Обсуждение рецептов против sms-вымогателей

  • Автор темы Автор темы Alex56
  • Дата начала Дата начала
"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

http://support.kaspersky.ru/viruses/deblocker

Класс..надо будет ссыль оформить на остальных форумах!
 
Я ещё недоньюбок, по форумным понятиям - но хочу рассказать,как мне удалось избавиться от трояна Винлок32, не обнаруженного моим бесплатненьким Авастом. И даже скачанным после Кюреитом от Д.Веб свежайшего пошиба. Тварь эту, залезшую с доковским документом, я нашёл по странному имечку (хвала амбициям автора трояна!). После чего отправил этот файлец Вебу на пробу, они его почти сразу опознали и фамилечку назвали. Скачиваю свежайший Кюреит - а он ничего не находит!!! Разозлился, полез гада курочить всеми имеющимися редакторами. И так был зол, что умудрился искалечить трояныча под простым юзером с админскими правами! А потом тихо удалить с последующей приборкой.
Сознаю, что мне редкостно повезло, но это тоже метод - если бы я был умнее - знал бы, где и что искать, и как изуродовать злыдня до полной его непригодности!
Отсюда я пришёл, и там искал защиты тоже - и всем спасибо!
А он/офф-лайн формы и АВЗ - всё попалось мне на глаза потом, когда я смог выйти спокойно в инет - потрясающие вещи!!!, Дня бы на четыре раньше на глаза попались...
 
Последнее редактирование:
Avira защищает от трояна-вымогателя.

Вредитель поражает соединение компьютера с Интернетом и требует дорогой код активации для восстановления
в настоящее время активировалась вредоносная программа, которая блокирует соединение с Интернетом и восстанавливает доступ только после того, как будет введен код, полученный из дорогостоящего СМС-сообщения. Avira уже давно научилась распознавать такие программы и защищать от них пользователей.

Троян-вымогатель, о котором сегодня сообщают в средствах массовой информации, маскируется под установочную программу для менеджера загрузок. Если пользователь задает выполнение программы, но получает только сообщение на русском языке о том, что он нарушил условия пользовательского соглашения. Затем вредоносная программа блокирует соединение компьютера с Интернетом и требует от пользователя, чтобы он запросил активации с помощью дорогостоящего СМС-сообщения.

Решения по безопасности от компании Avira распознают этот троян как TR/Ransom.SMSer.QM и удаляют его. Файлы с описанием вирусов содержат информацию для распознавания трояна-вымогателя, уже начиная с версии 7.1.6.177, выпущенную 2 ноября 2009 года. Таким образом, пользователи антивирусных решений от компании Avira защищены от опасности.
 
Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
Это троянец блокировки системы,а против порнобаннера такой пойдёт???Если не запускаются даже браузеры
Тот же вопрос по этой ссылке: http://www.symantec.com/security_res...041607-1924-99
http://news.drweb.com/show/?i=304 - эта ссылка не спасла...
 
NFORCE4, сейчас в данный момент у моей сестры дома сидит такой зловред, показывает на весь экран порнобаннер с просьбой оплаты, но вылечить я пока не могу, т.к. не имею физического доступа к компьютеру, и этот зловред ещё и интернет отрубил :( Поэтому пока жду, когда сестрёнка привезёт сис.блок :)

По проблеме:
Сестра говорила, что на весь экран баннер показывается не сразу, а только когда нажмёшь на какой-то небольшой прямоугольник...вообщем пока я её помог только удалив автозапуск данного зловреда, но это не решило проблему с интернетом, т.к. зловред ещё сидит :)
В автозагрузке он прописывается в ключ UserInit (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
Если не получается в обычном режиме запустить редактор реестра, попробуйте загрузиться в безопасном режиме но только с поддержкой коммандной строки, в коммандную строку введите REGEDIT и подкорректируйте значение ключа UserInit

+Ссылки по теме (правдо с другого форума, но думаю модераторы не обидятся :))
del
 
Последнее редактирование модератором:
Столкнулся с таким вымогателем:
Симптомы: Висит окно с требованием СМС:
Вы нарушили лицензионное соглашение продукта Download Master

Заблокированы Диспетчер Задач, Реестр, не запускаются Антивирусы и другое ПО, кроме программ из папки System32...

при добавлении полиморфного AVZ в систем32 запустился, но через некоторое время был убит, при активации АВЗ Гард через некоторое время комп уходит в перезгрузку... через 2-3 раза перестал запускаться совсем...

Разблокировал с помощью данного поста. Ограничения на запуск снялись.


Вы нарушили лицензионное соглашение продукта Download Master -

решение проблемы:

Мой друг столкнулся с такой проблемой: после загрузки Windows XP меняется разрешение экрана, затем появляется большая белая заставка почти на весь экран с обратным отсчётом времени ( 3 часа) и информацией о том, что "Вы нарушили лицензионное соглашение программного продукта Download Master". Для продолжения работы необходимо активировать Вашу копию! Далее предлагается жителям России или Украины отправить СМС с кодом К705813500 на номер 4460

Поискал решение в интернете и помог своему другу.

Мои действия:
1. перевёл дату на 15.12.2009г. - очень важно!!!
2. кодовую посылку К706013900 перевёл в соответствии с таблицей:
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте – «2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1»

получил последовательность "1685892888", которую ввёл в поле код активации. После некоторой паузы большая белая заставка исчезает и компьютер перезагружается.

Взято отсюда
 
Aleksa106, То о чем вы говорите действительно и для лже-антивируса eKAV (очевидно автор один) смотреть по ссылке там уже и утилиту для разблокировки написали. :) https://safezone.cc/threads/razblokirovka-trojanov-semejstva-winlock-sms-vymogateli.3019
----------------------------------------------------------------------------

Удаление порнобаннера.

Добавлено через 2 минуты 46 секунд
Это окно почти во весь экран, на котором свеху изображения, а ниже, на розовом фоне, предлагают подождать 30 дней, обратиться в саппорт или отправить SMS "733162 на номер 9800"

Как это убрать
Загрузиться с любого LiveCD и в корне X:\Program Files удалить файл plugin.exe, где X: - буква системного диска. Далее спокойно грузимся и проходимся любимым антивирусом. Возможно ничего и не найдётся.

источник yurfed
 
Последнее редактирование:
Удаление порнобаннера.

Добавлено через 2 минуты 46 секунд
Это окно почти во весь экран, на котором свеху изображения, а ниже, на розовом фоне, предлагают подождать 30 дней, обратиться в саппорт или отправить SMS "733162 на номер 9800"

Как это убрать
Загрузиться с любого LiveCD и в корне X:\Program Files удалить файл plugin.exe, где X: - буква системного диска. Далее спокойно грузимся и проходимся любимым антивирусом. Возможно ничего и не найдётся.

источник yurfed
Файл plugin.exe может быть в папке C:\WINDOWS
Другой вариант этого вируса создает файлы C:\WINDOWS\system32\syschk32.exe и C:\WINDOWS\system32\el32.dll и в назначенных заданиях "SystemCheck"
Еще один вариант (который, кстати, сейчас и распространяется) создает файл *.exe и *.dll в папке C:\Documents and Settings\Имя пользователя\Local Settings\Temp и в назначенных заданиях "WindowsCheck"
Также может присутствовать файл C:\Program Files\Internet Explorer\svcnost.exe
 
Как это убрать
Загрузиться с любого LiveCD и в корне X:\Program Files удалить файл plugin.exe, где X: - буква системного диска. Далее спокойно грузимся и проходимся любимым антивирусом. Возможно ничего и не найдётся.

источник yurfed
Спасибо, буду иметь ввиду...

К сожалению, этот вариант наверное не проходил...
комп находился в Бокситогорске, я в Питере... давать пользователю удалять файлы из-под Live-CD, как мне кажется было бы себе дороже...
CureIt при сканировании ничего не обнаружил...

в итоге после разблокировки и сбора логов Hi-Jack и AVZ, обнаружился
c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.aahz ( AVAST4: Win32:Rootkit-gen [Rtk] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
 
Вопрос. А как удалить смс вымогателя если ОС вообще не запускается( то есть после выбора учетной записи происходит писк и сразу появляется смс вымогатель пише
Код:
Onlain Antivirus
У вас обнаружен вирус для его удаления отправьте смс на номер ****
текст 6625020 и тд.
В нижнем правом углу написано
Код:
 Переустановка системы не поможет так как вирус сохранен в секторе жесткого диска.
Первая переустановка не помогла то есть после выхода в интернет и перезагрузки вирус опять появился.После второго пока нет.
 
А как удалить смс вымогателя если ОС вообще не запускается
здесь пробывали найти ответный код?
http://www.drweb.com/unlocker/
неоднократно помогала форма конкретно с вирусом, который вы указали, хотя существует много разновидностей. После разблокировки он все равно остается, поэтому надо полностью сканировать и удалять зловредов до конца

если не найдете, загрузить с Live-CD и просканируйте компьютер Drweb Cureit.

здесь посмотрите
https://safezone.cc/forum/showthread.php?t=3019
 
Последнее редактирование:
Назад
Сверху Снизу