misteriya.com
 
   
   
Сделать стартовой | Добавить в избранное
 
     
Логин:  
Пароль:  
   Чужой ПК
Напомнить пароль?
 
   
 
  Расширенный поиск
 
  Навигация по сайту  
 
Главная
Новости
Картинки
Видео
Приколы
Знаменитости
Разное
Анекдоты и Истории
Авто и Мото
Обои
Креативы
Спорт
 
  Ссылки  
 
Upload
Flash игры
Фильмотека
Как добавить новость?
Важно знать всем!
DC Хаб
 
  Архив новостей  
  Январь 2019 (20)
Декабрь 2018 (80)
Август 2018 (40)
Июль 2018 (20)
Июнь 2018 (119)
Май 2018 (139)
 
  Календарь  
 
«    Ноябрь 2024    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
252627282930 
 
  Топ комментаторов  
 
Petrenko
Коммент: 5185
 
  Новые комментарии  
 
  Написал: Натик
» Измена
 
  Наш опрос  
 



Показать все опросы
 
  Информер праздников  
 

Ближайшие праздники России

21 ноября 2024 (чт):

» День Военной присяги в России

» День работника налоговых органов Российской Федерации

» День бухгалтера в России

Именины сегодня: Гавриил, Михаил, Павел, Рафаил

 
Мистерия » Разное » Баннер требующий отправку СМС

Мистерия развлекательный портал

Баннер требующий отправку СМС

Разное
 

На днях наблюдал очередную модификацию вируса, требующего отправку смс для активации операционной системы. Выглядит это примерно так: вы включаете компьютер, происходит загрузка windows, и вот, когда вашему взору должен представиться рабочий стол всплывает окно с предупреждением: «Вы используете не лицензионную версию операционной системы, тем самым нарушаете закон и т.д. и т.п. и помочь вам может только активация windows через отправку sms». На самом деле, конечно, все совершенно не так. Будет очень глупо, если вы отправите смс, потому что никакой активации не произойдет, вы только лишь обогатите злоумышленников.
Когда я впервые увидел эту заразу, я сразу же попытался запустить диспетчер задач, но у меня ничего не вышло. После чего я решил перегрузиться в безопасный режим, но и тут меня ожидала неудача, вирус продолжал мне ехидно улыбаться на экране монитора. В качестве следующей попытки я использовал загрузку в безопасном режиме с поддержкой командной строки (жмем клавишу F8 при загрузке ОС).

 

 

В этот раз все прошло успешно. Первым делом я набрал в консоле «regedit», к моей радости ничто не помешало запуску редактора реестра.

 

 

В реестре необходимо было просмотреть две ветки:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Именно в них содержится информация об автозагрузке. Ничего подозрительного я там не нашел, там были записи обычных программ. Я продолжил свои поиски и отправился по адресу: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, по своему опыту знаю, что многие вредоносные программы прописываются именно там, а именно в строковых параметрах shell и Userinit. Первый параметр выглядел абсолютно нормально там была одна запись «explorer.exe», а вот во втором, кроме стандартного «C:\WINDOWS\system32\userinit.exe» через запятую было дописано «C:\Documents and Settings\All Users\Application Data\blocker.exe» (может быть и другой путь в зависимости от вируса).

 

Удалив все лишнее, я закрыл редактор реестра и набрал в командной строке «explorer.exe». Запустился проводник, и я проследовал, по указанному в реестре пути, а именно: "C:\Documents and Settings\All Users\Application Data\". Стоит добавить, что эта папка системная, поэтому она не будет отображаться, если не изменить соответствующим образом настройки отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало. Мне встречались также другие варианты этого вируса, имеющие другое название, и располагающиеся в других каталогах, например "C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files" или "C:\Documents and Settings\имя пользователя\Local Settings\Temp".
На данный момент также существует еще одна категория подобных вирусов, отличие их заключается в том, что они не блокируют компьютеры, а вылезают при запуске браузера, маскируясь под рекламный порно баннер. При этом они закрывают большую часть экрана, тем самым, мешая работе в сети интернет. Их выдает то, что они загружаются даже на компьютерах, не имеющих доступ в инет. В моем случае вирус прописался в реестре по адресу:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", а сами вредоносные файлы расположились по адресам:
1. "C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\k.php"
2. "C:\Documents and Settings\MyLogin\Application Data\ybuuk.exe"
После удаления этих файлов проблема успешно решается.

 
   
   
 
 
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Другие новости по теме:


Не забудьте оставить ваш комментарий. :)
 

#1 написал: Segus (1 марта 2010 09:36)
Зарегистрирован: 19 декабря 2007, 08:36  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
NOD32 + Ad Muncher рулят rylit
 

#2 написал: AQua (1 марта 2010 09:39)
Зарегистрирован: 5 апреля 2008, 18:44  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Где же раньше был этот пост((( был на компе вымогатель, сносил винду
 

#3 написал: Vedmak (1 марта 2010 10:56)
Зарегистрирован: 26 февраля 2009, 08:30  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
автору респектище, еще много кто так мучается будем пробовать.
 

#4 написал: bonjour (1 марта 2010 11:44)
Зарегистрирован: 12 марта 2007, 19:55  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
хм... а я залазил в С Документ Оф Сетингс, Юсер, Апликайшен Дата, в браузер на котором висело это окно, и подтирал некоторые файлы и все исчезало)) можно в принцепе и так сделать
 

#5 написал: god (1 марта 2010 13:04)
Зарегистрирован: 30 августа 2007, 13:47  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
ay
 

#6 написал: hef0rmat (1 марта 2010 13:19)
Зарегистрирован: 21 октября 2008, 19:01  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
есть способ попроще)
вот тут вот
http://www.drweb.com/unlocker/index/?lng=
ru

есть множество кодов для всех номеров на которые нужно отправлять)

сам так избавлялся от баннера)

прада обычно данные трояны блокируют доступ на этот сайт,так что понадобится комп друга или еще какой нибудь с инетом)

 

#7 написал: PUNK77 (1 марта 2010 14:22)
Зарегистрирован: 16 ноября 2009, 14:04  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
victory спс
 

#8 написал: Snoop (1 марта 2010 14:34)
Зарегистрирован: 22 ноября 2006, 18:13  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
в безопасном режиме делал откат системы )))))) все получилось )
 

#9 написал: Rage (1 марта 2010 16:47)
Зарегистрирован: 18 апреля 2009, 18:47  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
У меня практически такая же проблема(при запуске системы пишет, что я юзаю нелицензионную винду и т.п.), отличие лишь в том, что требование с отправкой смс отсутствует, но всё равно большое спасибо, буду пробовать ;)
 

#10 написал: SlimHouse (1 марта 2010 16:52)
Зарегистрирован: 25 июля 2008, 13:28  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
ay отлично отлично!я чо то не додумался пошарить в реестре(((правда через безопасный режим все восстановил!
 

#11 написал: hef0rmat (1 марта 2010 17:10)
Зарегистрирован: 21 октября 2008, 19:01  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Rage,
Не у тя эт от майкрософт )

надо удалить некоторые обновления,какие не помню,поищи в инете)
 

#12 написал: MOCKBAsever (1 марта 2010 18:34)
Зарегистрирован: 31 мая 2007, 20:04  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Полезная инфа bd Пару раз получалось разблокировать друзьям на сайтах антивирусов.
Руки бы оторвать и засунуть сами знаете куда за подобное вымагательство. am
 

#13 написал: Мурзя (1 марта 2010 19:40)
Зарегистрирован: 2 сентября 2008, 22:46  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
ay
 

#14 написал: BIG-SIZE (1 марта 2010 19:42)
Зарегистрирован: 31 марта 2009, 16:47  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
запускаешь диск с мини виндой и откатываеш систему на 2 часов назад и все проблема решина


это тоже конечно ништяк тема но муторна
 

#15 написал: Pizhon (1 марта 2010 20:39)
Зарегистрирован: 10 июня 2007, 18:08  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
где вы лазаете что такое подхватываете
 

#16 написал: zaika (1 марта 2010 21:15)
Зарегистрирован: 11 февраля 2007, 16:14  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Народ ставите NOD и проблем не возникнет
 

#17 написал: snayper (1 марта 2010 21:26)
Зарегистрирован: 20 ноября 2006, 15:01  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
во вы загоняетесь
самый простой способ это установить альтернавный таскер например process explorerдальше проблемы решаются можно сказать сами
 

#18 написал: asid (1 марта 2010 21:49)
Зарегистрирован: 22 февраля 2007, 01:53  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
автору огромный респект, уже однажды словил такую xуйню. пришлось после потуг с реестром и безопасным режимом всё же сносить винду...теперь не буду. спасибо за пост.
 

#19 написал: pashaz (1 марта 2010 22:15)
Зарегистрирован: 28 декабря 2007, 20:01  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Цитата: MOCKBAsever
Руки бы оторвать и засунуть сами знаете куда за подобное вымагательство. am

оси надо юзать нормальные, хехехе.
 

#20 написал: -shurick- (1 марта 2010 22:52)
Зарегистрирован: 24 декабря 2006, 16:48  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
XP Tweaker (для разблокировки диспетчера задач и реестра) + свежий CureIt! + ну и прямые руки и любой такой баннер убивается за пару минут)))

ЗЫ Содержимое этой папки C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\, чтоб не искать можно сразу с шифтом делитить))
 

#21 написал: vlar (1 марта 2010 22:54)
Зарегистрирован: 5 мая 2007, 23:25  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
именно таким способом и исцеляется, большинство. но чтобы руками не лазить, в реестре, можно запустить из командной строки тот же cureit. И за последнии 7 лет, ещё не одну xp не сносил, всё удавалось восстановить!!!!
 

#22 написал: Churilov (1 марта 2010 22:59)
Зарегистрирован: 21 июля 2009, 22:28  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Ужасная хрень! am Блокирует запуск Винды. NOD, кстати, прохлопал. После восстановления нашёл в сети ссылку на Dr.Web, там рассказано и показано как бороться, работает или нет не знаю. Но думаю в скором времени антивирусы будут блокировать эту хрень.
 

#23 написал: gtlhzcrby (1 марта 2010 23:22)
Зарегистрирован: 5 мая 2007, 15:08  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
УРА!!!! НАКОНЕЦТО!!! ВСЕМ ДРУЗЬЯ МУЧАЮТСЯ И САМ МУЧАЛСЯ))) СПС
 

#24 написал: Smiler (2 марта 2010 00:16)
Зарегистрирован: 2 июня 2009, 22:53  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Когдаж этих козлов пишущих подобные вири менты ловить будут... :\
 

#25 написал: Antosh (2 марта 2010 00:18)
Зарегистрирован: 26 августа 2007, 13:21  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
автор где ты столько вирусов насобирал?)))))
 

#26 написал: Howlfish (2 марта 2010 00:36)
Зарегистрирован: 13 июня 2009, 02:15  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
я вылечил Cure it через безопасный режим
NOD32 халтурит
 

#27 написал: Vandal (2 марта 2010 00:55)
Зарегистрирован: 16 ноября 2008, 18:49  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
не всегда помогает, советю live cd ot dr web
 

#28 написал: Евген (2 марта 2010 00:55)
Зарегистрирован: 30 июля 2008, 22:34  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
нечего по порносайтам гонять)))
 

#29 написал: SeRGAnT (2 марта 2010 01:10)
Зарегистрирован: 14 июня 2007, 01:38  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Pizhon, вот ответ на твой вопрос


Цитата: Евген
нечего по порносайтам гонять)))


biggrin
 

#30 написал: MOCKBAsever (2 марта 2010 01:58)
Зарегистрирован: 31 мая 2007, 20:04  [цитировать]  [Ответить]
Не нравится 0 Нравится
 
Цитата: Pizhon
где вы лазаете что такое подхватываете

На порносайтах обычно можно подхватить.
Вот один из вариантов так называемого "обновления флеш плеера": smile
>>>>><<<<<
 

Добавление комментария  
   
 

  Реклама  
 
 
  Облако тегов  
  Chip, Computer Bild, maddyson, Police, Upgrade, АВИАЦИЯ, Девушки, Демотиваторы, Журналы, Интересные факты, Комиксы, Котоматрица, Мультфильмы, ПрожекторПерисХилтон, Ретро, СССР, Фотошоп, Хакер, Это интересно, аварии, авто, видео, гифки, демотриваторы, документальный, драка, дтп, животные, звёзды, игромания, интересности, картинки, котэ, обои, полиция, приколы, прикольные картинки, регистратор, факты, фотожабы  
  Топ авторов  
 
Sarvan
Новостей: 12926
Naruto
Новостей: 734
YourRock
Новостей: 437
Ronek
Новостей: 266
.anchen
Новостей: 247
MOCKBAsever
Новостей: 223
Foger
Новостей: 208
saveliev-valeri
Новостей: 201
billibons
Новостей: 129
Unreal
Новостей: 126
 
  Анекдоты  
 
Анекдот № 19 от 19 ноября 2024.
Мужики изменяют не потому что кобели и сволочи. Просто все женщины прекрасны.
Анекдот № 4 от 14 ноября 2024.
Этапы личностного роста:
Личинка - гусеница - бабочка
Свеженазначенный функционер - эффективный менеджер - ворюга
Анекдот № 9 от 17 ноября 2024.
Сверхнаивность - это когда тебя тащат в кусты, а ты уверена, что тебе там хотят сыграть что-то на рояле.
Анекдот № 9 от 19 ноября 2024.
А кто говорит одиноким мужчинам, что они "ничего в этом доме не делают"?
Анекдот № 4 от 12 ноября 2024.
— Половую жизнь ведёте?
— Мне мозг постоянно трахают, это считается?
 
  Популярные новости  
 
     
      Друзья  
     
    Ксит
    Инфотелеком
    Билинг инфо