Главная У Болта Регистрация

Вход

Приветствую Вас Гость | RSSПонедельник, 18 Декабрь 2017, 21:16
Меню сайта

Категории раздела
СМС вымогатели [8]
Как бороться с троянцами, вымогающими деньги через СМС
Борьба с вирусами [11]

Мини-чат

Твой IP адрес

Узнай свой IP адрес


Статистика

Rambler's Top100


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей
Главная » Статьи » Анти и просто вирусы » СМС вымогатели

“Windows заблокирован, отправьте смс” или “Наглость второе счастье”

Весьма давненько я столкнулся с вопросами от пользователей на тему того как бороться с вирусом, который при загрузке, после приветствия, блокирует работу системы с хитрым сообщением, мол "Microsoft ввели систему активации, отправьте смс на номер, получите код, код вставьте в окошко ниже”, но не мог им помочь ибо сложно сделать это не видя результата тех или иных действий, иначе говоря, не управляя всем процессом спасения компьютера самостотельно. Попытки найти и скачать этот вирус не увенчались успехом ибо, во-первых, в интернете его что-то как-то не нашло, а, во-вторых, у всех у кого он побывал – его уже нету и соотвественно взять его негде. Я уже было отчаился, как так, не могу помочь своим читателям, но буквально вчера сотрудник принес мне на работу свой компьютер жалуясь на вышеупомянутые симптомы. Это звучит.. мм.. смешно, но я очень очень обрадовался этому вирусу и первое, что сделал – это побежал с ним бороться. И победил, а посему делюсь с Вами методом лечения.

Поехали.

Теория и разглогольствования.

block

Не смотря ни на что надо отдать должное изобретательности вирусописателей ибо, как-никак, наживаться на пользователях пирасткой версии Windows(Почему именно пиратской? Потому, что в лицензионной, постоянно обновляющейся Windows XP этот вирус попросту не работает, а во-вторых потому, что те, кто имеют лицензионную Windows знают как она активируется, знают длительность лицензии и тд и тп, а значит на отправку смс не поведутся) идея шикарная и, как я понимаю, прибыльная, ибо вирус постоянно модифицируется и улучшается. Во-вторых, дело даже не столько в идее, сколько в реализации, ибо сие чудо не прописано банально в автозагрузке, а заложено поглубже и срабатывает даже в безопасном режиме и при диагностическом запуске(загрузка только основных драйверов и служб).

В общем мне понравилось, но не остановило(простите за пафос, но просто люблю всякие компьютерные заморочки) :)

Решения.

В интернете предложен вагон и маленькая тележка решений этой проблемы, но сразу я ими пользоваться не стал – самому интересней. Как выяснилось не зря – некоторые решения не работают, а некоторые попросту наносят вред самой системе(например, после удаления вируса исчезает рабочий стол, т.е. процесс explorer.exe). Вообщем говоря, я предлагаю Вам два решения этой проблемы и оба они базируются на некоторых тонкостях работы windows и avz.

Вариант первый(почти руками):

  1. Берем рабочий компьютер и флешку\диск.
  2. Скачиваем avz, записываем его на флешку или диск.
  3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем "Безопасный режим с поддержкой командной строки"(в этом режиме никакой вирус Вам мешать не будет) (кстати этот режим выручает при многих сбоях даже когда просто безопасный режим не работает).
  4. Ждем загрузки в конце которой видим перед собой командную строку.
  5. Вставляем диск\флешку в компьютер.
  6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
  7. Ждем пока появится знакомый нам "Мой компьютер”
  8. Заходим на флешку\диск и запускаем avz.exe
  9. Выбираем "Файл - Мастер поиска и устранения проблем". В появившемся окошке выбираем: "Системные проблемы” – "Все проблемы” и жмем кнопочку "Пуск". Ставим все галочки кроме тех, что начинаются с "Разрешен автозапуск с..” и "Отключено автоматичесное обновление системы". После чего жмем "Исправить отмеченные проблемы".
  10. Там же выбираем "Настройки и твики браузера” – "Все проблемы", отмечаем все галочки и жмем "Исправить отмеченные проблемы".
  11. Там же выбираем "Приватность” – "Все проблемы", отмечаем все галочки и жмем "Исправить отмеченные проблемы".
  12. Далее жмем "Закрыть", а затем, все в том же AVZ, выбираем "Сервис” – "Менеджер расширений проводника” и в появившемся списке снимаем галочки со всех строчек, которые написаны черным(а не зеленым цветом).
  13. После этого запускаем "Сервис” – "Менеджер расширений IE” и удаляем(именно удаляем, методом нажатия крестика) ВСЕ строки в списке.
  14. Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то либо воспользуйтесь способом вторым(ниже по тексту), либо просто все в том же "Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.

Вариант второй:

  1. Берем рабочий компьютер и флешку\диск.
  2. Скачиваем avz, записываем его на флешку или диск.
  3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем "Безопасный режим с поддержкой командной строки"(в этом режиме никакой вирус Вам мешать не будет) (кстати этот режим выручает при многих сбоях даже когда просто безопасный режим не работает).
  4. Ждем загрузки в конце которой видим перед собой командную строку.
  5. Вставляем диск\флешку в компьютер.
  6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
  7. Ждем пока появится знакомый нам "Мой компьютер"
  8. Заходим на флешку\диск и запускаем avz.exe
  9. Выбираем "Файл” – "Выполнить скрипт".
  10. Вставляем в появившееся окно скрипт:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Администратор.MICROSOF-4CD23E\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
    QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
    DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
    DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
    QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\zsglib.dll','');
    QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\phnlib.dll','');
    QuarantineFile('Explorer.exe csrcs.exe','');
    QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
    DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
    DeleteFile('Explorer.exe csrcs.exe');
    DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\phnlib.dll');
    DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\zsglib.dll');
    DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
    DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
    DeleteFile('C:\Documents and Settings\Администратор.MICROSOF-4CD23E\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
    DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
    DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
    DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
    DeleteFileMask('C:\Documents and Settings\Администратор.MICROSOF-4CD23E\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  11. Где вместо Администратор.MICROSOF-4CD23E надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть sonik, может быть vasya или что-то еще, т.е. имя пользователя под которым Вы входите в систему. В идеале выполнить скрипт дважды, т.е. один раз как он есть, а второй с заменой как я написал выше.

  12. Жмем кнопочку "Запустить". Ждем окончания работы скрипта. По его завершению система перезагрузится.
  13. Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то все в том же”Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.

Варианты остальные:

Есть еще ряд вариантов, но все они помогают ибо есть разные версии этой гадости. Впрочем, быть может, они кому-то помогут:

  • Первое. Специалисты Dr.Web сделали генератор кодов для разблокировки. Он работает не во всех версиях вируса, но работает. Заходим сюда, вводим цифры с сообщения Вашего компьютера и получаем код разблокировки. Вводим его, заходим в систему и проверяемся нормальным антивирусом.
  • Второе. Можно перевести часы в BIOS на день вперед. Вирус отключится, после чего запускаем систему и проверяемся нормальным антивирусом.
  • Третье, использование LiveCD от компании Dr.web, который позволяет просканировать систему с диска и очистить её от этой гадости.

Кстати говоря, если у Вас нормальная лицензионная версия Windows, то, как я уже писал, не поленитесь её обновить и Вы не заразитесь этим вирусом.

Послесловие.

Надеюсь, что вышеописанные методы Вам помогли.
Если не помогли, то пишите или оставляйте комментарии – будем думать вместе ;)



Источник: http://sonikelf.ru/windows-zablokirovan-otpravte-sms-ili-naglost-vtoroe-schaste/
Категория: СМС вымогатели | Добавил: boltna10 (27 Декабрь 2009)
Просмотров: 2447 | Теги: Remove, Информер, faq, How, порно, wga, порно-информер, disable, unistall | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск по сайту

Погода в Чусовом

Праздники
Праздники России

Моя кнопка
Моя кнопка

Copyright MyCorp © 2017