Эпидемия Trojan.Winlock в России набирает обороты
http://www.3dnews.ru/software-news/epidemiya_trojan_winlock_v_rossii_nabiraet_oboroti/
25.01.2010 [10:21], Сергей и Марина Бондаренко

Компания «Доктор Веб» предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей).
http://www.3dnews.ru/_imgdata/img/2010/01/24/159421.png
С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительные возможности. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код.
http://www.drweb.com/unlocker/index/?lng=ru

Последнее время только и слышно об этом вирусе.
Пишите как побороли. Наверно будет полезно новичкам.

Dr.Web® LiveCD

Диск аварийного восстановления системы

Если действия вредоносных программ сделали невозможной загрузку компьютера под управлением Windows или Unix, восстановите работоспособность пораженной системы бесплатно с помощью Dr.Web LiveCD!

Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты.
Скачать Dr.Web LiveCD бесплатно

Лечащая утилита Dr.Web CureIt!®

На Вашем ПК установлен другой антивирус, но вы сомневаетесь в его эффективности?

С помощью утилиты Dr.Web CureIt!® без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер, и, в случае обнаружения вредоносных объектов, вылечить его.

Как выяснить, инфицирован ли Ваш компьютер?
Скачайте Dr.Web CureIt!, сохранив утилиту на жесткий диск.
Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
Дождитесь окончания сканирования и изучите отчет о проверке. Вам нужны другие доказательства?:)
скачайте бесплатно

Реклама? :)

я постродал от него,решил глупым способом,увы каспер 2010 не помогал ,но потом показал его(трояна) но добавил в карантин но это не помогало и я собствено через папку карантина вручную замочил :)

в свое время брат подхватил неосторожно приняв ссылку в аське...никакой др веб не помог...в итоге просто переставил дату в биосе на день вперед и все

Кстати у меня до этого трояна стояла точка востоновления,но как троян вылез ее не стало)

вчера занимался с подобной хренью
видимо какая то новая модификация, вирус блокирует абсолютно все!
пытался с Live-cd удалить его - только начинаешь что то делать, как системы либо виснет, либо ребутится, либо еще что...
уж про манипуляции с самой зараженой винды и говорить нечего :)
каким чудом я смог сохранить инфу, одному Богу известно))
в итоге просто переустановил винду

как вариант был ввести ключ, но второго девайса с выходом в инет небыло, а в этом компе как писал уже, было заблокировано все

rona записан в 25.01.2010 :: 19:02:48:

как вариант был ввести ключ, но второго девайса с выходом в инет небыло, а в этом компе как писал уже, было заблокировано все

вот и какая логика у создателей вируса ? неужели просто систему убить....веть далеко не у всех есть второй компьютер чтобы отослать СМСку...

Striptokok записан в 25.01.2010 :: 19:31:46:

вот и какая логика у создателей вируса ? неужели просто систему убить....веть далеко не у всех есть второй компьютер чтобы отослать СМСку...

Компьютер? Телефон может  :)
Деньги гребут они судя по первым сообщениям, озверели вымогатели

Давно бы правительство прикрыло весь этот телефонный беспредел операторов, а ведь не хотят, видимо сами имеют с этого

Edge записан в 25.01.2010 :: 19:39:59:

Компьютер? Телефон может  :) Деньги гребут они судя по первым сообщениям, озверели вымогатели Давно бы правительство прикрыло весь этот телефонный беспредел операторов, а ведь не хотят, видимо сами имеют с этого

чето я прочитал сообщение rona и чето заклинило что ключи через инет получать нада  :)

Striptokok записан в 25.01.2010 :: 19:45:44:

чето я прочитал сообщение rona и чето заклинило что ключи через инет получать нада  :)

Ай-ай-ай.. тему не внимательно читал :)


ia78 записан в 25.01.2010 :: 15:41:50:

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. http://www.drweb.com/unlocker/index/?lng=ru

можно просто в саппорт вэбу позвонить и они ключ подберут

повторюсь большинство анлокеров пропадает через несколько часов...поэтому переставляете в биосе дату на день вперед заходите и вируса уже нет...если модификации старые конечно...может быть за пол месяца уже вышли супер навороченные анлокеры

@ Enjoy the silence

в том то и дело что сейчас наверное в 99% локеры НЕ пропадают и НЕ реагируют на СМС

Enjoy the silence записан в 26.01.2010 :: 09:50:01:

повторюсь большинство анлокеров пропадает через несколько часов...поэтому переставляете в биосе дату на день вперед заходите и вируса уже нет...если модификации старые конечно...может быть за пол месяца уже вышли супер навороченные анлокеры

в моем случае эта хрень висела около 3-х дней

rona записан в 26.01.2010 :: 10:57:26:

в моем случае эта хрень висела около 3-х дней

Ну да, за это время можно переставить систему.
Кстати, ты не пробывал подключить жесткий диск к другому компу и проверится на здоровой системе? Почти год назад, когда я первый раз с таким вирусом столкнулся, это помогло.

На прошлой неделе тоже видел подобный вирус, с помощью AVZ поборол.

ac_pavel записан в 26.01.2010 :: 11:19:41:

Ну да, за это время можно переставить систему. Кстати, ты не пробывал подключить жесткий диск к другому компу и проверится на здоровой системе? Почти год назад, когда я первый раз с таким вирусом столкнулся, это помогло. На прошлой неделе тоже видел подобный вирус, с помощью AVZ поборол.

возможности небыло, тоесть доступа к другому компу
авз незапускался даже с live-cd :)
сразу ошибка  или ребут

25.01.2010 06:13 От: Ranger2010
Dr.Web Security Space 5.00 Сегодня c безаговорочно капитулировал с последними обновлениями перед смс-вымагателем Internet Security. Что случилось: В треее пропал значек Drweb, диспечер задач блокирован, при загрузке в безопасный режим синий экран смерти.!!! При запуске DRWEB (!) пишет невозможно открыть программу из за политики ограничения..Коды никакие не подходят. Я поставил на другой комп хард и проверил Dr.Web CureIt!24.01.10 Он ничего не нашел. Скачал прорамму (!) Я не делаю рекламмы (!!!) Kaspersky Virus Removal Tool. Он нашел целый букет вирусов особенно в папке System32. Это был вирус Packed.win32.krap.w Очистил, вставил диск, вирус исчез, но все эффекты остались описанфе выше мной (!!!!!!!!!) Drweb попрежнему запускался с этой ошибкой. (!) Не направах рекламы скачал програаму AVZ с сайта http://z-oleg.com/Запустив востановление системы (Файл -> Востановление системы поставить все галки потом перезагрузить) (!!!) После перезагрузки Drweb заработал как нивчем не бывало. Ps. Мне лично кажится кто написал этот вирус хорошо знал внутреннею защиту вашего антивируса и так лего ее обошел. Похоже канкуренты по цеху купили ваших сатрудников. В кризис все средства хороши. Сергей Сервис-инжинер. Антивирусы которые устояли от этой заразы: 1.KIS10 и KAV10 2.Symantec Endpoint Protection AntiVirus 11 Провал: 1.Drweb все(!) версии 2.Avast все версии 3.Avira все версии 4.KAV9 5.AVG все версии 6.Comado все версии
Добавлено через 5 минут
После этих действия система работае нормально ставте Symantec Endpoint Protection AntiVirus 11(torrents.ru) http://www.cforum.ru/t4/forum/uqn8pm?goto=144789#msg144789

Доска позора · Бизнес · Маркетинг

25.01.2010, CForum.ru
Список коротких номеров составлен на основе жалоб абонентов лишь за несколько последних дней. "Бизнес", построенный на распространении троянов, которые блокируют компьютер и обещают разблокировать его за премиальную SMS, продолжает раскручиваться. По некоторым оценкам, число пострадавших от него россиян измеряется миллионами. Доходы от мошеннического промысла -десятками миллионов долларов. Номера каких провайдеров наиболее часто называют абоненты, которые пострадали от этой "услуги"? Кто эти герои от "агрегаторов", чьими номерами так успешно пользуются мобильные мошенники?

Топ-3
"Инкор-медиа"
"А1 Агрегатор"
"Нева-Лайн"
Список номеров, на которые чаще всего называют абоненты в связи с трояном Trojan.Winlock :
4125 4460 8353 3649
2474 3151 9099 1350 9797 9800
9691
5155
© CForum.ru

Прикол один факт,"Стоймость смс 10р"
На мотиве выдирают 650р =)

Я понимаю в какой стране живу, но ведь номер же есть.Иди милиционер, арестуй его :D
Вопрос-если винда стоит не лицензионная  ;)  значит и ущерба от вируса нет? Вор - вора обворовал? 

ia78 записан в 26.01.2010 :: 18:02:08:

Вопрос-если винда стоит не лицензионная  ;)  значит и ущерба от вируса нет? Вор - вора обворовал?

У тебя дома Винда лицензионная?

@ DeadlySun

а что это такое дикое явление?
дома по моему лицензий на порядок больше чем в конторах)

remx записан в 26.01.2010 :: 21:38:39:

@ DeadlySun дома по моему лицензий на порядок больше чем в конторах)

дануна? продажи ноутов с предустановленой вендой зделали свое дело, но и рейды органов тоже  имели мето быть:)

ps по сути вопроса - все эти локеры реально  все больше напрягают саппорт... готовых рецептов как правило нет... а для юзера-обычного их нет вообще даже неготовых.

продолжаю... раньше было проще, все косяки народ ловил через дыры в шарах винды и т.д, все закрыл на бордере и все довольны, сейчас болт - народ ходит на сайты, сам тыкает и соглашается со всем подряд и получает приключения... проблема сметилась на дырявый клиентский софт, которого очень много разного...

Сижу с ноутом... че то тоже наловили, ни с лив си ди ни с загрузочного каспера, даже с загрузочного хирен бут си ди с файлменеджера только обращаюсь, сразу тупо вырубается.. пока не снял винт ниче сделать не дает подцепил полечил все заработало а так то тупо или ребут или бсод 7E и пипец...

посмотреть бы на такой сцыкливый вирь)

@ Kol

Каков механизм, хочешь сказать, что эта зараза на зараженной машине каким-то образом остается в памяти и активна?

ХЗ похоже она при обращении к каким то файлам или еще как срабатывает... вечером выложу список вирусни которую убил

МТС покончил с SMS-мошенниками

С сегодняшнего дня МТС включил дополнительную защиту от мошенничества по коротким номерам. Теперь абоненту перед списанием средств будет приходить SMS с предложением подтвердить свое желание воспользоваться услугой и достоверная информация о ее стоимости. Источники в МТС, пожелавшие остаться неизвестными, подтверждают, что данный фильтр был установлен на короткие номера, которые чаще всего звучали в жалобах абонентов. В будущем, если ситуация с мошенничеством не изменится, подобный фильтр будет установлен на все короткие номера.

http://www.content-review.com/articles/11576/

вот еще сервис по снятию блокировки от компании ESET Разблокировка Windows

@ Kol

замочил сегодня подобный
все дело в волшебных пузырьках ntfs потоках >:(

www.drweb.com/unlocker

http://support.kaspersky.ru/viruses/deblocker
тут тоже разблокировка)

remx записан в 28.01.2010 :: 18:16:51:

@ Kol замочил сегодня подобный все дело в волшебных пузырьках ntfs потоках >:(

не понял... поясни про поузьки и потоки :)

мужики не далее как вчера на одном компе решал эту проблему с трояном ни черта не получилось.
они сейчас умные пошли... ... ... лочит все что можно, и в безопасном и в опасном режимах на перестановку даты в биосе не реагирует ни вперед ни назад, спалил саташный порт когда попробовал перекинуть винду дайте телефон веба плизз живу в Киеве

Да вроде нет такого сервиса у веба...  :-?

как нет
они всегда сгоревшие сата по телефону восстанавливали
на том и зародились)

да не.. я про телефон, имею в виду разблокировку...
а все таки что там про пузырьки и потоки?

поймали систем секьюрити или как там его
суточный
код на 5121
все деблокираторы чтото невнятно промычали о том что умывают руки

щас все описывать не буду - лениво. завтра может найду время. можешь пока про потоки в нтфс почитать... раз так не догадался)
но вирь хитер блин)

remx записан в 28.01.2010 :: 21:19:13:

поймали систем секьюрити или как там его

+1 тоже словил. Блин предупреждал же аваст не лезь на сайт))
p.s под администратором вылечить безполезно. Создал ограниченную учетную запись, тут не запускается. Сейчас ищу антивирус чтоб проверить комп от сюда. позже отпишусь еще.

Нашел про потоки...http://habrahabr.ru/blogs/windows/46935/
Это че их значит вообще теперь стандартными средствами не завалить? только цеплять к другому компу винт?

http://www.drweb.com/unlocker/mobile  Теперь пользователи, которые в результате действий Trojan.Winlock лишены возможности зайти на сайт компании со своего компьютера, могут воспользоваться бесплатным разблокировщиком через свой сотовый телефон или коммуникатор.
Мобильная версия быстро загружается и проста в использовании: необходимо лишь ввести указанный злоумышленниками номер, после чего на экране мобильного устройства появятся варианты кода активации Windows, говорится в сообщении «Доктор Веб».
© CNews

что то реально эпидемия, прикреплю пока тему, просьба лишним флудом не засорять :)

короче в моем случае вирь лояльно относился к запуску большинства приложений офисного назначения... вобщем то детектил он по ходу не только по имени файла, но и по заголовкам окон (может и еще какие то умения в него заложены я хз - описываю то что запомнилось в процессе разбирательства). полиморфный АВЗ успешно пополнял ряды падших от руки виря... ранее он всегда выручал( тотал, утилиты от sysinternals, gmer и т.д ... все в топку

при попытке запустить неугодное вирю приложение убивалось вместе с приложением еще и spoolsv (диспетчер печати) и оболочка explorer.exe
как удалось выяснить - делал это зло ctfmon.exe.

надеюсь написал правильно т.к. пишу под семеркой, и тут языковая панель как то по другому реализована. а в ХП она запускается эксплорером. не знаю имело ли место самоубийство ctfmon.exe, но его гарантированный запуск обеспечивался запуском процесса explorer.exe, а он как известно перезапускается автоматически т.к. работа без рабочего стола и без панели инструментов - не работа

а... вот че запускалось из системного - msconfig! причем на вкладке автозагрузка были левые 2 записи в автозагрузке (в каком именно разделе - хз msconfig это не показывает :( )
но эти пункты были отключены т.е. как бы не запускались по идее при старте системы. отключал ли он сам или что это было вообще я хз
файлы были:
1) [имя пользователя].exe в папке профиля этого пользователя где то глубоко. точный путь не запомнил и это стоило мне минут 10ти поиска по имени файла в профилях :( временых файлов тонна, профилей несколько вобщем покурить время было. причем безрезультатно завершался поиск как этого, так и второго файла... wtf?
2) второй файл, который якобы автоматически запускался - многострадальный, популярный среди вирей и незаконный для папки windows - services.exe как и писал выше - файла найти не удалось

более того позднее поиск записей в реестре с именем как первого так и второго файла результатов тоже не дал.

кроме того при повторном запуске msconfig позднее несколько данных двух строк более не значилось в списке. :) нет мне не привидилось и не выпало из памяти что я их сам удалил :) точно-точно

итак мне нужен был срочно доступ в реестр + средство завершения процессов. process explorer в топке, регедит как и следует заблочен. запустился regworks которым я и искал записи с двумя выше привиденными файлами.

продолжил перебор своего антивирусного арсенала. дошол до утилиты, которая в ход шла очень редко т.к. всегда достаточно было procexp+autoruns+avz
утилита на самом деле прекраснейшая и внимания ей не удиляется лишь изза того, что она несколько сложнее вышеприведённого.
имя ей icesword (желающие кстати уже догадались, что по именам программ можно гуглить?) в ней есть и работа с файлами и работа с реестром и стандартный и очень грамотный секьюрити чекер.
запуск ее был удачным. почему - хз, но у нее есть одно свойство - заголовок окна всегда случайный - чтото наподобии "yeryYWEYr", хотя имя процесса равно имени файла. что спасло icesword неизвестно либо случайный заголовок, либо автор упустил из вида сию утилиту, либо еще чтото.

так же в ней есть мониторинг запуска и завершения процессов. с помощью него я и узнал кто рулил вечеринкой.
как узнал сразу грохнул все три процесса - spoolsv, explorer, ctfmon
внимательный читатель уже понял что все тут же вернулось на место с перезапуском гребаного explorer.exe
но тут вроде понятно - лезим в реестр, отключаем автоматическую перезагрузку оболочки и снова стреляем в троицу
с минуту было тихо и уже руки потянулись искать как бы подчистить за вирем всю его шнягу, но грамотный читатель уже понял почему троица вернулась да? :)
ага, долбаная служба печати. службы как известно перезапускаются автоматически при вылете...
ну и это тоже укротить можно. отключаю сию пакостную службу и снова стреляю
и вот она... тишина...

но только блин слишком тихо!! кроме картинки рабочего стола нифига не имею) ничего запустить нельзя т.к. некому обработать мои команды win+r, win+e и тому подобные f1-ны. Но тут опять спас icesword, хотя как выяснилось листать, удалять и копировать файлы он умеет, а вот запускать нет :(

тут пришлось выкручиваться. тут же в этом же ледяном мече лихорадочно ищу любой open\load\save и т.д. file
нахожу, переключаю тип файлов в диалоге открытия в ALL ищу ... самоу удобное будет тотал так ведь?) запускаю его из контекстного меню - выполнить. слава богу он запустился и на ногах стоял уверенно.
теперь у меня под рукой была любая утилита из моего арсенала)

вобщем далее стандартные действия, скан авз показал и исправил перехватчики всякие, но тут не буду акцентировать внимание на лог скана.

перейду к результатам autoruns.
там везде все было чисто - ни левых сервисов, ни драйверов ни-че-го кроме... appinit_dll. если я не ошибаюсь в этом ключе указывается какая дллка стартует при запуске любой программы способной запускаться. утверждать вобщем то не буду.

Но!
Там хранилось совершенно небывалое доселе))))  в первый раз как я туда ткнулся (замечу что ранее автозагрузку полностью не проверял ибо руками с редактором реестра просмотреть все возможные места автозапуска... да ну нафик) там было значение ... внимание ... [имя_одного_из_стандартных_шрифтов].ttf:XYZ
имя шрифта не помню т.к. сразу стало понятно, что тело вируса не в шрифте, да он даже запуститься не может если уж на то пошло! а вирь в альтернативном потоке XYZ у этого файла! имя потока конечно не такое, но тоже равнялось тупо набору символов. причем пока втыкал че к чему - значение appinit_dll менялось как душе угодно - например какой-нить inf файл из папки windows или еще чтото участвующее в системе.

сам механизм запуска вируса-призрака не знаю. видимо один из перехватчиков системных событий был установлен на запуск этого потока из очередного файла при обращении к оному либо еще как... тут уже хз.

вобщем вырублен он был жестко: очистка значения appinit_dll и тут же hard reset (это кнопочкой на системнике в смысле) т.к. при обычном завершении работы все вернулось бы на свои места - это понятно было.

под рукой не было утилит для работы с потоками нтфс кроме как streams.exe от сисинтерналс, но во первых она консольная и разбираться с ней (до этого плотно с ней не работал) не было времени. время шло к 17-00, а делов еще было куча.
поэтому вирус как бы не удален остался, но деактивирован и надеюсь навсегда) система стабильно и в полном обьеме работает.

поставил полный скан антивирусом всегод диска. завтра может вернусь к тому компу и полажу по потокам
хотя думаю скан антивирусом ничего не даст. по крайней мере пока что. возможно позже появятся в базах сигнатуры этой заразы

вобщем весело было :)

@ remx

Как поймал то? Туркменский вирус или систему прошил? Какой антивирь стоял?

писатель из меня х#ровый конечно, да и нет сил форматировать все это и делать стилистически красиво)
на прочтении предыдущего поста не настаиваю. к тому же грамотной информации там не много, кое-что может и забыл или упустил из виду. просто вспомнил и улыбнулся произошедшему :) немного гордость берет знаете ли за наших... отлично придумано и реализовано. причем судя по эпидемии на достигнутом они не останавливаются. своевременного детекта этой заразы антивирусами пока не наблюдается  - модификации прут и прут.

да кстати, как запостил вспомнил, что в процессе бадания с вирусом на флешку прилетел бонус в виде трех файлов кои были бережно сохранены (еще бы обычно бывает не всегда получается копирнуть себе файло вируса, а тут он сам прыгает в карман)
\RECYCLER\f.dll
\RECYCLER\qvf.dll
\RECYCLER\swgvjblnl.dll
размер у всех одинаковый и судя по хешу - содержимое тоже

отправил на вирустотал все по очереди. первый файл показал 9 из 39 детектов в себе (в основном не популярными антивирусами и утилитами) пока отправлял все три видимо часть антивирусов обновили и базы и сейчас все три файла дают одинаковый результат 13 из 39 (еще бы ведь это один и тот же файл)

это радует. но завтра придется перезапустить скан пострадавшего компа)

@ Belk

на мне немного сказывается усталость сегодняшняя видимо. да и скудость интеллекта не дает мне понять твой пост.

а стоял нод32... да и стоит и стоять будет впрочем.

@ remx

Да брось скромничать ;) Интересуюсь как вирус на машинку попал: себя предложил скачать как кодек или еще какую фигню или огородами по партизански просочился без ведома пользователя?
Да сегодня винда залила больно большое обновление дефендера своего аж на 12,5 метров :-/

@ Belk

просто фраза "как поймал" показалась неоднозначной. толи как заразились, толи как убил вирь.
насчет убийства я описал выше. а поймал не я конечно, а подопечные. а они когда-нить признавались как они это делают?))

юзали чистый FF с активным антивирем, который, как сейчас видно, не знал еще этого виря.
что именно скачали не известно, но судя по последним открытым вкладкам - искали чтото (что именно не помню уже) в яндыксе.

вообще практика показывает, что на эти локеры выходят через поисковики - ложная выдача (как подняться в выдаче поисковиков всем известно), либо фреймы, либо подмена ссылок
что поимели тут - хз. может завтра выясню, если пойду всетаки туда.

кстати обновился до последней версии антивирусной базы и те три файла легко убились

Цитировать:

\temp\swgvjblnl.dll - Win32/AutoRun.Agent.UN червь - очищен удалением - изолирован

но это явно тупо дроппер был для флешки. сама флешка защищена от автозапуска и autorun.inf и тому подобное обламались, а вот тело дропера просочилось, но оно не опасно само по себе.

Занимательно... кстати сколько времени убил на эту расчлененку?

Вот статейка как можно защититься от некоторых винлокеров средствами KIS 2010 http://www.anti-malware.ru/node/2179

@ Kol

ну занимался часа 2-2,5
тесты, парочка загрузок с лайв сиди (которые в данном случае вовсе не дали результата), 5-6 ребутов компа, операции поиска по массивным папкам
пролетели они конечно как минут 15 всего))

Интересно будут ли они отлавливаться при подключении к другому компу винта? (было бы быстрее намного)
Особо умиляет полное бездействие компетентных органов... второй год если не ошибаюсь эта х#рня просит денег через смс... закрыть такие "сервисы" элементарно.

@ Kol

если антивирус будет знать заразу - будет отлавливаться при грамотном скане на ура
повторюсь у меня ситуация была такая, что базы сигнатур еще не содержали нужных данных, да и с вирустоталом я описал же ситуацию... даже там не было сначала сигнатур на этот вирь и буквально на глазах обновлены были базы четырех антивирей (среди них три гранда - дрвеб, каспер, симантек!)
хотел еще сначала над каспером вашим любимым постебаться, но ситуация изменилась :)

у меня не было возможности отцеплять диск, тащить куда-нить на другой комп и все такое
да и боялся сата порты пожечь  ;D
интерес всеткаи попробовать разобраться доминировал над всем остальным)))

ну а компетентные органы тут как бэ как действовать то должны?
если заяву напишешь скажем в ментовку что подцепил заразу, номер такой то прошу принять меры, то эти органы руками разведут тока) ну еще в след наверное скажут "нефиг по порносайтам лазить"))))

меры принимает оператор, предоставляющий услугу короткого номера мне кажется, если у тебя есть желание пойти дальше, то можно в суд подавать (статья как никак. вымогательство) и в суде уж наверняка личную информацию оператор должен предоставить о пользователе услуги.
номера же банят после 2-3 заявлений о неправомерных действиях. тока нам самим же вломы искать кому номер пренадлежит и звонить в техподдержку оператора

Не ну я имел в виду отдел "К"

Kol записан в 29.01.2010 :: 10:44:31:

Не ну я имел в виду отдел "К"

Дак и тут аналогично. У них руки связаны, операторы им вот так вот просто инфу по номерам не дадут.

в сферу компетенции отдела К конечно входит "- борьба с распространителями вредоносных программ (ст. 273 УК РФ)", но в данном случае я лично хз попадает ли он (случай) под этот пункт?
а вот вымогательство это да. на все 100%

Попадает это точно... т.к. преднамеренно нарушается работа ОС без согласия владельца эта бня ставится в абсолютном большинстве случаев... или ставится под видом другого ПО

к стати есть ли страничка у этого отдела? я бы написал жалобу... :)

нашел... все пишем сюда... http://www.otdel-k.ur.ru/ только он пустой... ни новосте вообще ничего... но для сообщений доброжелателей есть кнопочка :)

Kol записан в 29.01.2010 :: 09:48:58:

Занимательно... кстати сколько времени убил на эту расчлененку? Вот статейка как можно защититься от некоторых винлокеров средствами KIS 2010 http://www.anti-malware.ru/node/2179

работает на KIS 2009 ??

Kol записан в 29.01.2010 :: 11:23:42:

нашел... все пишем сюда... http://www.otdel-k.ur.ru/ только он пустой... ни новосте вообще ничего... но для сообщений доброжелателей есть кнопочка :)

что его искать :) спросил бы :)

Thaiboxing записан в 29.01.2010 :: 19:03:20:

работает на KIS 2009 ??

ХЗ не пробовал...

http://www.3dnews.ru/software-news/novaya_testovaya_versiya_dr_web_cureit_s_instrumentami_dlya_borbi_s_trojan_winlock/
Новая тестовая версия Dr.Web CureIt! с инструментами для борьбы с Trojan.Winlock

31.01.2010 [14:30], Сергей и Марина Бондаренко

Компания «Доктор Веб» сообщила о серьезном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.



Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования. Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock.

Обновленная бета-версия Dr.Web CureIt! предназначена для работы на компьютерах под управлением операционных систем Windows 2000 и выше (32- и 64-битные версии). брать отсюда

Не совсем понятно как же ее запускать ежели даже в безопасном все блокировано?

@ Kol

пробовал? ;)

там вроде применен принцип как у затронутой выше IceSword - этоти трояны не должны ее видеть

затестим при случае хоспади)

Все равно не понял... система загрузилась, она заблокирована... как будем запускать курейт?

Вчера скачал Dr.Web CureIt! с инструментами для борьбы с Trojan.Winlock, кто-нибудь испытайте при случае.

Так у меня был вирь который под секьюрити обзывался,он был разблокирован с помощью ключей веба=)

Byba) записан в 04.02.2010 :: 13:34:58:

Так у меня был вирь который под секьюрити обзывался,он был разблокирован с помощью ключей веба=)

У меня тоже самое было - "Ваша система заражена"... обнаружено 76 вирусов... послать смс... Разблокировал так же через сайт DrWeb. Но остались глюки, например сам собой стал закрываться IE, после 3-5 минут работы, хотя полная проверка DrWeb ничего не нашла... В итоге на всякий случай переустановил операционку.

dmitri записан в 04.02.2010 :: 13:03:47:

Вчера скачал Dr.Web CureIt! с инструментами для борьбы с Trojan.Winlock, кто-нибудь испытайте при случае.

Запустил просто систему проверить, появился защищенный режим, в котором выполняется
быстрая проверка, комп для остальных приложений недоступен.
Делаю проверку раз в месяц - ну ничего не находит ;) Где вы по инету лазите??? :)
тьпфу-тьпфу-тьпфу

ia78 записан в 04.02.2010 :: 16:24:17:

Запустил просто систему проверить, появился защищенный режим, в котором выполняется быстрая проверка, комп для остальных приложений недоступен. Делаю проверку раз в месяц - ну ничего не находит ;) Где вы по инету лазите??? :) тьпфу-тьпфу-тьпфу

Ну у меня это было единственный раз - искал срочно одну программку, скачал и не проверив запустил... а это оказалась зараза... Она кстати перевела системные часы с декабря 2009 на декабрь 2010, и DrWeb сразу "устарел", возможно потому и не заблокировал ее.

Kol записан в 01.02.2010 :: 22:51:55:

Все равно не понял... система загрузилась, она заблокирована... как будем запускать курейт?

в разных случаях по разному блокируется. У меня, к примеру, система блокировалась только когда запускал антивирусы и браузеры, если их не открывать то другими программами я мог полноценно пользоваться.

ia78 записан в 04.02.2010 :: 16:24:17:

Делаю проверку раз в месяц - ну ничего не находит ;) Где вы по инету лазите??? :) тьпфу-тьпфу-тьпфу

тоже самое, очень редко приносят на флешках, но и то успеваю загасить до заражения

2 недели работал без антивируса и фаервола(брендмауэр Windows не в счет)
Вчера просканировал и ничего.

Порнуху меньше качать надо.

На дня поймал такой вирус скачивал музыку + порна сайты всякие открывались автоматически - ну все как обычно. Проще говоря хрень залезла, засела и начала мучить!!!! Вылечил с помощью программы   Your Uninstaller! – там есть кнопка ИСПРАВИТЬ (автоматически обнаружит недопустимые инсталляции и удалить не используемые файлы ).  После чего все заработало Я ДОВОЛЕН.

сегодня при открытии любой страницы форума (хотя нет, не форума, на других страничках тоже самое) выходит такая трындень:
http://foto.krasnoturinsk.org/cpg/albums/userpics/11699/%C1%E5%E7%FB%EC%FF%ED%ED%FB%E9.JPG

вирус?

@ М.А.Н.

Писал уже об этом - http://forum.krasnoturinsk.org/cgi-bin/yabb2/YaBB.pl?num=1264434590

dmitri записан в 04.02.2010 :: 15:05:45:

У меня тоже самое было - "Ваша система заражена"... обнаружено 76 вирусов... послать смс... Разблокировал так же через сайт DrWeb. Но остались глюки, например сам собой стал закрываться IE, после 3-5 минут работы, хотя полная проверка DrWeb ничего не нашла... В итоге на всякий случай переустановил операционку.

Уже 2 раза ловил,хотя ничего не качал и каждый раз мочил систему(мало ли),,,Возможно реагирует не только на файлы?Оо

Alex записан в 05.02.2010 :: 10:30:25:

@ М.А.Н. Писал уже об этом - http://forum.krasnoturinsk.org/cgi-bin/yabb2/YaBB.pl?num=1264434590

там другие угрозы описаны

@ М.А.Н.

Точно также ругается на гугловский show_ads.js

сегодня имел возможность заюзать кьюрит при блокере

(экран тот же internet security с тонной вирусов в компе, но поведение совершенно иное как и номер)

попробовать сгенерить код не успел - запустился кьюрит и "заморозил" систему не давая ничего сделать :)

ну запустился он, ну просканил в быстром режиме
ну нашел чтото там
после ребута виря не наблюдал, поставил нормальный антивирь, обновил его, проверил автозапуск на ошметки вроде все окейно. ушел.

но все равно мусора я уверен, что осталось много. выискивать его конечно не охото было да и времени не было. главное что блокер деактивирован и вроде бы больше не появляется.

а пропустил трояна угадайте кто?) тот же доктор веб)
для меня вообще загадкой остается тот факт, что активный антивирь у них скажем так себе, а утилита лечит вобщем-то очень хорошо даже. как так? видимо еще долго этот вопрос будет у меня в топе ;D

Причем обычный антивирус продают за деньги, а утилиту раздают бесплатно )

Лингвисты-русофилы чудят?

Мать сейчас словила такую заразу. Уж не знаю откуда, но словила. Продиктовала по телефону код и телефон. С телефона залез на сайт кашперовского, списал там первые три кода разблокировки. Подошёл первый же )))

Мне в школьном классе попросили разобраться с смс-блоккером. Тоже помог http://support.kaspersky.ru/viruses/deblocker
Кстати, у других антивирусников подобных сервисов до сих пор нет даже за деньги. У Каспера эта штука бесплатная.

Цитировать:

Кстати, у других антивирусников подобных сервисов до сих пор нет даже за деньги.

Dr.Web

@ Кораблёв

Чувак ты такую чушь несешь вечно шопепец)
почти у всех крупных контор есть эта приблуда и каспер не был в первом числе по запуску деблокера кстати ;)

Как правило все баннеры ловятся от неопытности и любопытности юзера и тут уже мало какой антивирус поможет.

Вчера знакомый притащил комп с окном парнушным в пол экрана. Установлен и обновляется лицензионный каспер 6.0.4.1212. Целый день эта х#рня висела и каспер ее не видел. Стоило мне только запустить AVZ, просто запустить екзешник, как каспер сука тут же откликнулся, что мол -вижу врага, и давай хозяин я его зах#рачу.... Все корректно зачистил без проблем.... И теперь я даже не знаю, что и думать.. Склоняюсь теперь к теории заговора :(

эм.. ты бы уточнил на что именно каспер ругается "в авз"?
на сам модуль не может - они "друзья" это факт.
заразить exeшник авз равно не дать запуститься (проверяется crc при старте и перенаправляется в лес, если что не так)
каспер мог ругаться только лишь на базы авз в которых хранятся сигнатуры и это, представляешь, нормально!

6я версия хоть лицуха хоть не лициху - унылое старье не способное противостоять нынешним вирям в полном объеме. глупо жить с такой версией. механизмы детекта кроются в самой программе, а не в базе так что хоть заобновляйся.

к тому же если локер был какой-нить новоиспеченый, то вполне антивирус его мог не видеть день-два... пока данные о нем не попадут к разработчикам. вобщем я не знаю, но ситуевина описанная тобой крайне нормальная в некотором роде :)

насчет заговора ... все еще склоняешься?)

Я наверное путано написал...
Какое то время каспер игнорировал этот локер, и только при запуске AVZ сразу резко его (локер) вдруг обнаружил и начал резво его удалять...


Цитировать:

6я версия хоть лицуха хоть не лициху - унылое старье не способное противостоять нынешним вирям в полном объеме. глупо жить с такой версией. механизмы детекта кроются в самой программе, а не в базе так что хоть заобновляйся.

А разве для бизнес версий есть новее? уточняю версия для рабочих станций.

Да и локер не новый.

@ Kol

а так каспер возбудился на локер а не на авз)
видимо локер выдал себя определёнными действиями
насчет версий я лично хз.

Kol записан в 16.03.2010 :: 08:47:59:

Вчера знакомый притащил комп с окном парнушным в пол экрана. Установлен и обновляется лицензионный каспер 6.0.4.1212. Целый день эта х..ня висела и каспер ее не видел. Стоило мне только запустить AVZ, просто запустить екзешник, как каспер сука тут же откликнулся, что мол -вижу врага, и давай хозяин я его зах..ачу.... Все корректно зачистил без проблем.... И теперь я даже не знаю, что и думать.. Склоняюсь теперь к теории заговора :(

А проверку касперским не запускали?

само собой... хозяин сам запускал, и каспер был настроен на угрозы реагировать лечение или удаление.

Kol записан в 16.03.2010 :: 09:18:43:

Я наверное путано написал... Какое то время каспер игнорировал этот локер, и только при запуске AVZ сразу резко его (локер) вдруг обнаружил и начал резво его удалять...

Если бы запустили полную проверку, то Каспер бы сразу нашёл этого зловреда. А так он сам проверяет только те файлы, которые в данный момент запускаются. В данном случае AVZ обратился к этому файлу, Каспер его сразу проверил и заблокировал. Так что все, как и должно быть.

@ Кораблёв

тут обратно ты не прав скорее всего
сказано же "при запуске АВЗ" при запуске АВЗ не набрасывается еще на файло ни на одно кроме своих баз
а вот локкер не любит АВЗ и прочии штуки и был вынужден открыть свою личину при попытке хлопнуть АВЗшку
тут его и повязали как говорится.

локеры это ваще отдельная тема... их с трудом ловят (особенно все новые и новые модификации их) когда происходит интеграция как бы в систему... вычислить могут только при активизации каких либо диструктивных функций (а у локеров это наверное только одна функция - завершение других важных процессов)
в остальном это безвредная программа с формой со свойством alwaysontop (или как там оно) и алгоритмом просчета кода и все)

Цитировать:

локеры это ваще отдельная тема... их с трудом ловят (особенно все новые и новые модификации их) когда происходит интеграция как бы в систему...

к сожалению +500 :(

Локер, мне кажется, не такой уж и страшный.
Разблокировать его можно в два счета через бесплатный сервис http://support.kaspersky.ru/viruses/deblocker
А потом уже спокойно удалять антивирусом.

Кораблёв записан в 17.05.2010 :: 21:28:41:

Локер, мне кажется, не такой уж и страшный. Разблокировать его можно в два счета через бесплатный сервис http://support.kaspersky.ru/viruses/deblocker А потом уже спокойно удалять антивирусом.

Все больше и больше юмора! :)
далеко не все коды разблокировки имеются в этих базах...

@ Kol

а еще из своего опыта расскажи ему насколько эти сервисы применимы в стане простых юзеров) чел вообще не с той стороны на проблему смотрит)

а коды да... не ну потом появляются конечно, но сколько времени пройдет пока алгоритм вскроют и добавят в базу гиганты с такими сервисами))

remx записан в 18.05.2010 :: 07:41:28:

@ Kol а еще из своего опыта расскажи ему насколько эти сервисы применимы в стане простых юзеров) чел вообще не с той стороны на проблему смотрит)

К стати попадался клиент который отправил 7 СМС пока допер что его поимели... :) и сумма была очень приличная, что-то в районе 3 с лишним тыс. руб.

@ Kol

да уж
я все удивляюсь почему не придумают до сих пор вымо-сервис типа "отправьте онет на номер 22334 чтобы отменить отправку предыдущей смс"  ;D

03.06.2010 [10:55], Андрей Крупин

http://www.3dnews.ru/software-news/Doktor-Veb-soobshchaet-o-volne-novih-vidov-troyanov-vimogateley
Количество программ-вымогателей, блокирующих доступ к компьютеру и требующих отправить злоумышленникам определенную сумму денег для возврата к исходному состоянию системы, вновь приобрело угрожающие масштабы. К такому выводу пришли аналитики компании "Доктор Веб", опубликовавшие очередной ежемесячный отчет о тенденциях развития вредоносных приложений.

Согласно представленным специалистами сведениям, в прошлом месяце было зафиксировано около миллиона блокировщиков Windows, и эта цифра впервые превысила прошлый ежемесячный максимум распространения данных вредоносных программ, который пришелся на январь 2010 года. :o

Эксперты по информационной безопасности отмечают, что, начиная с 7 мая, пользователи начали обращаться в службу технической поддержки по поводу блокировщиков, которые вместо отправки платного SMS-сообщения требовали перевести деньги с помощью платежных терминалов (от 250 до 500 рублей, что приблизительно соответствует запросам классических SMS-блокировщиков). В течение месяца злоумышленники опробовали множество электронных денежных систем, среди которых присутствовали более или менее популярные - WebMoney, RBKMoney, "Единый кошелек". При этом к концу мая пользователям чаще всего предлагалось перевести деньги на счет мобильного телефона, зарегистрированного киберпреступниками у одного из российских сотовых операторов.

Появление подобных вредоносных программ стало катализатором новой волны общего распространения блокировщиков, так как новые их типы добавились к классическим модификациям, распространение которых не прекратилось. Также переход на альтернативные схемы монетизации преступных доходов позволил преступникам обойти те преграды для реализации мошеннических схем, которые создали SMS-мошенникам совместные усилия сотовых операторов, агрегаторов, правоохранительных органов и антивирусных компаний. Аналитики не без сожаления констатируют тот факт, что при использовании преступниками различных электронных платежных систем бороться с ними станет существенно сложнее.


сам сталкивался с локерами последний месяц, на работе и у знакомых. хорошо был смартфон с инетом и коды подошли. потом на вирусы проверял бесплатной утилитой от касперского, почистил кучу зараженных файлов, только фиг знает, то или нет. мож потом аукнется.

я за месяц 2 раза подобную заразу хватал. хорошо что быстро поборол в этот раз

У меня Касперский ничего такого ни разу не пропустил. Даже не знаю, как это происходит (блокировка Виндоус). Может, потому что лицензия купленная, а не ворованная. И вообще, если по всяким сомнительным ссылкам ходить - из аси, из почты и пр (вестись на сообщения типа "Ты тут голый http://***"), то думаю, ничего не спасет.
Хотя, если мне в асю что-то шлют вредоносное, Касперский блокирует сообщение. Почту не свечу нигде.

alia записан в 08.06.2010 :: 08:35:42:

У меня Касперский ничего такого ни разу не пропустил. Даже не знаю, как это происходит (блокировка Виндоус). Может, потому что лицензия купленная, а не ворованная. И вообще, если по всяким сомнительным ссылкам ходить - из аси, из почты и пр (вестись на сообщения типа "Ты тут голый http://***"), то думаю, ничего не спасет. Хотя, если мне в асю что-то шлют вредоносное, Касперский блокирует сообщение. Почту не свечу нигде.

так и не понял... то ли это реклама касперскому, то ли рассказ как и где нужно пользоваться интернетом.
P.S. Видел ни один локер при лицензии каспера.

Vzlomshik записан в 08.06.2010 :: 21:24:14:

так и не понял... то ли это реклама касперскому, то ли рассказ как и где нужно пользоваться интернетом. P.S. Видел ни один локер при лицензии каспера.

Сдается мне, она про лицензионную винду говорила ;)

в последнее время каспер и вирусы отлично уживаются вместе :)
несколько дней назад приносили комп, вирусов куча + каспер

rona записан в 09.06.2010 :: 22:07:15:

в последнее время каспер и вирусы отлично уживаются вместе :) несколько дней назад приносили комп, вирусов куча + каспер

а Каспер то хоть лицензионный был? с обновлениями? или так.. лишь бы стояло? Если нормально идут обновления и при этом Каспер правильно настроен, то и проблем будет очень мало. Ведь иногда дело не в Каспере, а в человеке который его установил. Хотя разное бывает..

rona записан в 09.06.2010 :: 22:07:15:

в последнее время каспер и вирусы отлично уживаются вместе :) несколько дней назад приносили комп, вирусов куча + каспер

Тоже заметил что каспер у меня в последнее время ленивый какой-то стал
Скорей срабатывает Защитник Windows

У меня лицензионый Виндоус и Касперский. Ничего не пропускает. Смысл мне Касперского рекламировать, странные вы )) Думаю, ему реклама не нужна.

Сегодня удалял блокер... вроде старый коды нашлись сразу... но вот фишка... клавиатура после его запуска отказывается работать вне его поля...

Kol, видать тогда новый блокер. Вообще, мне пришлось с мобильника своего заходить на сайт каспера с разлочкой - deblocker благо, это не как у доктор веба: намалёвано картинок, тёмный фон. Так вот, удалил всё же я блокера, но другая напасть: Kido... это да... пришлось уже через мобилу на этот сайт идти и читать с маленького экрана мобильника, что надо делать... Но в итоге комп вылечен, хозяйка довольна и я доволен, что хозяйка довольна :) Кстати, на пк у неё стоял Eset Smart Security 4.2 и лицуха, которая в магазе давалась (коробочная версия)...

Zau4enok записан в 09.07.2010 :: 02:39:44:

Но в итоге комп вылечен, хозяйка довольна и я доволен, что хозяйка довольна :)

А вот с этого места подробней и в разделе для взрослых  :D

Zau4enok записан в 09.07.2010 :: 02:39:44:

Так вот, удалил всё же я блокера

Вообще-то сейчас после подбора кода, надо бы комп проверять на вирусы. Потому что если баннер убрался, это не значит, что вирус удален с компа. Очень часто бывает, что картинка удаляется, а вот сам вирус с компа-нет. Я в таких случаях или утилиткой Kaspersky Virus Removal Tool 2010 проверяю. Или качаю триал, чтобы был свеженький, с последними обновлениями и им проверяю комп.

Jert записан в 13.06.2010 :: 11:31:21:

а Каспер то хоть лицензионный был? с обновлениями? или так.. лишь бы стояло? Если нормально идут обновления и при этом Каспер правильно настроен, то и проблем будет очень мало. Ведь иногда дело не в Каспере, а в человеке который его установил. Хотя разное бывает..

лицензия конечно

Jert, я из под винды теперь вообще чужие компы не проверяю. У меня всегда с собой ноут с инентом (4G) и прямо у клиента делаю с помощью Kaspersky 2011 Rescue CD и там же с помощью каспера 2011 (в предыдущих версиях тока на болвань резать мона, а в 2011 и на флешку) записываю на флешку и загружаюсь с неё и проверяю комп. Обычно убиваю кучу нечести, и потом, когда винда загружается, тут же нод начинает хлопать глазюками, что вируса нет, хотя ещё час назад сидел в бессознательном состоянии, что ядро его не грузатся.

чтоб локера убить не надо ни ноута, ни 4Г, ни загрузочных фигней. все средствами той же вездесущей винды ;)

Давай опиши чуть подробней... поделись опытом так сказать...

Специалисты "Лаборатории Касперского" информируют пользователей о появлении новой схемы работы кибермошенников с использованием троянов-вымогателей.
http://www.3dnews.ru/_imgdata/img/2011/02/08/606423/kasp-sms-new.jpg
В отличие от традиционного алгоритма, когда для получения кода разблокировки компьютера требовалось выслать SMS на указанный номер, теперь злоумышленники просят пользователя указать номер телефона, на который совершенно бесплатно приходит короткое текстовое сообщение с кодом разблокировки. Введя свой номер мобильника и подтвердив его подлинность, ничего не подозревающий пользователь автоматически принимает условия некого лицензионного соглашения, которое помимо всего прочего включает услугу "Подписка", предоставляемую на платной основе.
Чтобы избежать проблем и не дать поживиться мошенникам за чужой счет, эксперты "Лаборатории Касперского" рекомендуют пользователям соблюдать элементарные правила безопасной работы в Сети и ни в коем случае не вестись на уловки киберпреступников, призывающих отправить SMS или указать номер телефона в обмен на коды разблокировки.

Для восстановления доступа к компьютеру можно воспользоваться бесплатными сервисами sms.kaspersky.ru либо drweb.com/unlocker.

http://www.3dnews.ru/software-news/laboratoriya-kasperskogo-preduprezhdaet-o-novoy-sheme-sms-moshennichestva/
и что никак не победить этих вымогателей? ОПСОСы ведь под колпаком  :o

я просто в БИОСе часы переводил на 3 месяца вперед , загружался AVZ чистил комп и все потом обратно время ставил, можно просто папку удалить если знаешь где находиться эта хрень и все.

Любой винлокер можно удалить без переустановки Win и без потери личных файлов! Стандартно винлокер устанавливается в одну из системных папок, прописывается в системном реестре и автозагрузке пользователя, заменяет файлы winlogon, userinit и explorer.exe. Для удаления не рекомендуется пользоватьяс live CD на основе Windows так как это всетаки винда!! Лучше всего для этого подходят linux PE, такие как Dr.Web, либо, и на мой взгляд, лучший вариант Antiwinlocker 3.3 (не долго над на названием мучались))), после чего исправить реестр специальным ПО (их много) и проверить антивирусом. Еще некоторые виды винлокеров открывают лишние порты в системе, поэтому, еси у вас стоит фаервол, нужно посмотреть списки открытых портов и закрыть лишние, либо (если для вас возникает трудности с настройкой) просто переустановить фаервол, продлемма скорей всего будет решена!

@ Denver
сори, но реклама в другом разделе :)

Denver записан в 26.01.2012 :: 11:34:20:

Стандартно винлокер устанавливается в одну из системных папок, прописывается в системном реестре и автозагрузке пользователя, заменяет файлы winlogon, userinit и explorer.exe.

тем более такая устарелая информация... они давно и другие способы применяют...

Kol записан в 26.01.2012 :: 22:28:47:

тем более такая устарелая информация... они давно и другие способы применяют...

Это ясно, но все же большинство ловят именно такие, про все способы рассказывать долго, да и не к чему, иначе такие как мы вообще без работы останемся)