Всплывающие окна с оплатой по SMS

[TroyaNetz]

Перед Новым Годом, обновляя FW SmartClip (требует активации элементов ActiveX) на ПК пролезла такая вот хрень:

точнее говоря, это уже был результат.

После разбора полетов, звонков оператору, по поводу грязных контент-провайдерских услуг, а точнее выявления явных фактов мошенничества и вымогательства, выяснил, что указанный номер, сдается в аренду следующим файло-помойным ресурсам [HIDE="1"]www.nevosoft.ru, www.letitbit.net, www.depositfiles.com.[/HIDE]

Теперь, хотелось бы уточнить детали, работы данного окна. Оно появляется после каждой перезагрузки, загружается в активном режиме поверх всех окон, в системе блокируется групповая политика "gpedit.msc", не работает комбинация ctrl-alt-del, а также не выполняется команда msconfig, грузится даже в Safe mode - вообщем хрень еще та, одним словом.

Все сделано так, чтобы обычному пользователю, ничего не оставалось, кроме как, отправить CMC на указанный номер. Как я уже писал, отгрузка в безопасном режиме, картины не меняла. Пришлось чистить эту гадость, отгрузившись с помощью Hirens Boot CD, в режиме mini Windows XP. После чего, злосчастное окно, удалось нейтрализовать, но наглухо пропала после этих зачисток сеть, соединение с Интернетом, точнее говоря. Оно устанавливалось, но ни одного пакета в обе стороны, отправить не получалось, все процедуры восстановления сетевых интерфейсов, с полным удалением и конфигурированием по новому - результатов не принесли.

Отчаявшись, на худой конец, переустановил WinXP поверх, с функцией восстановления - результат также был = 0. Восстановление оси с помощью контрольных точек - также Сизифов труд. Полная проверка системы комплексной защитой SEP 11.0 - без толку. Восстановил систему, только после полной переустановки с форматированием раздела. Сколько потерял времени и нервов, лучше не рассказывать, матерился так, что таким себя, не помнил вообще в своей жизни.

После, подумав на досуге, примерно понял, как "это", ко мне попало. В момент обновления клипсы, активировал в ручном режиме элементы ActiveX, одновременно, в IE 8.0 было открыто окно, какой-то из перечисленных файло-помоек, после процедуры обновления и возврата ActiveX в прежнее состояние, ПК стал тупить, хотя загрузка CPU ничего сверх естественного, не показывала. Перезагрузил ПК, что стало после, описано выше.

На днях, встретил в сети маленькую утилиту, позволяющую, деактивировать гадкое, назойливое окно. Чем собственно спешу поделиться, со всеми участниками. Проверить данное приложение, в настоящий момент, нет возможности, но если кто-нибудь, споткнется об эти грабли - отпишите, помогло Вам это, или нет.

RansomHide.exe ~ 23 kb

 

[Scottywel]

седня с подобной хренью воевал(((
ответы на смс, через http://virusinfo.info/deblocker/ не прокатили... avz вообще не запускается, даже если переименовываешь в sgasgw.pif поэтому скрипты не могу выполнить. вообще практически ничего pegecnbnm не мог, иногда даже txt не открывались, архивы...
LiveCD загрузил, ручками что мог вычестил, но все равно где то в реестре засело... в итоге формат c:

про get.exe забыл(((

 

[doux]

Здравствуйте !
Позвонил знакомый и описал проблему, мол вылезло окошко, где написано что комп заблокирован и надо отправить смс, окно вылазеет поверх всех отсальных, то есть выключить процесс не получится и восстановление системы тоже, пробовал во всех безоп.режимах, и там это окно... Помогите разобраться с проблемой !

 

[d_alexej]

Доброго времени...
Существует ли процедура, или скрипт удаления порно-банеров.
Банер просит отправить СМС, занимая значительную часть рабочего стола, с изображением порно.

 

[Iskander_Str]

Читал о подобной проблеме, но могу ошибаться что это именно та же.

"Доктор Веб" нашёл способ разблокирования компьютера и избавления от данного трояна. На этом сайте описывается что нужно сделать: http://news.drweb.com/show/?i=304&c=9&p=0

Также решении подобной проблемы описывается в журнале Chip - ноябрьский номер за 2009 год.

 

[Sergo317]

Ok. Загружаемся с загрузочного диска (live cd, пользуемся ERD comander). Смотрим ветки реестра:
Чистим временные файлы, они находятся в c:\Documents and Settings\ваш пользователь\Local Settings\Temp\ и Temporary Internet Files, и c:\системная папка\Temp
1. Стандартно [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] оттуда убираем все лишнее, особенно обращаем внимание на то, что грузится из корзины и Documents and Settings/текущий пользователь.
2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] здесь смотрим параметр "Userinit" по умолчанию он должен отсылаться к "C:\\WINDOWS\\system32\\userinit.exe,"
параметр "Shell" по умолчанию он равен "Explorer.exe" . Если в значениях присутствуют какие либо левые файлы, дописанные к основным-их убираем.
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
параметр "AppInit_DLLs" он или пустой, или если стоит каспер имеет значение что то вроде "C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
Да, кстати, смотрим на какие файлы указывали левые ссылки и ручками их удаляем.
4. На чистом компе, скачиваем утилиту avz. Загружаемся в обычном режиме, Отключаем вовсстановление системы Windows, копируем avz на жесткий диск, запускаем. Затем Файл=>Восстановление системы. Галочками отмечаем все кроме пункта 18. Потом зачистка контрольная штатным антивирусом или cureit'ом доктор вебовским.
В принципе все. В дальнейшем для профилактики, не стоит сидеть в инете под админовской учеткой+кроме антивира поставить какой нить фаерволл (сугубо ИМХО, Comodo)
Это сугубо мое мнение. Если нет на компе ничего ценно-невостановимого, то вариант MEiger'а предпочтительней. Возни меньше.

конешно интересно, т.к. знакомый не очень разбирается, то придётся прийти на дом, было бы так легко с восстановлением системы, это окно не позволяет ни куда нажать...оно во всех безоп.режимах....

А если при входе в безопасный режим когда появляется сообщение про собстно безопасный режим нажать на нет?

 

[TroyaNetz]

Обновилась выше указанная утилита, до версии RansomHide 0.1.20

Забираем: RansomHide_0.1.20_Rus.rar ~ 19.0 kb

 

[TroyaNetz]

Не прошли и сутки, как состряпали еще пару версий.

Вообщем, зыбираем - the latest version of RansomHide 0.1.23 Rus ~ 22.0 kb

Список изменений:

0.1.10
-Создано пояснение действий в случае отсутствия кода.
-Появилась функция вывода текущей базы кодов в текстовый файл.
-Кнопка благодарности.
-Увеличены шрифты.
-При запуске в колонках отображается их описание.
0.1.11
Базу обновил (+2 номера) (и еще 4 ответа по маске "9800, текст 7331692+...+.." такие запросы генерируются вирсуом, но ответа всего четыре, пока что)
-stay on top сотворил (против вирусных окон все равно будет ниже)
-Увеличил длину строки ответных кодов, для полного их отображения.
0.1.14 
-Появилась функция перезапуска explorer (некоторые банеры закрываются до следующей перезагрузки)
0.1.15 
-Обновлена база
-исправлено дублирование некоторых номеров
0.1.16 
-Обновлена база
0.1.17
-Появился ГЕНЕРАТОР ответных кодов для некторых троянов
0.1.18
-Обновлена база
0.1.19
-Возможность обновляться из программы.
0.1.20
-Функция сброса настроек сети. Помогает восстановить работу интернета при некоторых троянах.
-Обновлена база
0.1.21
-Обновлена база. (Спасибо DEV за ковыряние вирусов)
-Оптимизирован интерфейс.
-Быстрое открытие файла Hosts, как один из способов восстановления интернета. (спасибо Invisib1e)
-Открытие папки назначенных заданий. (спасибо Invisib1e)
-Вызов MSconfig.
-Уменьшен размер программы (аж на 3 кб!!)
0.1.22
-Сброс ветки реестра Winlogon
0.1.23
-Обзор системных папок, в которых очень вероятно нахождение вирусов
-Добавлено несколько номеров в базу.

Источник с обсуждением:

 

[Scottywel]

http://softget.net/freeware/projects/RansomHide/ransomhide.exe

Зеркало самобновляется и скачивая по ссылке вы получаете всегда самую новую версию

 

[Alexpal]

В качестве совета:
1. Иметь ВСЕГДА любой LiveCD c антивирями
2. Проверить реестр на автозагрузку. Простейший вариант - старая, но более чем достойная утилита (фри).
http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
3. 90% подобных мутантов просто как 2 копейки - ищите их в Documents and Settings. Все их мутации - это просто изменение очередным школьником путей.
4. И последнее. Эта хрень НИКОГДА к вам не залезет, если вы сами ее не пустите. Антивирус+файервол с нормальными настройками гарантируют вас от этого.

ЗЫ: Сам однажды столкнулся с этой фигней по своей глупости - любимому сайту дал статус 'доверенный', а админ этого сайта, по своей жадности, влепил левую рекламу с краааа-сивым скриптом внутри! Вернее, он просто площадку дал. А когда всполохнулся, то уже много людей 'загорелось'. Вот с тех пор, лет 5 уже, я только своим сайтам верю Да и то - не до конца

2 MEiger:
'изменения host-файла'
А причем тут host? Что он туда прописывает?

 

[Ognev]

> Практически любой вменяемый антивирус или файервол начинают при попытке скачать этот развод визжать как резаный.
Не знаю, является ли Nod вменяемым антивирусом ))) но буквально вчера приносили комп с такой же гадостью. При этом Nod они переодически обновляют.

Я не хочу рассуждать о том, как избежать этой гадости. Но процесс чистки состояит из трех этапов:

1) Отключение этой гадости кодом, который она просит. Ссылка на софтинку такую (на тему с ней) дана выше, прямой линк для желающих:
_http://softget.net/freeware/projects/RansomHide/ransomhide.exe
Онлайн базы на сайтах Dr.Web и kaspersky:
_http://news.drweb.com/show/?i=304&c=9&p=0
_http://support.kaspersky.ru/viruses/deblocker
Этот этап необходим, так как вирус практически полностью блокирует компьютер.

2) Удаление самих вырусов. Если антивирус не стоял, то можно использовать утилиты типа Dr.Web CureIt!
_http://www.freedrweb.com/cureit
или от любого другого производителя антивирусов.

3) Ликвидация последствий действий вируса. Программка ransomhide (см. 1)) позволяет многое что из этого делать. В частности, меня она предупредила, что изменен host-файл и сбросила его в состояние по умолчанию. Даже не стал смотреть, что там не так, но, скорее всего, подменяются сайты антивирусов на какую-нить какашку.

P.S. Пункты 1) - 2) желающие могут заменить удалением вируса с загрузочного диска с антивирусом.

 

[Sergo317]

Из раздела колдунств.
Если версия банера новая, пароль от ransomhide не подходит. Делаем:
1. Открываем word/exel без разницы, чего нибудь пишем в документе. Не сохраняем
2. Выключаем комп, через Пуск=>Завершение работы=> Выключить комп/перезагрузить, без разницы. Начнется процедура завершения работы. Появится окно завершения работы (программа не ответила своевременно, хотите завершить вручную), жмем отмена.
Итог. Зловред выгрузился, система еще работает, можно запустить сканер антивир.

 

[Scottywel]

Sergo317 к сожалению всё чаще встречаются фейкваре при которых данная процедура не помогает, блокируется исполнение exe файлов... или вообще всё дико тормозит....

 

[notarget]

Нужно иметь back up системы, сделанный с помощью программы Norton Ghost например.
Ну и конечно же антивирусник обновляемый регулярно и фаерволл

Третьего не было, а первые два не справились как-то. Описание проблемы и решение тут: http://skalolaskovy.narod.ru/articles/comp1.html (на браузере - прошлый век)

и тут: http://skalolaskovy.narod.ru/articles/comp5.html (на винде)

 

[MEiger]

может лучше здесь http://www.drweb.com/unlocker/index/ и здесь http://support.kaspersky.ru/viruses/deblocker

 

[Sergo317]

Давно на сайт Вебера не заходил. Оперативно работают. ДрВеб больше вариантов разблокировки дает

 

[Intelbeauty]

Меня хаккеры поздравили с 8 марта баннером с порнухой, предлагали отправить смс с каким-то номером на какой-то номер. Вечером дочери подруга прислала какой-то код и баннер убрался. Вечером узнаю у нее и напишу тот код, может, кому еще прокатит.
На баннере было три картинки - посередине две девочки с веселенькими глазками лижут ч***. Если такой баннер появится, думаю, код подойдет.

Затем всю ночь антивирус лечил комп, утром отчитался, что вычистил...

 

[Trigan]

напишу тот код, может, кому еще прокатит.

Не прокатит. На сайте поддержки Касперского можно бесплатно скачать генратор кодов для этого случая и прочитать инструкцию по удалнию этой гадости.

 

[Intelbeauty]

Скачать-то можно, только когда висит этот баннер, он не пускает на сайт Касперского

В общем, если на баннере порнуха с предложением отправить смс с текстом 6139015 на номер 8353 - код такой: 1968845971
Не знаю генерировали ли его, или просто он стандартный.

 

[TroyaNetz]

В общем, если на баннере порнуха с предложением отправить смс с текстом 6139015 на номер 8353 - код такой: 1968845971
Не знаю генерировали ли его, или просто он стандартный.

Под каждый номер телефона, существует определенное множество кодов, прикрепляю текстовый файлик (рекомендую распечатать), со всеми возможными вариантами ответов, существующими на сегодняшний день. Хочу только заметить, что этот список, пополняется каждый день.

Ransom.txt ~ 40 kb