Имя: Пароль:
IT
 
Что за ВИРУС
0 Zlodey1С
 
27.04.09
08:51
Вызывает фин. директор горворит мол комп заблокирован смотрю на экран надпись отправьте по смс и получите код разблокировки. И это я уже наблюдаю на 2 предприятии. Что это за вирус, а главное совершенно разные стоят антивири.
1 Черт
 
модератор
27.04.09
08:53
это троян, которому присвоено имя троян.винлокер
2 povar
 
27.04.09
08:53
это не вирус, это новый проект от канала ТнТ
3 Zlodey1С
 
27.04.09
08:54
Хренли теперь делать, как его вырубить. Вообще не каким макаром не дает зайти
4 Нуф-Нуф
 
27.04.09
08:54
в яндексе такое напиши кучу ссылок получишь.вроде лечится в безопасном режиме удалением файла в моих документах, чисткой реестра и удаление процесса
5 Черт
 
модератор
27.04.09
08:56
не, в безопасный он тоже не пускает
грузись с лайв сд и чисть утилитой от др веба
6 Злобный Йожег
 
27.04.09
08:56
Подцепи винт к другому компу как слейв и почисти DrWeb'ом. А вообще он вроде бы сам через пару часов удаляется...
7 Я не курил
 
27.04.09
08:56
8 План
 
27.04.09
08:57
(3) СМС попробуйте отправить, получите код разблокировки и тут его запости ))
9 Черт
 
модератор
27.04.09
08:57
(6) если это старая версия, новая не удаляет, вчера сталкивался
10 Черт
 
модератор
27.04.09
08:57
(8) "пока живут на свете дураки"(c)
11 Zlodey1С
 
27.04.09
09:03
Кто знает много весит Dr.Web LiveCD
12 Ksandr
 
27.04.09
09:05
Вырубить просто! DameWare NT Utilities
Подключаетесь удаленно - убиваете сомнительные процессы, потом ставите DrWeb 5 обновляете базы и лечите
13 Stepa86
 
27.04.09
09:06
в (7) KeyGenerator от Веба, я им у себя вылечил
14 Ksandr
 
27.04.09
09:07
DameWare позволяет смотреть и управлять процессами, а главный плюс - он удаленно ставит себя на любой комп к которому есть доступ. DrWeb не пускает этот вирь. Я ловил такой на домашнем
15 Stepa86
 
27.04.09
09:07
Что самое обидное за день до появления этого вируса прошел весь винт куритом и постоянно мониторится все нодом 4ым
16 povar
 
27.04.09
09:07
cбрось пароль с помощью Active Password Changer
17 Stepa86
 
27.04.09
09:09
Где то читал, что он через кодеки передается, у меня активировалься после запуска фильма
18 Скользящий
 
27.04.09
09:12
(17) А не фиг левые кодеки ставить.
19 Stepa86
 
27.04.09
09:13
(18) что характерно, я и не ставил =(
20 Zlodey1С
 
27.04.09
09:27
А не кто не помнит как этот процесс называется?
21 Ksandr
 
27.04.09
09:28
а приведи список
22 Zlodey1С
 
27.04.09
09:29
Какой то процесс визит подозрительный _Total
23 Zlodey1С
 
27.04.09
09:30
И остановить его не дает
24 Злобный Йожег
 
27.04.09
09:31
Вроде бы эта хрень прописывается в реестре в качестве отладчика Windows по адресу:

HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\current version\image file execution\options\explorer.exe

В этой ветке нужно удалить парметр "debugger"
25 povar
 
27.04.09
09:32
запусти CureIt
26 vladko
 
27.04.09
09:33
на сайте касперского опубликована даже генерилка разблокировок для этого виря, если это то, о чём я думаю. И была инструкция как вручную его вычистить. В пятницу натыкался на эту инфу
27 vladko
 
27.04.09
09:33
щас скину ссылку
28 Скользящий
 
27.04.09
09:34
(19) По любому ставил. Наверняка вопрос был и ты нажал да не читая.
29 vladko
 
27.04.09
09:36
А нет, др.веб
Вот решение:

http://news.drweb.com/show/?i=304&c=5

Доктор Веб помогает избавиться от троянца, блокирующего доступ к системе

10 апреля 2009 года

Компания Доктор Веб информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.



В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании Доктор Веб был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.


Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании <Доктор Веб> подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Компания <Доктор Веб> в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленный на компьютере Dr.Web оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами <Доктор Веб>.



Этот генератор ответных кодов активации находится на сайте по ссылке выше.
30 svent0vit
 
27.04.09
09:38
на хабре был недавно описан оригинальный способ избавления от этой заразы :)
31 Stepa86
 
27.04.09
09:38
(28) я кодеки в последний раз ставил около полугода назад, брал самый популярный с торрентов... Я все же опытный пользователь ПК =(  а можно кодеки в фильм или звуковую дорожку интегрировать?
32 Zlodey1С
 
27.04.09
09:46
Все всем спасибо, запустил. Пока проверяю комп.
33 Zlodey1С
 
27.04.09
09:47
Сволочи блин, встречу морду начищу.
34 Doomer
 
27.04.09
09:48
А, вообще интересно где этот троян народ подцепает?
35 Хоменко Валерий
 
27.04.09
10:03
(11)
67 966 976 minDrWebLiveCD-5.0.0.iso
http://www.freedrweb.com/livecd/
36 Advan
 
27.04.09
10:10
Мне вот интересно - куда органы наши смотрят - смс шлют ведь на определенный адрес - вычислить организаторов этого дела просто.
37 Advan
 
27.04.09
10:11
один громкий процесс и эта вакханалия прекратиться.
38 Smallrat
 
27.04.09
10:20
(8) Я знаю людей которые отправляли, что-то около 800 рублей стоит это удовольствие. И вроде даже код прислали обратно, что удивительно.
39 Stepa86
 
27.04.09
10:24
(38) совсем не удивительно, а что остается делать простым пользователям, которые даже не знают, что такое безопасный режим работы венды или список процессов
40 Jump
 
27.04.09
10:37
(10)Ну почему сразу дураки?
У меня знакомые отправляли смс, сняли порядка 400 рубликов.
На вопрос, почему не обратились за помощью к специалистам, ответили, что неудобно, ибо порнушку эта фигня казала внизу экрана, проще уж заплатить.
Код прислали, что меня несказанно удивило, честное кидалово блин :)
Кстати специалист, взял бы за очистку компьютера от такого зверька, сумму как минимум вдвое большую, а ежели хреновый спец попадется, так еще и уйму времени отнимет.
Поэтому, я бы не стал всех отправивших смс в данном случае называть дураками.
41 Smallrat
 
27.04.09
11:33
(40) Ага - у меня тоже есть знакомые, которые отправляли смс, когда порнушный банер полэкрана браузера закрывает, после первой же смс все деньги на телефоне кончились, а взад ничего не прислали. Так что не все смс одинаково полезны.
42 Jump
 
27.04.09
11:45
Зло в данном слуаче не вирусы, а мутные сервисы интернет оплаты, которые существуют с попустительства властей, и под прикрытием операторов сотовой связи, ибо за эти сервисы ОПСоСы огребают денег не меньше, чем за основную свою услугу, при минимальных вложениях средств.
ОПсОс всегда отмажется, виноват предоставитель услуги, а наше дело маленькое - деньги перевести, при согласии пользователя.
Вот отсюда и копать надо, ежели позволено осуществлять денежные переводы, будь добр соответствовать, по крайней мере надежно идентифицировать лиц оказывающих данную услугу.
А сейчас короткий номер может взять любой и совершенно анонимно, были бы деньги, они перепродаются в субаренду на каждом углу в интернете, и довольно недорого кстати.