ВНИМАНИЕ! ВИРУС!

[ALLIGATOR]

Сегодня знакомые попросили посмотреть компьютер. Говорят "что-то про активацию пишет и смс"... Думаю, че-то не то, собрал свой "боекомплект", выехал на место... На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:

"Windows заблокирован.

Для разблокировки отправьте смс 4119785996 на номер 3649. Номер может быть другим, например с буквой "К" впереди...

Введите полученный код.

Не пытайтесь переустановить систему, иначе Вы потеряете все данные."

 

Лечить можно и не подбирая кода через веб-генератор на сайте http://news.drweb.com/show/?i=304&c=5

 

а т.е.

 

Есть небольшое решение, как сделать так чтобы можно было войти и работать в винду, но не решить проблему с вирусом...

 

1. Нажимаем много раз кнопку Shift вылезает проблема с залипанием клавиш, жмем на "параметры"

2.В появившемся окне нажимаем знак "?" в верхнем правом углу, далее жмем на любую кнопочку "настройки" в появившейся подсказке жмем правой кнопкой мыши и выбираем "печать раздела"

3. появится окно настройки принтеров, нажимаем правой кнопкой мыши на любом из принтеров выбираем "Свойства" далее вкладка "Дополнительно" напротив меню "Драйвер" нажимаем сменить, в появившемся окне "Далее", теперь жмем на "установка с диска" - "обзор" появится окно поиска файлов, жмем правой кнопкой на любом из них и выбираем "Проводник" (теперь можно работать, есть способы наверно и побыстрее но я делаю так)

4. создаем в любом месте файл Word, Excel или подобный из офиса, пишем в нем любой текст, но ВАЖНО! файл не сохраняем, и сразу в меню "ПУСК" выбираем "выключение". Комп завершит все процессы, в то числе и процесс активности вируса, НО, задаст вопрос файл был изменен, хотите сохранить? Жмем «Отмена».

Вуаля мы можем работать дальше, проверять на вирусы и т.п.

 

Пэ.Эс.

На компе, где я лечил эту хрень, была лицензионная Windows, толку то... Вообщем помогло удаление "хвоста" у userinit.exe через regedit

!!!!!! это из реестра, должно быть так! c:\windows\system32\userinit.exe,

 

пример!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

 

Действительно нужно еще качнуть с инета вот это.. найдет моментально.. и изничтожит!.. http://www.freedrweb.com/download+cureit/

А также почистить папку "temp" в документ энд сеттингс/all users/local settings/temp

название там может быть у вируса don или nod

 

Спасибо за внимание!!! Надеюсь поможет!

[GandjA]

попробуй оперу снести далее всё почистить (реестр в т.ч.) и поставить новую жоперу

[igorgri]

Да оптимально запуститься с загрузочного диска хорошего, чтобы с антивирусом новым, антитрояном... Например с этого - "Alkid Live CD & USB июнь 2009". И почистить все вирусы и трояны, а с верху еще CureIT последним пройтись. Ну и самое первое - все временные файлы прибить из Total Commander - тогда быстрее все пройдет.

[Nazarich]

у меня при попытке загрузить в безопасном режиме перегружается

[lexa]

у меня при попытке загрузить в безопасном режиме перегружается

тогда live CD только...

 

у меня тож постоянно смам на аську приходит... ради интереса ткнул )) вирус заблокирован

мораль сей басни - не пренебрегайте антивирусом! И файрволлом

[SERIOUS]

Сегодня отправил ради интереса смску с левой симки, пароль прислали не "пользователя" а что то вроде (точно не вспомню) 5t368346.

[BSB]

Мне от белой лебеди пришло в аську:

Никого не узнаешь на этой фотке? и сцылко на... на скринсейвер!

А я не посмотрел и качнул. Вот бы сейчас маялся! Всё-таки Линукс-весчь!

[KEPESH]

мне от Лошади(Лебеди) вчера ссылка пришла с текстом

 

ага, у меня именно он,

 

)

 

вчера из Ольгиной аськи сообщение пришло. хапнул вируса.

 

от Ольги пришло сообщение, тыкнул, скачал

 

Мне от белой лебеди пришло в аську:

Никого не узнаешь на этой фотке? и сцылко на... на скринсейвер!

А я не посмотрел и качнул. Вот бы сейчас маялся! Всё-таки Линукс-весчь!

 

Риэлторы профиль сменили?

[BSB]

Риэлторы профиль сменили?

А я вообще её последние несколько дней не узнаю! Сначала она переобулась в лебедя, теперь вот профессию сменила, что дальше? :blinks:

 

 

Риэлторы профиль сменили?

А я вообще её последние несколько дней не узнаю! Сначала она переобулась в лебедя, теперь вот профессию сменила, что дальше?

[KEPESH]

Боюсь аську включать, она у меня в контактах там есть

[lexa]

Боюсь аську включать, она у меня в контактах там есть

так не тыкай на ссылки непонятные вот и всё ))

ну и сам поставь антивир чтоб от тебя не шли сообщения такие

[igorgri]

ну сам понимаешь - не все вирусы прибиваются антивирами, даже и лицензионными, особенно если вирусняк новый. Сколько раз и читал и слышал от знакомых - что сами отправляли новые вирусы Касперскому

[ALLIGATOR]

Поймал седня вирус-прогу-заставку... скорее всего через маэйл-агент.

На заставке - Типа стоит нелецензионная винда.. просьба отправить смс на такой-то номер... вообщем знкомая история.

Убрать можно нажимая ctrl+alt+del, появляется на доли секунды запущенные процессы, ищем подозрительный процесс (в моем случае ms***.exe, непомню какие буквы были под звездочками), при удержании ctrl+alt+del, мышкой выбираем процесс, также при удержании ЗАВЕРШИТЬ ПРОЦЕСС, далее также при удержании ДА или НЕТ, выбираем ДА.

 

Потом конечно чистим реестр, анивиром и прочие действия...

 

Кстати шифт (залипание при нажатие на шифт 5 раз) не работает в этом случае...

[Poll1248]

там в продолжении твоей темы уже обсуждаем

 

http://www.carsclub.ru/forum/index.php?sho...c=27496&hl=

[db74]

А мне авирь не дал открыть сылку от Оли

всегда вроде как на такое не покупаюсь а тут ткнул

сразу же блокировка авирем

сказал ему спасибо

[Nazarich]

слово пользователя помогло, спасибо dandy.

прошелся куррентом, грохнул 2(!!!) троянца.

[ASPid]

Ну я наверное везучий, мне в аську спам не приходит

[Cont]

Мне от белой лебеди пришло в аську:

Никого не узнаешь на этой фотке? и сцылко на... на скринсейвер!

А я не посмотрел и качнул. Вот бы сейчас маялся! Всё-таки Линукс-весчь!

Глядишь, скоро пользователи Винды будут ставить виртуальную машину и лазить по сети под Линуксом.

[кОСТЯ]

ВНИМАНИЕ НОВЫЙ ВИРУС

теперь с сегоднешнего дня по асе пошла рассылка нового модифицированого вируса, такаяже заставка с текстом про смс но НЕ РЕАГИРУЕТ нинакакие назжатия и действия....

[Nazarich]

информативно...

поподробнее слабо рассказать?

[Design_Nick]

Я Poll1248 позвонил. Я с таким типом сутки бился на компе племянницы. И винт снимал, проверял с чистой машины. А вируса так и не нашел!

 

Помогло вот это:

 

Как удалить вирус вручную

 

Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

 

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то :\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– проверьте систему антивирусом со свежими базами.

 

 

Примечания

1. Внимание! Не поддавайтесь на уловки вирусописателей, – не отправляйте sms по указанному номеру, не дарите деньги вымогателям, создавшим вирус.

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

 

 

Валерий Сидоров

http://softroom.ws/win/utilits/222-erd-commander-2008.html тут есть ERD Commander 2008

[serYozik]

На прошлой неделе знакомая обратилась за помощью, судя по описанию именно этот вирь. Приехал, запустил в безопасном режиме, прогнал AVZ свежим, тот ничего не нашол, что очень странно, так как за потора года юзанья компа подключённого к инету, мягко выражаясь неопытными пользователями, система обычно уже кишит зверями    А тут тишина. В качестве антивиря стоит Аваст. Короче, после этого комп включился как ни в чём не бывало, видимо зверь умер естественной смертью :knockout:или умело притаился. В общем странно как то.

[igorgri]

Ну ты же опытный ИТшник... Наверное перед тем, как проверять и темпы прибил, и временные файлы Инета удалил? По опыту - у юзеров это обычно 25-50% всех файлов. А в 90% случаях вся эта трихомундия именно там и располагается...

[Design_Nick]

Приехал, запустил в безопасном режиме,

В моем случае никакого безопасного режима доступно не было

[serYozik]

В моем случае никакого безопасного режима доступно не было

 

Вот и я подумал, как то слишком легко  :why:

Ну ты же опытный ИТшник... Наверное перед тем, как проверять и темпы прибил, и временные файлы Инета удалил? По опыту - у юзеров это обычно 25-50% всех файлов. А в 90% случаях вся эта трихомундия именно там и располагается...

    АйТишник из меня никакой если чесна. В том то и дело, что в этот раз, времени было мало, торопился и решил ручками вообще не копаться и не прибивать (ну кроме вякой дряни в автозапуске и службах), а так на ура, прошерстить систему антивирусником.

 

 

В общем раньше я только в приколах читал, что если комп не включать долго (они его дня три не включали), то вирус от голода умрёт, а оно кажись правда!   

[Design_Nick]

Там в описании одного из видов было что через 2 дня он сам себя уничтожает. Похоже тебе такой достался