Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

maximax34

И снова смс-вирус

Рекомендованные сообщения

После перезагрузки выпало окно с требованием отправит 300 р на номер 89851376210. Все блокировано, запустил комп с помощью alkid live cd, vpn создать не удается. Вложеные в alkid live cd каспер и веб ни что не нашли. Собствено нужен хэлп, смотрите вложения.hijackthis.txtvirusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так попробуй

Из под BIOS перевести часы на 2 суток вперед. Это приведет к деактивации блокера. После этого необходимо просканировать

 

а текст какой там написан ?

 

В случае, если компьютер не разблокирован, измените системную дату вперед на месяц, полгода или год.

 

на твой номер телефона но надо ключ слово

http://support.kaspersky.ru/viruses/deblocker

 

 

 

 

 

LM_, я конечно понимаю, что вы хотите помочь человеку, но правила форума никто не отменял, а значит и матерные слова писать не надо. Внимательней читайте, что вставляете в сообщение ;)

Вырезал все рекомендации из сообщения и прикрепил в виде файла. //WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот ты понаписал, жесть. Смотрим вложеные фото с телефона, как он зараза выглядит. Я даже знаю где его подцепил.SMS.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мой гуглхром сильно ругался на baikalsr.ru и при открытие автоматом начал скачивать подозрительный файл, я его не открыл а сразу удалил. Но мне очень нужны были их (baikalsr) реквизиты и я переходил по ссылке снова и снова.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

где вы лазаете что вирусы хватаете7??

был пару раз вирус но и тот через флешку...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну где же вы? Специалисты по вирусам. Пол ночи всякой херью занимался, так ничто и не помогло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну где же вы? Специалисты по вирусам. Пол ночи всякой херью занимался, так ничто и не помогло.

Секрет прост: ночью, как это ни странно, люди обычно спят. ;)

 

Чуть позже смогу посмотреть ваши логи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

была такая фигня пару дней назад, тоже смс врус правда картинка другая. помогло заход в безопасном режиме и чистка автозагрузки. Требование оплатить перестало выскакивать, за тем нашол сам файлик вручную. Ни каспер, ни доктор вэб его так и не увидели

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

maximax34, логи вы делали, загрузившись с этого liveCD? Он подхватывает реестр компа или нет? Похоже, что нет, а значит данные логи никак не помогут, к сожалению...

 

У вас есть возможность что-то скачать с интернета?

Например, скачать те утилиты, которые даны в инструкции в пункте 2. Если есть возможность, тогда скачайте и проверьте комп, но именно диски компа, а не виртуальный диск X:.

После этого, в случае успешной проверки, появится возможность загрузить комп - и тогда сделайте новые логи. По ним дочистим остатки.

 

Но для начала надо попробовать так:

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.

2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.

3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

Источник...

После этого надо постараться скачать лечащие утилиты и запустить их. Также сделать логи.

Всё это надо делать из заражённой системы!

 

И ещё несколько вариантов есть в этом сообщении - http://homenet.beeline.ru/index.php?showtopic=266500&st=0&p=1064544365entry1064544365

 

Но в любом случае от потом нужны будут логи, чтобы зачистить остатки вредоноса или же даже убить его, если вам это не удастся.

 

Ещё один вариант предложу: загрузившись с liveCD просмотреть весь винт и найти все новые файлы с помощью какого-нить коммандера (наверняка он есть в составе liveCD). Далее уже либо вы сами вычислите вредоносы, либо просто переместите все подозрительные файлы в другую папку и загрузите основную систему. Если окошко пропадёт, значит дальше отправляйте подозрительные файлы на проверку на вирустотал и давайте ссылку на результат проверки. Ну и пять же делайте логи.

Если какие-то из перемещённых файлов окажутся нормальными, тогда потом переместите их обратно, но главное до перемещения запомните начальные пути файлов (например, сохраняйте их в текстовом файле).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Побороть не смог, убил систему, даже в безопасном режиме не смог зайти. Переустановил, не знаю не осталось ли чего на компьютере. Настрою систему и выложу логи, может посмотрите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, конечно, посмотрю.

Но если вы ставили на отформатированный винт, то ничего и не должно было остаться.

 

И на начальном этапе можно было обойтись и без безопасного режима... Ну теперь уже без разницы, но на будущее всё-таки почитайте способы, как обойти блокер и хотя бы частично восстановить работоспособность. Т.к. всё-таки проще убить блокер, чем переставлять ось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посоветуйте, что установить Каспер или Веб из Личного Кабинета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А DrWEB же уже давно убрали... Да и в принципе то, что было (AV-Desk), по функционалу уступало КАВ.

По защите советую почитать вот эту книгу - http://security-advisory.ru/ - и дальше, если вы будете следовать рекомендациям из книги (работа под ограниченной учёткой, отключения необязательных функций и сервисов, настройка браузеров, разумное поведение в интернете, использование какого-нить настроенного фаервола) уже не так важно будет, какой именно у вас антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Люди, еслиу кого появиться смс вирус то вот небольшой список по разблокировки компа

 

Очень хорошо. Но такой текст надо прятать под спойлер. В обязательном порядке. Т.к. слишком большое сообщение получается.

А т.к. там, как и в сообщении выше, есть мат, то в виде текста такое оставлять НЕЛЬЗЯ.

Сохранил текст в файл и прикрепил к сообщению. // WIGF

sms2.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не истребить любовь народа к сборкам :)

 

В логе хайджека ничего опасного нет. Есть мусор всякий. По желанию, его можно пофиксить:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=10148&l=dis
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

 

В логе AVZ тоже вредоносов нет, но есть некоторые дыры в системе, которые можно закрыть:

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

 

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

 

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Часть отключим через этот скрипт в AVZ (Файл-Выполнить скрипт):

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.

Автозапуски (можно и автозапуск с CD) можно отключить через Файл-Мастер поиска и устранения проблем. Проведите его всем категориям и исправьте проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А DrWEB же уже давно убрали...

 

 

Вот тут Вы не осведомлены. Смотрим вложения или миниатюры.

post-335462-027315100 1292679764_thumb.jpg

post-335462-062697800 1292679784_thumb.jpg

post-335462-030508100 1292679803_thumb.jpg

Теперь сижу и думаю, что же мне обыденному пользователю установить с ЛК. Было бы что то одно, проще было.

 

Не истребить любовь народа к сборкам :)

 

Каюсь, грешен. Так просто быстрее и удобней.

 

Выполнил все рекомендации.

hijackthis.txt

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я про бесплатный почему-то подумал... Да, платный DrWEB есть, сам про него спрашивал в ОДИ.

 

Я не могу посоветовать что-то конкретное из этих продуктов, т.к. сам пользуюсь другими. Бесплатными. У меня установлен COMODO Internet Security в полном варианте, т.е. фаер+проактивка+антивирус, а также антивирус Авира (бесплатная). Но CIS, возможно, может вызвать некоторые сложности в настройке, если ни разу такие продукты не настраивали. Тема по нему на форуме - http://homenet.beeline.ru/index.php?showtopic=261615

 

По логам: там ещё одна вещь осталась, о которой я не упомянул. Это открытые порты. Часть из них отключается путём выключения NetBIOS - http://homenet.beeline.ru/index.php?showtopic=208564&view=findpost&p=1064149541

Другая часть может быть отключена именно в XP с помощью программы wwdc - http://homenet.beeline.ru/index.php?showtopic=208066 (пункт 4).

Все эти операции обратимы, если вдруг какие-то функции когда-нибудь понадобятся.

 

И про сборку: и не быстрее, и не удобнее. Поверьте, что ставить винду с родного диска также быстро, но зато вы избавлены от возможной криворукости сборщиков и от того, что они могут не пойми что в сборку запихнуть. Но на эту тему не стОит продолжать говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решил проверить свои опасения.Мой гугл хром ругается. Или я ошибаюсь? Мне с этой фирмой работать.

 

Веб-сайт baikalsr.ru содержит элементы с сайта bkspe.info, на котором, судя по всему, размещено вредоносное ПО – программы, которые могут нанести вред вашему компьютеру или выполнять действия без вашего согласия. Даже простое посещение сайта, на котором размещено вредоносное ПО, может привести к заражению вашего компьютера.

Неужели тут рассадник зла, вроде нормальная фирма по доставки груза.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Java машина нужна? Если нет, то лучше удалить. Нет Java - нет проблем.

Если без неё никак, то лучше вовремя устанавливать обновления. И это касается всех программ, особенно от Adobe.

Secunia Personal Software Inspector (PSI) в помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

После перезагрузки выпало окно с требованием отправит 300 р на номер 89851376210. Все блокировано, запустил комп с помощью alkid live cd, vpn создать не удается. Вложеные в alkid live cd каспер и веб ни что не нашли. Собствено нужен хэлп, смотрите вложения.hijackthis.txtvirusinfo_syscheck.zip

После всего обратись в АС МТС(номер то ихний),пусть гоняют чмырей(сорри).В свою бытность тоже было подобное,но на короткий номер,нашел провайдера,он перезвонил,сообщил код разблокировки(я слегка давил),потом чистил..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня проблема с подругой та же.. Только номер этот 89650126159

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня проблема с подругой та же.. Только номер этот 89650126159

Ищите ключ здесь - http://support.kaspersky.ru/viruses/deblocker

А потом нужны будут логи по инструкции - http://homenet.beeline.ru/index.php?showtopic=240214

Только выкладывайте эти логи в новой теме, т.к. в этом разделе используется принцип "одна конкретная проблема у конкретного пользователя - одна тема".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня проблема с подругой та же.. Только номер этот 89650126159

Ищите ключ здесь - http://support.kaspersky.ru/viruses/deblocker

А потом нужны будут логи по инструкции - http://homenet.beeline.ru/index.php?showtopic=240214

Только выкладывайте эти логи в новой теме, т.к. в этом разделе используется принцип "одна конкретная проблема у конкретного пользователя - одна тема".

 

а как написать коды то??? там клавиатура не работает!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нажмите Win+U и далее выберите экранную клавиатуру. Или же и спец.комбинации не работают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже у знакомого подобный вирус.

 

Вот текст.

 

пополнить счет абоненту билайн. номер.

 

89671515276

 

 

на сумму 350 рублей.

 

 

Тут выдало этот номер

http://support.kaspersky.ru/viruses/deblocker

 

73699520

 

номер не помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мне помогло этот 16342131

 

а так попробуй эти

as12345

zx123456

qw12345

16342131

deleted

 

Мат на форуме запрещён. Если есть такие вещи, то отправляйте их либо в личку, либо в виде файла прикрепляйте к форуму как я выше уже в этой же теме двух пользователям делал.

Больше за пользователей это делать не буду. Буду просто стирать. // WIGF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У пуск не высвечивается!!! А он нужен

Запустите AVZ и в его меню ФАЙЛ выберите пункт "Восстановление системы", а далее отметьте пункты 1-6, 8, 11, 13, 16, 17 и выполните операции.

 

И я ещё про логи писал выше. Удаление окошка - это не полная очистка компа от остатков блокера ;)

 

:mashinist:, ещё здесь посмотрите - http://homenet.beeline.ru/index.php?showtopic=208564 (пункт 5).

Если ничего не получится, тогда качайте какой-нибудь антивирусный LiveCD - http://homenet.beeline.ru/index.php?showtopic=19619 (пункт 1.8) - загружайтесь с него и чистите систему, а потом выкладывайте логи и дочистим до конца.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.