Сегодня знакомые попросили посмотреть компьютер. Говорят "что-то про активацию пишет и смс". На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
"Windows заблокирован.
Для разблокировки отправьте смс 4119785996 на номер 3649.
Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные."

[/URL][URL="http://nash-forum.itaec.ru/gallery/displayimage.php?imageid=12104"]http://nash-forum.itaec.ru/gallery/displayimage.php?imageid=12104 (http://nash-forum.itaec.ru/gallery/displayimage.php?imageid=12104)


Давным давно сталкивался с такой бякой. В уже упомянутый "боекомплект" у меня входит LiveCD от DrWeb (качаем тут (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fwww.freedrweb.com% 2Flivecd%2F)). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.
UPD C мест сообщают, что случай знакомых не единичный. Хабраюзеры ilzarka и ykcyc тоже стали жертвами вируса. И если первый (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Filzarka.habrahabr. ru%2Fblog%2F56869%2F) "вылечился" как и я, то второй (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Fi_am_clever%2F56923%2F) пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше :)

UPD2 C мест сообщают, что вроде подходит код активации 3893879
UPD3 В комментах подсказали, что специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://news.drweb.com/show/?i=304&c=5 (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fnews.drweb.com%2Fs how%2F%3Fi%3D304%26c%3D5), вводите цифры с сообщения ВАШЕГО компьютера - получаете разблокировачный код.
UPD4 Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 я выложил здесь (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fdepositfiles.com%2 Fru%2Ffiles%2Fol16mxt5d). Этот пак сам установит все обновления до апреля месяца.
Буду держать вас в курсе событий...

интересно а висте с последними обновлениями такая шняга не грозит?!

у друга была такая проблема... но боекомплекта в наличии не было( прост винду по верх поставили и ничо))

У меня уже два клиента таких было :)) один вчера, другой сегодня- оба эту вирусню на одноклассниках подхватили, я в этом уверен на 100 % :))Причем последний даже отослал СМС на тот номер, в результате чего с него сняли 300 рублей, и код ессна ему никто обратно не выслал :))

интересно а висте с последними обновлениями такая шняга не грозит?!
я очень сомневаюсь...

лошопеды, еще ведь смс шлют :)) надо модифицировать вирус - чтоб требовал сфотографироваться с сыром на линолиуме и на лбу член нарисовал, иначе потеряете все данные

я очень сомневаюсь...
на висте тоже такую шнягу поймал :)

блин - выясните где вы это ловите, я б отомстил таким скотам, которые делают подобную херню

у меня такая фигня на той неделе была. перезагрузил комп и всё.

А безопасный режим?

А безопасный режим?
В безопасном тоже самое.

такая шняга 2 часа держица при включеном компе, потом сама снимаеца

руки вырвать тем кто придумал это

руки вырвать тем кто придумал это
Да ладно нормальный развод, бывает и хуже.

Это Билл Гейтс мстит всем нелегальным юзверям продукции корпорации Microsoft!!!!
=))

ха лохари, вирус называется NoExe.exe и поймать вы его могли и в локалке, но это старая шняга, уже есть покруче, мой друган с ней целый день возился и еле вывел, так что осторожно!

а во ещё че! подходит код "Заплачено"!

Поздновато тему заметил.
Подобных вирусов масса. И на браузеры, и на саму винду, и на все что угодно.
Самый простой способ его легко пережить - не работать под правами админа на винде. Тогда достаточно будет антивирусом пройтись из другой учетки с админскими правами, и никаких проблем не будет. В крайнем случае можно обойтись не переустановкой винды, а просто убиванием учетки и заведением всего заново.

Если поймали подобный вирь на браузерах (пофигу какой: все оперы, мазилы, фаерфоксы - все этому вирю подвержено, потому что он через флеш работает) - просто отключите надстройку.

Цепляется этот вирь где угодно и как угодно. Чаще всего скачивается с инета. Более подробно про этот класс вирей можно почитать на сервере антивирей. Например, вот что пишут на ДрВебе: http://news.drweb.com/show/?i=352&c=5&p=0

просто не ведитесь на всякий спам в контакте! вон я ради теста специально се установил спамовскую прогу типа она крутая видит где мобила находится, так маялся с ней около 3 часов, а причина была банальной, почистил хост и всё! она блочит все поисковики, соц сети переводит на ip другой. и хитрая фишка, она добавляет в хост уже по ходу поиска по сайтам лазиишь, все почтовики, и поисковики,

у друга была такая проблема... но боекомплекта в наличии не было( прост винду по верх поставили и ничо))


хД я так же сделал ))

" Внимание! Вы нарушили лицензионное соглашение программного продукта Download Master "


Пишет один пользователь в блоге:

Вот такая байда выскочила вчера, просит отправить смс на номер 4460 с текстом к704113000 и таймер на 3 часа. кто знает что делать и что будет по истечению 3 часов.
Блокируется windovs и не запускается антивирус.


Решение найдено.

Для iLite сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188
Этот способ работает только при переведенном времени на 15.12.09

После ввода кода ОБЯЗАТЕЛЬНО проверить антивирусом (например, утилитой CureIt) - иначе окно появится повторно.

где ты все время лазаешь? вечно вирей нацепляешь)))

Не я, мне приносят всякие шняжные ноуты, которые заражены или нерабочие.

отправляй в гугл нах всех или симпсонов пусть посмотрят чтоли

Да если ты такую шнягу подцепиш, у тебя даже интернет открываться не будет.
При любой попытке запустить допустим тот же антивирус- выскакивает месседж на весь экран, отправьте смс и пипец.
cmd- не заускается, т.е. даже процессы не получится убить.
По telnet тоже не пускает.
Кароче в первом посту решение, которое реально помогает. :)

а если из под безопасного режима все нахер фаром подэлитить?

ты в безопасный не войдешь - там тоже тебя попросят отправить СМС.
Я ловил, все решилось сменой даты на пару дней назад и накатом sp3
ну и лечил др.вебом потом...

плюсадин

В безопаснег не пускает. sp3 стоял уже до этого.

надо заниматься не только лечением этой керни, но и поиском - откуда идет зараз - вот точно убивал бы таких тварей, это же фактически тоже самое вымогательство... вычислить номер могут власти... куда и что переводится

Хаха, да это ж не реально! Номер как правило регистрируют на мёртвые души.

Хаха, да это ж не реально! Номер как правило регистрируют на мёртвые души.

да всё реально - тупо отследить через провайдера - куда бабло передается, а уж отследить мобилу в городе это они запросто могут... вот попробуй зарегистрируй на мертвую душу номер и засаботируй чего-нибудь - бомбу там объяви в кремле, или планы первого и второго метро рассекреть, ломани сеть пентагона... тебе через пару часов предьявят)))

есть методы это все обойти... :-) imei, реальный номер и родную соту не свети...

Еще раз спасибо. В моем случае правило помогло для компа. ДрВЕБ определи вирус BackDoor.Tdss.565. Для меня проблемой было откатить дату т.к. сообщение закрывает весь экран и всегда сверху. Пришлось зайти удаленно. В этом случае можно видеть Дату.время. Потом пошел с консоли и код сработал.
С новым годом.

хорошо что он не рассылается,как конфикер)).. а так я боролся тупо с загрузочной флехи. почистил всё нафиг и гуд

При любой попытке запустить допустим тот же антивирус- выскакивает месседж на весь экран,
Я такого никогда не делал, я бы этому хрену пальцы бы отломал:diablo:

Вот, кстати, слегка упомянусь, намедни тоже был у нас в локалках троянец, который блокировал доступ к системе, причём ещё на экране приветствия при запуске ОС.
Парни из Dr.Web сделали генератор ключей на этот эпизод: http://news.drweb.com/show/?i=304

билдинг рулит! люди на лохах бабки зарабатывают! не все же как мы умные а кто-то смс отправляет которая (типо 5-7 рублей стоит) а на самом деле 148-450 в зависимости от жадности школоты! такими вещами занимается каждый второй с вхака! просто CureIt с флешки или с life CD рулят!

чё плохо в этом способе так это многие проги придётся устанавливать заного, + ещё реестр чистить и множество файлов удалять за ненадобностью!

Не я, мне приносят всякие шняжные ноуты, которые заражены или нерабочие.
Просто у людей такого рода очень большая потребность Получить бесплатные подарки или рейтинг в КОнтакте:sto2l:

ага! рейтинг и подарки хотят все! только бесплатный сыр бывает в мышеловке!

Темы "Внимание! Вы нарушили лицензионное соглашение программного продукта Download Master" и "Windows заблокирован. Для разблокировки отправьте смс." ОБЪЕДЕНИНЫ.


Удаляем порноинформер!!!
1 Explorer: http://golden-b.ru/?p=306
2 Opera: http://golden-b.ru/?p=371
3 Mozilla Firefox: http://golden-b.ru/?p=487

Сервисы деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/
http://news.drweb.com/show/?i=304

Официальный сайт касперского
http://support.kaspersky.ru/viruses/solu... (http://support.kaspersky.ru/viruses/solutions?qid=208637133)

можно просканить сканером IObit Security 360 - http://files.mail.ru/K339P2

после деактивации проходимся бесплатными утилитами
AVZ,
CureIT,
AVPtool

Порнобаннер:
Как избавится от баннера "отправьте SMS с текстом 3451 на номер 2474".

Решение:
1)вводим код: 06159230
2) просит подтверждения
3) вводим 2ой код : 49685761 Источник: http://vcontakte.at.ua/

уже не пашет!