой блокировки, после чего мне оставалось только вычистить из реестра все упоминания этого файла, чтобы и духу его поганого не было в компьютере!
Сорри, увлекся праведным гневом. Вот ссылка на “Dr.Web LiveDisk“.
Оттуда нужно скачать ISO-образ, записать его на любой CD или DVD диск и уже с него загружаться на заразившемся компьютере, не забыв перед этим выставить в BIOS’е загрузку с оптического привода. Также можно записать программу на флешку и загрузиться с нее, но для этого надо скачать версию антивирус по другой ссылке на указанной странице.
Не идите на поводу у компьютерных террористов, не высылайте никаких смс-ок, только деньги потеряете и всё. Эту заразу можно и нужно выкорчевывать бесплатно.
Ну а чтобы таких ситуаций вообще не возникало, свой компьютер надо превратить в настоящую электронную крепость заранее, ибо когда жареный петух опускает свой клюв, уже бывает поздно. Если Вы это понимаете, рекомендую сходить сюда (крайне рекомендую! Спать точно станете спокойнее).
Спасибо за предупреждение !!!
Ответить
Спасибо, Константин!
Приятно, что Вы помогаете другим людям.
С уважением, Эльмир Муминов
Ответить
Большое спасибо за конкретный пример борьбы с конкретным вирусом. У меня до этого было в памяти только одно указание: “Применяйте антивирусные программы!” Моя первая просьба: Прошу дать небольшой список имеющейся в продаже в обычных книжных магазинах с открытым доступом компьютерной литературы по обсуждаемой теме борьбы с одним конкретным вирусом. Вторая: Мне довольно редко приходится терпеть неприятности от вирусов. А вот фрикеры (телефонные пираты) совсем замучили. Имеющаяся в магазинах литература предлагает самому обучиться на начинающего фрикера. Опишите, пожалуйста, конкретные случаи борьбы с фрикерами. Мне представляется такой план: Вообще всё полезное для фрикера на линии и на телефонной станции на своём телефоне отключить. Фрикер использует всё, что ещё не отключено.
Ответить
Уважаемый Константин,большое Вам спасибо за информацию.Да мне недели две назад пришло такое сообщение и я не знал что делать.Просто я выключил старый ПК и всё,а тут Вас сам бог послал.Вы сберегли мои деньги и нервы.Большое Вам спасибо за Вашу заботу о нас.
С уважением,Виталий.
Ответить
Спасибо!
Есть еще такой момент:
У каждого владельца короткого номера для СМС есть хозяин – биллинговая компания, которая и сдает эти номера в аренду. Вычислить сайт этого хозяина по номеру и цифре для отправки – дело не хитрое. Далее на сайте обращаетесь к администрации и в письме указываете проблему с мошенником и факты. Поверьте, ответные меры в отношении этих подонков не заставят себя долго ждать, для компании имидж гораздо важнее, т. к. при регистрации в данном сервисе вы должны указать (в обязательном порядке) ЧТО вы будете продавать за СМС. Продажа вирусов и вымогательство не входят в перечни биллинговых компаний.
Ответить
У меня тоже завелась эта “гадость”. А может она повредить программу? Я не могу работать в Word, он просто недоступен. Что делать?
Ответить
Здравствуйте Константин! Спасибо за информацию. Действительно очень своевременная и полезная. Но вот хочу задать вопрос. Дела в том, что первый раз я перепробовал все варианты, и ничего не получилось. Решение оказалось очень простым. В строку запрашиваемого кода ввёд какую-то абракадабру из цифр, и эта гадость исчезла. В остальных случаях, н задумываясь вводил туда что попало из цифр и всё исчезало. Может быть так проще? Или это случайное совпадение?
Ответить
Спасибо, Константин. Уверен, вы многим помогли,- жулья развелось на свете, не приведи Господь. Ко мне не так давно залетел Троянский конь, но, к счастью, мой Касперский с ним успешно справился. А вообще ваши рассылки интересно и полезно читать не только “чайникам”. Ещё раз спасибо!
С уважением, Роман Танненберг, Эстония
Ответить
Здраствуйте Константин. Большое спасибо, за ваше предупреждение, у меня стоит антивирус Касперского-2010, который меня еще не подводил. И откровенно говоря, я считаю, что он гораздо эффективнее чем Dr. Web.Посмотрите рейтинги антивирусных программ-делайте выводы, решайте сами.
С уважением, Владимир.
Ответить
Спасибо, Константин!. Уверен, ваши ссылки помогут, Сам еще не встречал (к счастью) этого чуда – но сканировал недавно систему и нашел 6 коней, 4 червя…….Счас мой ноут перешивают на Семерку и новые антивирусы заливают..а вашу тинформацию приму к сведению.
Ещё раз спасибо!
Ответить
спасибо. а я когда не знала про это. отправила смску и вместо 37 рублей списали в районе 350 рублей. но! код прислали! и этот код подошел!
Ответить
Спасибо большое! Вы сэкономили мне кучу времени, да и нервов тоже (ну уж о деньгах не говорю).
Ответить
Спасибо, Константин. Вы настоящий друг.
Ответить
спасибо,для таких как я “чайников” информация очень полезная
Ответить
спасибо за предупреждене, и Ваши рассылки
Ответить
Спасибо Вам, Константин, за предупреждение. Думаю, что теперь справлюсь с этим “чудом” от любителей легкой наживы.
Ответить
Спасибо Вам огромное за предупреждение и рецепт по борьбе с этой напастью!!! Ваши рассылки нужны народу!
Ответить
Константин! Благодарю за информацию. У меня получилась несколько другая проблема: не впускал в “ВКонтакте”, писал что-то о том, что мы занялись массовой рассылкой спама и т.д. с просьбой отправки бесплатной СМС на номер ХХХХХХ с кодом ХХХХХ для получения кода… в общем, как вы и писали, деньги с мобильника ушли – и ничего не пришло ((((. Вот только вопрос – «Dr.Web LiveCD» запускается только под ОС Линукс? Для Виндоуз эта версия антивирусника не подходит?
Ответить
Благодарю вас за предупреждение нас невеж в РУНЕТЕ
Ответить
Спасибо, Константин,я практически ничего не поняла по лечению компа, но зато я постараюсь никуда не слать СМС. Хотелось бы спросить это лечение относится только к лицензионной системе?
Ответить
> Вычислить сайт этого хозяина по номеру и цифре для отправки – дело не хитрое.
Мне вирусы предлагали отправить смс на номер 3649.
> У меня тоже завелась эта “гадость”. А может она повредить программу?
Я о таком не слышал.
> Решение оказалось очень простым. В строку запрашиваемого кода ввёд какую-то абракадабру из цифр, и эта гадость исчезла.
Я читал, что такие варианты проходят. Но у себя сколько не вводил произвольные, а также конкретные коды, приведенные на разных сайтах, это не приносило эффекта, блокировка не снималась. Недаром у вируса десятки модификаций, и каждая из них имеет свой алгоритм.
> Посмотрите рейтинги антивирусных программ-делайте выводы, решайте сами.
Друзья, мы все взрослые люди, и должны понимать откуда берутся рейтинги и на основе чего составляются. Кроме этого есть еще технический аспект, который лишает тестирование антивирусов всякого смысла. Он заключается в том, что каждый компьютер уникален, он (точнее, его программная среда) имеет неисчислимое количество особенностей. Поэтому то, как себя ведет некий антивирус на одном компьютере, ничего не говорит о том, как он будет себя вести на любом другом. По этой причине споры вокруг эффективности антивирусов столько же бессмысленны, сколь и неистребимы: это абсолютно субъективное занятие, основанное на принципе «а мне нравится…».
> «Dr.Web LiveCD» запускается только под ОС Линукс? Для Виндоуз эта версия антивирусника не подходит?
Он запускается под Linux с компакт-диска НЕЗАВИСИМО ОТ ТОГО, КАКАЯ ОС УСТАНОВЛЕНА НА ВАШЕМ КОМПЬЮТЕРЕ. Linux грузится с CD, запуск Вашей ОС при загрузке с Dr.Web LiveCD вообще не происходит.
> я практически ничего не поняла по лечению компа
Да, использование материала этой заметки подразумевает некоторый базовый уровень знаний компьютера. Нужно знать, что такое BIOS и как в него войти, как включить загрузку с CD-ROM, как записать образ диска на CD. Ничего не поделаешь, это так. Но сегодня существует много видеокурсов, позволяющих эти знания приобрести Могу посоветовать свой «Античайник»:
http://antichajnik.com
Или «Уверенный пользователь ПК» Максима Негодова:
http://konstantinfirst.com/links/pc_user.html
> Хотелось бы спросить это лечение относится только к лицензионной системе?
Вирус, конечно, никакой проверки на лицензионность Windows не производит (зачем ему это?). У меня, например, система лицензионная, но это, как видите, это никак не повлияло на активность вируса. А способ лечения работает как на лицензионных версиях, так и нет.
Ответить
Уважаемый,Константин,Здравствуйте! Благодарю за информацию, обязательно воспользуюсь её. У меня не ХР, а Виста ,Дочь ходит на компьютерные курсы учится, там им говорили, что Виста более надежная систма для борьбы с вирусами. Так у нас последнее время комп ни с того нис чего начинает перезагружаться и пишет что решения проблены не найдено. В чем может быть дело? И ещё когда начнёшь лечить комп, то жестяк форматируется? Вся инфа теряется? УДАЧИ! УСПЕХОВ в Ваших делах. Елизавета.
Ответить
после перехода по ссылке для скачивания образа отображается “недействительный адрес”
Ответить
> Так у нас последнее время комп ни с того нис чего начинает перезагружаться и пишет что решения проблены не найдено. В чем может быть дело?
Причин могут быть десятки, так невозможно сказать.
> И ещё когда начнёшь лечить комп, то жестяк форматируется?
Смотря как лечить. Если не давать команду на форматирование, то его и не будет. Само по себе ничего не происходит.
> после перехода по ссылке для скачивания образа отображается “недействительный адрес”
Вот прямая ссылка на образ диска:
ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso
У меня и вчера скачивалось, и сегодня без проблем.
Ответить
Звонит мне друг, всё как тут описано. Решилась проблема в 5 минут. Он просто ввёл нули и отправил и всё заработало, и больше нет проблем.
Ответить
К сожалению, это срабатывает только иногда.
Ответить
Спасибо, Константин! Очень хорошая статья, распространителей вирусов вообще нельзя кормить никакими подачками. Их нужно душить. У меня подобная ситуация была -вирус блокировал рабочий стол, панель задач, короче всё, нельзя даже было вызвать меню “Пуск” клавишей “Win”. СМС не отправлял, пришлось переустанавливать ОС.
Ответить
Ловил эту заразу три раза. В первый раз просто перевел часы на компе на 12 ч вперед – помогло! Во- второй раз набрал всякую ерунду в поле кода – помогло! Ну а в третий влип конкретно. Красный квадрат, с мерзким черепом по середине, закрывал почти весь монитор, оставляя примерно по 1 см. с краев. Видно, что комп работает, что-то делает, но что….
Что вводить? Что пишешь, на что нажимаешь, ни чего не видно. Перепробовал множество вариантов. Прошелся по множеству форумам. Что только не делал. В итоге пришлось переустановить систему.
Как мне кажется ,в зтом случае и Dr.Web не поможет. Т.к экран не различим с самой загрузки, а когда на нем ни чего не видно…..
Ответить
Константин, спасибо. Пока не пролезла тварюка, но лучше быть готовым.
Ответить
Да, и я ловил подобную заразу, но на СМС естественно не купился.
Сразу скажу, что установка новой системы с форматированием, справляется с этой проблемой. Потому 1 раздел следует беречь только для системы, а все данные хранить на других разделах.
У некоторых антивирусников есть недостаток портить “ни в чем неповинные файлы”, потому я редко прибегаю к их помощи. А файлы вирусов можно удалить при помощи файловых менеджеров с загрузочного диска, только нужно знать их название и директорию. Еще, советую работать с каталогами при помощи проводника, потому-что открывая папку, флешку, раздел диска, двойным нажатием мыши – активируете автозапуск. Но это все предосторожность, а если вы уже “словили” то способ, который предложил Константин – лучшее решение!
И я говорю:
– Спасибо Константин Фест!
Ответить
Thankyou, Konstantin!!! You are the best!!!
Ответить
Скажите пожалуйста, как Вы определили, что я использую нелицензионное программное обеспечение?
Ответить
Константин, слов нет, одни буквы! Спасибо!!!
Ответить
Спасибо, пока все нормально. НОД32. Windows – лицензия. Стараюсь быть начеку.
Ответить
2 дня мудохался, затем загрузился в безопасном режиме, в командной строке запустил msconfig? Убрал soundman из автозагрузки, и всё… бля, сначала даже не поверил, хотя на форумах говорили, что распространяется эта хрень через кодеки.
Ответить
Помогите пожалуйста!!! Я ума не приложу, что мне делать! У меня на компьютере дома установлен InfraLinux. Как бороться с этим Trojan.Winlock.
Как я ни пробовал, он не работает.
Ответить
Здравствуйте Константин. Огромное Вам спасибо за информацию о вирусе. Всего Вам ДОБРОГО и успехов во всех ваших делах и начинаниях
Ответить
Здравствуйте, Константин! Огромное спасибо за предупреждение. Еще пишут, что смс стоит 9 руб., а с телефона уходит около 300 р.
Но вирус такая пакость. Попался win 32, все слетело, съел именно текстовые файлы, переустанавливала раз 5. Но вопрос, а если нет линекса, вернее был, я его убрала. Скажите, с ним все-таки надежнее?
Еще раз спасибо.
Ответить
Доброго дня,Константин! По Вашей ссылке у меня не отоброжает эту веб-страницу.Но я нашёл и скачал Dr. Web-LiveCD 5.0.0 периписал на диск и поставил в зарожонный ПК.В левом верхнем углу вышло пустое окно,типа командной строки.Окно оставалось всё время пустым,только квадратик мигает.Это продолжалось довольно долго и за это время выдал два вируса
Win32:Dialer-gen[Dial]
Win32:Rootkit-gen[Rtk] я их удалил,но проблема осталась.Что делать?
Ответить
Большое спасибо за этот пост, а самое главное за ссылку именно на антивирусник который работает автономно, именно такой я и искал. Была тут одна заморочка у меня, вирус блокировал все антивирусники, и даже блокировал браузер когда выходил на страницу с предложениями скачать антивирусник :) А вот ещё, недавно получил на мыло:
Мною получено сообщение.Спешу предупредить!
“Пожалуйста, непременно прочтите, это крайне важно!!!!! Касается любой интернет-почты – Yahoo, Hotmail, AOL и так далее. Эта информация прибыла сегодня утром прямо от Microsoft и от Norton. Пожалуйста, перешлите эту информацию всем, кого Вы знаете, у кого есть доступ к Интернету. Вы можете получить безопасное с виду сообщение – электронную почту под названием “‘Mail Server Report”‘. Если Вы откроете это письмо, то на Вашем экране появится сообщение: “Теперь слишком поздно; Ваша жизнь больше не прекрасна” (‘It is too late now; your life is no longer beautiful). Впоследствии Вы ПОТЕРЯЕТЕ НА СВОЕМ КОМПЬЮТЕРЕ ВСЁ, а человек, пославший почту Вам, получит доступ к Вашему имени, электронной почте и паролю. Это – новый вирус, который начал циркулировать в субботу днем. AOL уже подтвердил серьезность, и анти-вирусное программное обеспечение ещё не способно его ликвидировать. Вирус был создан хакером, который называет себя ‘владельцем жизни’. ПОЖАЛУЙСТА, РАЗОШЛИТЕ КОПИЮ ЭТОГО СООБЩЕНИЯ ВСЕМ ВАШИМ ДРУЗЬЯМ, И попросите, чтобы они немедленно ПЕРЕДАЛИ ЕЁ СВОИМ КОРРЕСПОНДЕНТАМ! ЭТО СООБЩЕНИЕ БЫЛО ПОДТВЕРЖДЕНО SNOPES.”
Ответить
Константин, спасибо! Доброго Вам здоровья!
Ответить
Спасибо за предупреждение, если что, то воспользуюсь вашим советом. всего вам доброго.
Ответить
Спасибо, Константин. Разослала Ваше предупреждение своим друзьям.
Ответить
Замечательно, Константин! Я скачал ДрВэб, записал на СД, но столкнулся с неожиданной проблемой: мой ноутбук, оказывается, не показывает при начальной загрузке BIOS, т.е. я не могу настроить BIOS чтобы он начинал загрузку с СД-РОМ. Что можно сделать в таких случаях? Нельзя ли вызвать биос как-то другим манером? За рассылку – большое спасибо!
Ответить
У меня не загружается ссылка на Dr.Web. Пожайлуста выложите данную программу на файлообменник.
Заранее благодарен!
Ответить
Интересно, а у меня наоборот род деятельности в интернете довольно-таки “Опасный”, а вирей наоборот давно не ловил.
Ответить
> мой ноутбук, оказывается, не показывает при начальной загрузке BIOS, т.е. я не могу настроить BIOS чтобы он начинал загрузку с СД-РОМ. Что можно сделать в таких случаях? Нельзя ли вызвать биос как-то другим манером?
Обычно для входа в биос перед загрузкой системы нужно нажать Del или F2. Надпись о том, что именно нужно нажать должна появляться в этот момент.
Ответить
У меня такая же проблема и номер смс-центра тоже 3649. У меня Виста полетела – при загрузке все грузится, но через 30 сек появляется окно с текстом, где написано “…пошлите смс…” и т.д., но как ни странно остальные программы загружаются, например бокавая панель и Download manager. Но есть другой жесткий с установленной на него системой ХР и через него, если загрузиться комп работает. Если на него поставить какой-нибудь антивирус и просканировать жёсткий с вирусом, он его найдет? Какие антивирусы могут найти этот вирус, например Nod32 2.7?
Ответить
Попробовал сделать, то о чём спрашивал раньше (см.выше) – получилось! Nod32 2.7 (база данных за 9.10.09) справился со своей задачей, нашел таки троян вот здесь: C:\Windows\ctfmon.exe – Win32/LockScreen.BS троян.
Хочу спросить, как отчистить из реестра упоминания о нем? Нужно в поиске в редакторе реестра писать название трояна или файл в котором он сидел (т.е. искать – ctfmon.exe – или – Win32/LockScreen.BS )?
Ответить
ОГРОМНАЯ БЛАГОДАРНОСТЬ ЗА ВАШУ РАБОТУ!
Ответить
> Хочу спросить, как отчистить из реестра упоминания о нем? Нужно в поиске в редакторе реестра писать название трояна или файл в котором он сидел (т.е. искать – ctfmon.exe
Нужно искать в реестре ссылки на C:/windows/ctfmon.exe и удалять их. Но на C:/windows/system32/ctfmon.exe ссылки удалять НЕ нужно, это необходимый файл!
Ответить
Только сегодня удалила. все предыдущие советы мало помогли.
самый нормальный и легкий способ
на сайте Dr.Web есть коды, которые вы вводите в появившемся окне. Часто это уже совсем снимает и дальше вступает антивирус.
Лично у меня это не сработало, так что…
я скачала последний DRWeb ский антивирус, точнее обновила, и в безопасном режиме он все удалил.
Ответить
Здравствуйте. Спасибо за инструкцию. Но мне Dr.Web Live CD не помог (
Благо создатели этой дряни не учли мою подготовленность к подобным ситуациям. У меня 3 виндовс на компе. Я загрузился из-под Windows 2003 Server (и сейчас я из-под неё), поставил Symantec Anti-Virus (Каспер на 2003-ю не ставится). Обновил симантек. Начал проверять папку с заражённой XP. Он что-то нашёл и закарантинил. Однако теперь xp всё равно не грузится. Появляется фон рабочего стола и на этом всё заканчивается. При попытке запустить диспетчер задач выдаётся сообщение “Диспетчер задач был отключён администратором”. Что мне делать? Помогите, пожалуйста.
Ответить
Константин, спасибо за предупреждение. Предупреждён-значит вооружён. Такая оказия была и посылал СМС, но, к счастию, было мало денег на телефоне и мне отказали. После чего обращался к программисту.
Ответить
> Появляется фон рабочего стола и на этом всё заканчивается. При попытке запустить диспетчер задач выдаётся сообщение “Диспетчер задач был отключён администратором”. Что мне делать? Помогите, пожалуйста.
Запустите установку системы с дистрибутива, откажитесь от функции восстановления, которая появляется в начале, и только когда напишет, что на таком-то разделе уже установлена система и можно попытаться провести ее восстановление, соглашайтесь.
Предварительно с помощью LiveCD можно скопировать в другое место все важные файлы с этого диска, если таковые есть.
У меня сегодня опять, в третий раз (!) выскочила эта дрянь. Просканировал с помощью Dr.Web LiveCD, который скачивал несколько дней назад, ничего не нашлось. Скачал свежую версию, и пожалуйста, опять в C:Windows сидит новая модификация этого Win.Lock’а. Удалил. Потом подумал, что неспроста он так упорно откуда-то возникает, и запустил проверку всего диска. В корне C: нашлось нечто под названием Trojan.Fakealert, которое на поверку оказалось вирусным модулем, загружающим через инет новые версии различных вирусов. Ну теперь понятно, через какую щель проникал Win.Lock. Все почистил, теперь, надеюсь, окончательно.
Ответить
Извините, что снова беспокою. Я тут поискал на сайте Dr.Web инфу о Trojan.Winlock. Оказалось, что у меня всё не совсем так. У меня во весь экран отображается синяя плоскость с большой надписью наверху Ваша система заблокирована. Далее содержание примерно то же, что и в Вашем случае. Это одна из модификаций или что-то новое? LiveCD не помог
Ответить
> LiveCD не помог
В смысле, не нашел никаких вирусов?
Ответить
Константин, огромное Вам спасибо за такую инфу !
Ещё не ловил, но если бы… !!!!!!
Не в деньгах дело – я, как щенок не знал бы куда сунуться !
РЕСПЕКТ !
Ответить
За выходные столкнулась с этой гадостью 2 раза. И на обоих компах не было антивируса. Как оказалось, вирус довольно легко обнаружить без его помощи. Ярлык на файлик ctfmon.exe висит в автозагрузке. Ну а дальше ловкость рук, как говорится…
Ответить
Да, и еще важное дополнение (относится ко всем).
Не забудьте удалить из автозагрузки ссылку на файл вируса C:\windows\ctfmon.exe (не путайте с C:\windows\system32\ctfmon.exe – это полезный файл!!!), иначе каждый раз он будет снова появляться.
Для просмотра списка автозагрузки рекомендую утилиту “Autoruns”, ее легко найти в инете. Запускается без инсталляции, вкладка “Logon”. Там находите строчку с упомянутым путем и удаляете ее.
Также по этой строке нужно сделать поиск в реестре и все ключи, где она упоминается, тоже удалить.
Ответить
Большущее спасибо Константин!
А вот давайте все вместе бороться с этой заразой путем сообщения друг другу информации об этих и им подобных мерзостях, что происходят в нете. По типу: “Юзеры всех стан объединяйтесь!!!” И краткий вопрос: Какой программой записывать на диск, указаный Вами, Констаннтин файл?
Alcogol 120% для этой операции подойдет?
Ответить
> Какой программой записывать на диск, указаный Вами, Констаннтин файл?
Я пользуюсь Nero.
Вот еще одна утилита, которая помогла мне вычистить Trojan.Dropper/Win-NV (именно он снова и снова погружал из интернета Trojan.Winlock): “SuperAntiSpayware”. У нее есть бесплатная версия.
Ответить
Ну и еще порекомендую одну программу для защиты от троянов и прочего:
Spyware Doctor.
Ответить
Спасибо за такую полезную информацию!
Поэтому поводу здесь так много сказано , что кажеться добавить больще нечего .поэтому я присоединяюсь ко всему ,что хорошего было сказано.
Притчи 11:24–25: 24 Иной раздаёт, а у него прибавляется, а другой уклоняется от доброго дела, но это ведёт лишь к нужде.
25 Щедрая душа утучнится, и кто щедро поит других, тот и сам будет щедро напоен.
Ответить
Большое Вам спасибо!!! У меня была такая проблема, стоял Касперский, а сейчас Dr.Web.
Ответить
Константин, большое спасибо за Dr.Web.Но у меня проблема.Скачал, записал на CD. При загрузке появилось известное окно, но программа не загрузилась. Только появилась вот такая информация. Я её попытаюсь написать:
This kernel requires an i686 CPU, but only detected an i586 CPU.
Unable to boot – please use a kernel appropriate for your CPU.
– (дальше мигает черточка и все клавиши заблокированы).
У меня комп AMD-K6(tm)3D processor 533Мгц 504 МБ ОЗУ , ОС ХР SP3.
Подскажите, как быть. Помогите чайнику.Заранее благодарю.
Ответить
Приветствую, Константин.
Полностью согласен, что выбор антивирусной программы – дело личного вкуса, а не чьего-то рейтинга. Скоро два года, как пользуюсь DrWeb’ом с ежедневным обновлением баз. При ежедневном веб-сёрфинге по 3-4 часа серьёзных проблем не было ни разу. Добавлю только, что на офсайте ДрВеба всегда можно скачать свежую версию бесплатной утилиты CureIt!, которая суть тот же DrWeb, только запускается и работает из-под Windows без инсталляции, поэтому не конфликтует с любыми другии установленными на компе антивирусниками.
А ещё похожие вымогательские сообщения по нескольку штук в день приходят по ICQ, только там требуют деньги за перрегистрацию номера.
Ответить
> This kernel requires an i686 CPU, but only detected an i586 CPU.
Значит эта программа не может работать на данном процессоре, ей необходим более современный. Попробуйте другие программы, например, уже упоминавшийся Spyware Doctor.
Ответить
столкнулся с такой проблемой, час потратил чтобы удалить этот вирус с помощью curelt, почистил temp и cooky, помогло , вирус исчез, но вот почистить браузер Opera забыл(настройки куки и временные файлы интернета хранятся в программе отдельно ), в итоге пройдя по сохраненным ссылкам получил то же самое, но второй раз теми же методами удалить не смог, можно ли получить подробное описание того что нужно сделать с реестром чтобы удалить этот вирус?
Ответить
Я в первый раз вычищал его тоже удалением файлов и правкой реестра. Но когда он вылазил снова и снова, я понял, что чего-то в реестре недоочищаю, поэтому воспользовался программой Spayware Doctor, которая в наибольшей степени и помогла мне против этого вируса. Рекомендую Вам тоже ей воспользоваться.
Ответить
О респект за ссылку.
А то когда я поймал похожий вирус то перебивать винду пришлось, а то ничего не смог сделать(((
Ответить
Спасибо, попробую эту утилиту
Ответить
Костя, ты чудо, как вовремя.
Спасибо.
Ответить
На здоровье :) Только имейте в виду, что этот вирус постоянно совершенствуется и, видимо, не ко всем его модификациям описанные методы будут эффективны.
Еще недавно слышал, что он умеет залазить в область оперативной памяти, которая хранит системное время и питается батарейкой, установленной на материнской плате (т.е. питание ее никогда не прерывается). Поэтому, якобы, если вытащить на пару минут батарейку, после чего пролечить комп какой-либо антитроянской утилитой и антивирусом, то вирус потеряет способность самовосстанавливаться. У меня не было возможности проверить эту версию, так что если кто проведет такой эксперимент, отпишитесь здесь, пожалуйста.
Ответить
Привет всем!Поймал-тоже-вышел в безопасный режим -перетащил все нужное в диск Д-удалился из зоны радиовидимости интернета-сделал раннюю точку восстановления-он восстановился-УРА!Загрузил новую версию НОРТОН скьюрити-правда много программ пришлось потом заново устанавливать он повредил их удалилось гдето 50 вирусов которые АВАСТ прозевал-и видите я сейчас с Вами-но на всякий случай скачал по совету старшего коллеги Доктора Веба!
Ответить
Константин! Спасибо большое за информацию. Кстати, этот вирус можно убрать из системы вручную. Что я и сделал. Занимает 20 минут. И без DrWeb.
Ответить
Напишите как Вы это сделали, Вам многие будут благодарны.
Ответить
Спасибо за инфу
Ответить
Костя, большое спосибо! Впервые столкнулась с етой проблемой и нашла Вас. Сейчас гружу Доктора Веба и помотрим, что будет дальше…
С благодарностью!
Ответить
Вы знаете, как то обошлось и без антивируски :) Вошла через безопасний режым, удалила вирус в автозагрузке и одну програму… Дело в том, что вчера загрузила и установила програмку для смены оформления ВКонтакте……. Комп после етого не перезагружала. А когда включила после выключения – виндовс не лицензионный :( Теперь кажется все ОК! УРА! :))))))) Всем большое спосибо!!!
Ответить
Всё сделал как вы и говорили только проблемка вышла когда я запускаю вот етот диск в биосе он пишет следующее :
MP-BIOS panic – not syncing IO-APIC + TIMER DOes not work! Boot with apic=debug and send a report.THen try booting with “noapic” option
подскажите что делать
Ответить
я проще зделал правдо вирус остался…. как только зашол в систему нажемаш пуск и вырубаш эту хрень из автозагрузок …. правдо деспечер задач всееще заблокирован…..
Ответить
Спасибо! Надо попробовать.
Я уж думал не найду ничего подобного.
Ответить
Блин, я ещё нарадоваться не могу, что нашёл. =)
Утром побегу за болванкой.
Большое спасибо за помощь!
Ответить
Александр, думаю, радоваться стоит когда все вычистите. Модификаций этой заразы много, и не факт, что к Вашей описанные меры будут эффективны. Прочитайте также все комментарии к посту, там содержаться и другие идеи по удалению вируса.
Желаю Вашему компьютеру избавления от этой напасти.
Ответить
Люди, подскажите как удалить упоминания об этом вирусе в реестре.
Ответить
Если я установлю так называемый Dr.Web® LiveCD , а у меня на компе уже есть NOD32, это не испортит его?
Ответить
Читайте внимательнее, Dr.Web LiveCD не нужно устанавливать в систему, он запускается под Linux с CD-диска НЕЗАВИСИМО от установленной на Вашем компьютере ОС. Соответственно, никакого взаимодействия с ней и с установленными под ней программами не имеет.
Ответить
А с помощью какой программы писать на диск, просто через clone CD не получается!
Ответить
С помощью любой, которая умеет развертывать данные из ISO-образа на диск. Например, Nero.
Ответить
Словил на днях подобную заразу, по глупости своей отправил смс, и, в отличие от описанной ситуации, получил в ответ код разблокировки (13616 если кому понадобится). Комп оживал, но только на 2-5 минут, после чего снова требовал ввести код, подходил тот же, но на нервы действовало – в нете было невозможно работать. Касперский ничего подозрительного не находил, поэтому пришлось переустанавливать винду, вроде помогло.
Ответить
Очень удивлен и рад, что существует такая взаимопомошь в сети, где в последнее
время все и хакеры, и борцы с ними преследуют одну цель – нажиться на пользователях.
Спасибо всем кто сдесь есть и ОСОБЕННО Константину!
Ответить
Та же ситуация произошла со мной недавно. Диск разделен на С и Д. Основная винда на С. Поставил новую ось на Д и проверил касперским – много вирусов нашел… и та ось заработала (разблокировлась), код искать в нете думаю не всегда помогает, поэтому не зачем тратить время. Форматировать диск или переставить ось не желательно было – на рабочем столе нужные документы были. А на счет взлома оси и вытаскивания это малваря, я пока слабоват…
Ответить
Здесь вы можете пожаловаться на спам с просьбой отправить СМС.
Сообщения на короткие номера стоят до 300 рублей.
Не отправляйте СМС на незнакомые номера!
http://erfen.ru/antispam/
Ответить
Поймал вчера эту заразу. Зашёл в безопасном режиме. Msconfig показал в автозагрузке следующие новые запускаемые процессы:
WiaWizardMenu (запускающий файл C:\Windows\system32\sti_ci.dll)
msmgr (C:\Windows\system32\msmgr.exe)
Generic Host for Win32 (C:\Windows\mfo.exe)
Microsoft internet agent (C:\Windows\system32\winagent.exe)
Был еще svchost C:\Program Files\Microsoft Common\svchost.exe
и mwua.exe (C:\Recycler\S-1-5-21-…) который подменил собой диспетчер задач.
Помогло удаление данных файлов и всех упоминаний о них в реестре (в первую очередь ветки HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
а также HKCU\….\Run, HKCU\….\RunOnce)
Ответить
Syt, спасибо за подробную информацию.
Ответить
Тоже столкнулся с таким, но у меня это был скрытый файл mfu.exe в папке windows
в безопасном режиме отключил его в msconfig и удалил
Ответить
Тоже поймал mfu.exe, в безопасном удалил, работает пока интернет не включу, а затем всё сначала. Сейчас качаю последнюю версию Cureit зайду из по windows XP64(вторая операционка установлена), если не поможет попробую Dr.Web LiveCD
Ответить
Спасибо!
Ответить
НОРОД НЕ УЖЕЛИ ВЫ ВЕРИТЕ ВСЕМУ ЭТОМУ, ЭТО ЖЕ МОШЕННИКИ, ЛУЧШЕ ЧИТАЙТЕ БОЛЬШЕ ФОРУМЫ БОЛЬШЕ ТОЛКУ БУДЕТ.
Ответить
Можно как вариант заменить файл вируса mfo.exe файлом блокнота notepad.exe к примеру (переименовать и поместить файл notepad.exe на место вируса). В итоге будет запускаться блокнот а не вирус, а вы тем временем будете пытаться лечить комп свой.
Ответить
Респект браза реальную тему базаришь)))) Всех гандонов на нож))
Ответить
у моего друга проблема словил вирус (типа отправте смс и т.п)скачал антивиру Dr.Web LiveCD .Сделал все как написано (Оттуда нужно скачать ISO-образ (нижняя ссылка на странице загрузки), записать его на любой CD-R или CD-RW диск (DVD не подойдет, на него не запишется) и уже с него загружаться на заразившемся компьютере, не забыв перед этим выставить в BIOS’е загрузку с CD-ROM’а.) ставлю диск вкл комп и диск не грузит сразу начинает грузить винду.подскажите что делать очь нужно срочно заранее блогодарен!!!!
Ответить
Чтобы включить загрузку с сидирома, нужно зайти в BIOS (управляющую программу компьютера) и выставить там последовательность загрузки, с каких устройств она будет происходить:
1. Сначала с CD-ROM.
2. Потом – с жесткого диска.
Такова суть, конкретику найдете через поиск.
Ответить
Попробуйте Spyware Doctor (полную версию). У меня удалил за две минуты, а промучился я пол дня, пока сообразил. А dr. WEB увы ничего не дал.
Ответить
Да, у кого уже блокирует – набирайте в окошке код 13616. Он на некоторое время пропадает.
Ответить
Называется сегодня эта зараза Bechavior Guard Detection. Уже шесть шт. вышеназванный доктор послал в карантин. (это за пол часа). Пишите помог ли мой совет.))
Ответить
Изучение программ-шпионов > Infections > Behavior Guard Detection
Details of the selected infection are shown below. This infection can be detected and cleaned using Spyware Doctor.
Name: Behavior Guard Detection
Уровень угрозы: Medium
Описание: Suspicious activities were detected by Behavior Guard, these may be malicious changes caused by zero-day malware.
Removal: This infection can be removed using Spyware Doctor.
At least one or more of the following fields may be indicated:
* Name: the name of the specific infection, as presented in the database.
* Also known as: other names by which this infection may be known.
* Type: the category to which the infection belongs. Refer to the Glossary for further details on infection types.
* Variant: the family of infections to which this infection belongs.
* By: the vendor of this infection.
* Threat: the threat level assigned to this infection.
* Description: a more detailed description of the infection. If the information is available, technical aspects and symptoms of this infection are described here.
Ответить
спасибо большое за информацию, сейчас девочка знакомая позвонила с такой проблемой, и спросила что делать… завтра поеду на чай;)
Ответить
Код разблокировки iLite Net Accelerator предлагает отправить СМС с текстом М204102200 на номер 3649 Смотреть на
http://www.narod.ru/guestbook/?owner=215691044
Ответить
У меня на компе появилась такая же хрень,отправте смс на номер 4460 с текстом К705113100, я с другого компа стал искать что делать, делал загрузочные диски,пытался найти вирус доктором вебером, но всё оказалось проще.(на все предыдущие действия я потратил день).
Потом прочитал гдето на форуме, что нужно обращаться к оператору которому принадлежит номер на который просят от править смс.
Я набрал на яндексе номер 4460 и получил адрес владельца , в данном случае это компания А1 агрегатор,www.a1agregator.ru, я по всем их службам по почте отправил письма с просьбой прислать мне код разблокировки иначе завтра пойду писать заяву в милицию и у меня винда лицензионная, в течении получаса мне по почте прислали код, потом я ввел и вирус даже самоликвидируется и следов не найти, антивирус потом ничего не нашёл.
Ответить
Здравствуйте Константин!
Спасибо за полезную статью!!!
Но у меня вот как вопрос, я пользуюсь антивирусом касперский. И если у меня такая ситуация произойдёт, не дай бог конечно. Но всё же, если я запущу этот антивирус доктор вэб с диска. Два антивируса не будут конфликтовать? Спасибо.
P.S. Чё то я малость намудрил с вопросом. Но всё же суть понятна…
Ответить
Виктор, я уже отвечал на этот вопрос. Смотрите коммент 88.
Ответить
Народ не ленитесь и деньги за отчаянно отправленные СМС требуйте назад у своих дорогих сотовых операторов. Пусть они этот обезьяний бизнес прикрывают сами со своей стороны!!
Мне эта морока послужила поводом для замены ХРени на 7, где как и в Висте права админа выдаются не по умолчанию и такие штучки никак сами не пропишутся! Так что шагайте в ногу со временем – меняйте Винду на семёрку, только выиграете! Много хлама и ерунды попутно уничтожите!
Чего и Вам всем желаю! С наступившим всех!
Ответить
Я открываю ссылку с сайтом, на котором можно скачать Dr.Web LiveCD,а как скачать не понимаю(( Много файлов открывается. Их все качать? Одним файлом скачать нельзя??
Ответить
Читайте внимательнее пост:
“Оттуда нужно скачать ISO-образ (нижняя ссылка на странице загрузки),”
Ответить
Ответьте пожалуйста ещё на один вопрос: как выйти в биос, если не помогают стандартные клавиши типа ESC, F2 и Del? F8 тоже пробовала. При нажатии этих клавишь компьютер грузится в безопасном ражиме… Как быть?
Ответить
А Вы уверены, что нажимаете кнопку входа в биос в нужный момент? Начинайте ее непрерывно нажимать сразу как только компьютер ушел на перезагрузку, т.е. с появлением пустого черного экрана.
Ответить
У меня не такая же проблема, но подобная. Я скачал LiveCD, записал, перезапускаю систему, происходит автозагрузка, надписи проскакивают, но а что дальше то? Передо мной в самом низу надпись: [DR-DOS] A:\>_
Что дальше прописывать?
Ответить
пользуйтесь акронисом и тенью и никакая дрянь вам не будет страшна
Ответить
вообще советую всем на будущие запомнить сайт http://smswm.ru
на нем вы всегда сможете узнать реальную стоимость смс я сам постоянно там проверяю.
Ответить
Сонтировал образ, записал на CD, запускаю с сдрома, но лив сиди не запускается перепробовал уже по всякому не запускается и все, чегото там не хватает..(
Ответить
Андрей, ВЫ если хоть раз запускались в безопасном режиме, то вот и ответ.Я изучаю вирусы, и поэтому я и мои друзья сидят спокойно. Система защиты у меня самописная.
————————————-
Я знаю как их отключать…но тут владелец этого блога просто не даст так много писать. Поэтому пишите майл.
Ответить
Всем советую поставить программу Winpatrol.
Опишу кратко ,если клавой можно запустить программу то читайте.
Итак, у нас стоит окно, пробуем запустить через клаву плеер, ну видео например. Если получилось, то значит окно плеера находиться за окном вымогателя. Теперь нужно резче действовать, пробуем гор.клавишами развернуть и потом резко свернуть,и снова развернуть на весь экран.
Ну вот ВЫ и видете, что окно встало поверх окна вымогателя, пробуем зайти в папку , ну а дальше думаю понятно……
Ответить
> но тут владелец этого блога просто не даст так много писать
Почему это? Если полезная инфа, пишите хоть “Войну и мир”. Или можете написать на форуме http://konstantinfirst.com/forum (там есть тема про смс-вымогателей), а здесь дать ссылку.
Ответить
Часто вирусы блокируют антивирусные сайты, становится не доступным сервис по подбору кода для разблокировки вируса вымогателя СМС и скачка бесплатных утилит.
http://ya-windows7.narod.ru/code_virus.html
Здесь регулярно собираю коды разблокировки и выкладываю для скачки бесплатные утилиты.
Ответить
да спасибо все компы вылечил
Ответить
Спасибо, Константин!!!
И не надо было извиняться за свой гнев. Это мракобесие уже всех достало. У меня на комп тоже дважды попадал этот вирус. Жаль, что раньше не видела твоей статьи. Теперь обязательно воспользуюсь.
Ответить
константин перешё по вашему адресу(http://www.info-dvd.ru/p/3969) сразу вылезло предупреждение о небезопастном сайте ЧТО ЭТО???
Ответить
Четно – не знаю. У меня такого сообщения не вылазит. И без конкретных данных ничего сказать нельзя. Напишите точный текст сообщения, уточните какая именно программа выдает это сообщение (антивирус, браузер…), или покажите скриншот.
Ответить
предупреждения WOT.написано У этого сайта плохая репутация и там ещё написано типа если вы доверяете этому сайту то короче открывайте если нет то нет
Ответить
Извините Константин но нет ли у вас тем по вопросу как к примеру добавить в ваш отзыв скриншот что то кругом объясняют как-то вокруг да около
Ответить
Добавление скриншотов к комментариям на блоге не предусмотрена. Но Вы можете вставлять картинки в свои сообщения на моем форуме:
http://konstantinfirst.com/forum
Ответить
Помогите.Качал видеоуроки по ремонту авто и на второй закачки вылезло
окно.
( http://www.pornub.com/
Чтобы закрыть рекламный модуль.
отправте смс с текстом 35201116 на номер 5581)
И мой ПК полностью потерял управление,даже не могу выйти.Пришлось отключить эл.питание.Кто может наказать вымогателей или как это сделать?
Есть ли у нас какие нибудь законы?Сам я еще плохо управляюсь с ПК.
Ответить
по моему легче переустановить винду , чем бороться с вирусами по времени тоже самое
Ответить
попадался на такую фигню, приходило само через 2 часа, вроде.
Ответить
Слава богу, на такое не попадался)))
Ответить
да че парится с этими вирусами действительно лучше просто винду перецстановить, по времени будет меньше
Ответить
Инструменты для борьбы с вирусами, блокирующими Windows.
http://indor.g-service.ru/index.php?option=com_content&view=article&id=75:-windows&catid=47:2010-06-29-03-02-02&Itemid=73
Ответить
вот капец только что поймал эту муть((((((
Ответить
Огромное спасибо, сам не сталкивался, но сегодня произошла проблема, только вчера поставил клиенту виндоус и сегодня уже вот-такая проблема
Ответить
У меня сегодня подобная байда словилась – только там предлагали перевести на электронный счет
как я сделал
загрузился с Live-cd открыл диск C – там прямо в корневом каталоге появилось новое приложение .ехе – к сожалению имя не запомнил – знаю только что дата в тотал коммандере стояла сегодняшняя
я его удалил и очистил корзину
все
Ответить
Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре – это просто встроенное в Windows система восстановления Rstrui
1. жмем F8 при загрузке Операционной систмы
2. выбор пункта “безопасный режим с поддержкой командной строки”
3. вводим команду rstrui (востанавливаем систему с помощью контрольных точек восстановления)
УРА! Все, система в том состоянии, что была прежде.
Подробная инструкция https://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov
Ответить
У меня ос ubuntu 13-04 и меня зловредные вирусы не беспокоят.
Ответить