вирус Internet Security

Январь, 20th 2010Рубрика: Безопасность 23584
Подписаться на комментарии по RSS

Новый год принес нам новые вирусы. На смену eKav antivirus пришел новый вымогатель по имени Internet Security. Вот он красавец:

вирус Internet Security

За последние 2 недели принесли уже четыры машины с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. По всей видимости ситуация начинает принимать характер эпидемии. Да и двое из четверых пострадавших успели отправить SMS... Сразу говорю - ВИРУС ПО ПРЕЖНЕМУ ОСТАЕТСЯ В КОМПЬЮТЕРЕ!!!!!

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере

Вы не зарегистрировали вашу копию Internet Security далее следует всякая чушь о лицензионном соглашении и ради чего всё задумывалось - отправка SMS. Мне встретились 2 варианта:

  • СМС с кодом K204114200 на номер 7373
  • СМС с кодом K207824300 на номер 4460

Что-же делает этот вирус? На экран зараженного компьютера поверх всех окон вывешивается баннер, напоминающий по стилю дизайн антивируса Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер. Никакие другие программы не запускаются. Соответственно заблокирована вся работа, нет возможности запустить ни диспетчер задач, ни редактор реестра, да вобще никакюю программу. Антивирусы заблокированы и попытки запуска могут приводить к перезагрузке копьютера. Одно радует, что к документам он не лезет, вспомните печально известного Penetrator.

В сети уже появились сервисы, которые генерируют коды для деактивации вымогателей-блокеров, о них написано в конце статьи и приведены ссылки. Но это не панацея и не наш метод. Врага надо уничтожать в корне и все его действия тоже.

Алгоритм лечения Internet Security

1. Загружаемся с LiveCD или USB с тем же WinPE например

2. Удаляем ВСЁ из следующих папок (тем более там один мусор):

C:\WINDOWS\Temp\

C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\

C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temporary Internet Files\

3. Запускаем C:\Windows\regedit.exe В [HKEY_LOCAL_MACHINE\Software\] подключаем соответствующую ветку реестра больной ОС из файла C:\Windows\System32\config\software

4. Удаляем всё подозрительное из следующих веток

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

5. Смотрим, что приписано в

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

В первую очередь нас интерсуют ключи Shell, UIHost и Userinit.

Вот что должно быть в них (все остальные добавки длолжны быть удалены):

Shell - Explorer.exe

UIHost - logonui.exe

Userinit - C:\WINDOWS\system32\userinit.exe,

6. удалаяем значение параметра AppInit_DLLs или вообще весь параметр

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

7. Проверяем диск свежим антивирусом, например Dr.Web CureIt!

8. Грузим больную ОС с отключеной сетью (просто шнурок вытащите) и восстанавливаем работоспособность утилитой AVZ

Сервис деактивации вымогателей-блокеров от "Лаборатории Касперского" и портала VirusInfo: http://virusinfo.info/deblocker/

А вообще как-то настораживает немного такой факт - как только интернет захлестнула волна «вымогателей» у Касперского сразу и веб-интерфейс готов, и работает всё хорошо, и под большинство вирусов, а интерфейс таких вымогалок в стиле «каспер» явно отводит глаза от самой компании. Типа вот ещё нас и подставляют...

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 33

  1. 2010-01-25 в 23:37:15 | bercow

    не помогло ((((((

  2. 2010-01-26 в 11:43:35 | dre@mer

    Должно было помочь, если всё сделано строго по инструкции, либо что-то всё-таки упустили. Модификация вируса какая?

    В крайнем случае можно удалить вообще всё из ветки [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] - это в случае когда не знаете какой файл за что отвечает, придется потом наверняка переставить некоторые драйвера, т.к. там обычно прописаны утилиты управления звуком и всякие дополнения.

    Обязательно антивирус используйте с обновленными базами.

  3. 2010-01-26 в 11:50:49 | Ustus

    А у меня получилось. Автору респект!!!

  4. 2010-01-26 в 11:59:36 | игорёк

    Блин... на днях такой вирус словил. Антивирус на него даже не ругнулся, стоял Norton, откуда взял не знаю, а после перезагрузки, все программы стали блокироваться при запуске. Пришлось винду переставить :(

  5. 2010-01-26 в 12:15:38 | Mihalog

    Как распространяется Internet Security. Насколько я понял, открывают сайт, там какая нить флэшка и сообщение, что версия плеера устарела и надо обновить. Тут троян и запускается, руками пользователя конечно. Так по крайней мере у двоих точно было, а еще у двоих детишки лазили и ничего сказать определенного не смогли.

  6. 2010-01-27 в 10:56:34 | NIO

    я промучался 2 дня и в итоге на каком-то форуме нашел единственное правильное решение которое мне помогло без вопросов....

    звоните по телефону тех поддержки a1 "агрегатор" 8-800-555-01-02 (Звонок по России бесплатный).

    там говорите что залочен компутер говорите им номер 4460

    и говорите код который надо отправить в ответ получаете от девушки код для разблокировки и все... далее сканите комп др.веб курит... он все находит... проблема решена...

  7. 2010-01-27 в 11:45:28 | dre@mer

    Специально оставил последний комментарий - таких сейчас много приходит. Интересно, это очередной развод?

    а1 агрегатор - занимается как раз оплатой услуг через смс

    Достать юр.лицо, которое зарегистрировало короткий номер у оператора правохранительным органам - как раз плюнуть! Запросить информацию на кого зарегистрирована сим карта, когда украден телефон они могут, а вот узнать на кого зарегистрирован короткий номер похоже влом???

  8. 2010-01-27 в 20:38:14 | tokorev

    Спасибо Автору. Метод лечения реально работает.

  9. 2010-01-28 в 15:18:01 | RAHT

    Нихрена не помогло, пришлось акронисом образ восстанавливать...

  10. 2010-01-28 в 15:25:51 | Юля

    Скажите, пожалуйста, а если вирус просит послать на другой номер, то поможет ли Ваш алгоритм лечения?

  11. 2010-01-28 в 15:51:13 | dre@mer

    Вообще-то метод универсальный и позволяет не только с этим вирусом справиться.

    Напишите пожалуйста, на какой номер у Вас просит.

  12. 2010-01-29 в 12:16:45 | bobiko

    друг принес на работу, дома его поймал. пишет:

    ля-ля (образно) отправте на номер 5121 код: a504815100

    может кто знает код разблочения?

    мы тут образно компьютерные дебилы)))) описаные автором советы не знаем как реализовать (в смысле куда кликать и т.д)

  13. 2010-01-29 в 13:09:33 | dre@mer

    Сейчас как раз готовлю статью с картинками о том как пользоваться описанными инструментами, а именно что куда давить в AVZ и как сделать загрузочную флешку или CD с WinPE

  14. 2010-01-29 в 22:08:01 | Irene

    Как жаль, что на статью наткнулась только сейчас! Пришлось систему переустанавливать!

    Но в любом случае - СПАСИБО! Мало ли, когда еще пригодиться...

  15. 2010-01-30 в 19:28:47 | Сергей

    Спасибо автору статьи! Попробовал, но Win PE жёстко тупил, да и Cureit'а не было под рукой, но зато в коментариях нашёл телефон фирмы а1 агрегатор, позвонил своему оператору (у меня мегафон) и узнал, действительно ли номер бесплатный, что мне подтвердили. Звоню. Отвечает девочка,(Вроде Алина:-)), называю номер, она мне пароль, ввожу, жму активировать, вирь пишет "ждите", затем перегрузка и "синий экран смерти", девушка говорит что нужно подожать и он перегрузиться, не дождался... Вручную перегруз и оле-ап, всё работает.

  16. 2010-02-01 в 21:14:05 | Dimasst

    Народ!!!! Вчера тоже цепанул эту заразу, звоните в тех поддержку фирмы, которая выдаёт четырёхзначные телефоны 8-800-555-01-02 , телефон бесплатный, вам скажут код, который надо ввести, прога отключится "блокиратор" они её там зовут. Потом анти-вирусами NOD 32 с последними базами мне не помог, чищу dr.Web пока без результатов, но всё работает. Удачи!!!!!

  17. 2010-02-02 в 18:50:25 | Толстый

    А можно снести реестр, сбросить к заводским настройкам, если конечно у вас ХР и есть установочник=) Я так и сделал

  18. 2010-02-04 в 17:45:51 | Робоцып

    http://www.drweb.com/unlocker/index вот это хороший сайт

  19. 2010-02-18 в 19:50:08 | Олег

    Поймал подобный вирус, ничего из перечисленного не помогло. Пришлось переустановить систему. Возможно что это какой то новый троян. Стоял Касперский с новыми базами, даже внимания не обратил на этот вирусняк!

  20. 2010-02-19 в 17:48:27 | Новый блокиратор Online Antivirus | @dmin в маленьком городе

    [...] Собственно вот и новый вымогатель — интересно долго ещё терпеть подобное придется? У людей прямо направление бизнеса наметилось. Не пора-ли эти лохотроны объявлять вне закона? Мы тут все последствия лечим, а надо корень зла убивать — платные SMS на короткие номера. Достали уже... Честно говоря данный блокиратор насмешил своей фразой о том, что переустановка Windows проблемы не решит. Алгоритм лечения уже описывался тут. [...]

  21. 2010-03-02 в 18:51:28 | Василий

    "1. Загружаемся с LiveCD или USB с тем же WinPE например"

    У меня был вирус похожий с названием "Online Antivirus", так я не заморачивался с лайв-сд, а просто загрузился в безопасном режиме с поддержкой командной строки и ввел там regedit, а после исправлял реестр как мне надо.

  22. 2010-03-14 в 21:24:25 | maximka

    Может несколько советов с этой страницы http://softpile.ru/drweb-livecd.html помогут решить проблему с смс вирусом

  23. 2010-04-09 в 17:07:42 | Prof

    У меня был спам наподобие. Но 8 лет знание компа помогло не на шутку. Делал тоже через Windows Life. Лазил в С:\ и удалял все файлы, которые были установлены за определённый промежуток времени. Потом перегрузил комп и ВУАЛЯ!!! От спама не осталось даже следа. Никогда не скачивайте, а уж тем более не устанавливайте файлы которые вы скачали с порно и других подозрительных сайтов. Это могут быть различные Flash player, и т.д. и т.п. Да и самое главное: НиКоГдА Не ОтПрАвЛяЙтЕ СмС !!! ЭтО ЛоХоТрОН!!!

  24. 2010-09-13 в 10:33:30 | DenJer

    прилетел ко мне позавчера pc defender - скатина!!!! Что только с ним не делал, доступ к диспечеру, AVZ, реестру, все блокировано! любой браузер вылетает с ошибкой через минуту, а сама винда через 10 мин. загорается всеми любимым синим экраном!!!!

    буду пробовать по рецепту статьи....

  25. 2010-09-27 в 18:07:21 | Таня

    Люди, помогите! Залез к нам на комп Майкрософт Секьюрити Антивирус - черный экран, на нем красные квадрат со сведениями о блокировке, якобы у наса обнаружены всякие гадости. просит 400 рэ на номер 89654028715. По правописанию видно - лохотрон. Но удалить не могу, так как он блокирует весь комп. Добраться к ЖД невозможно. Что делать?

  26. 2010-09-29 в 09:56:56 | Игорь

    У меня такая же фигня с Microsoft Security Antivirus.просит 400 рубцев на номер 89654028712.ничего не работает,как отключить его не знаю.помогитеееее!!!!

  27. 2010-10-25 в 11:51:37 | Олег

    Словил подобный вирус: Черный экран, на красном фоне "Microsoft Security System"(кажется так) и предложение выслать 400 р. на номер 965 401 1622. Денег не высылал, позвонил в поддержку, номер они заблокировали.

  28. 2010-11-16 в 02:01:14 | Wel

    Таже чтука просит свинтус отправить на номер 9853134563

    Что делать??? SOS

  29. 2010-11-16 в 09:24:06 | Владимир

    После нескольких перезагрузок зараженного Internet Security компа пишет на экране, что файл hal.dll отсутствует или запорчен. ОС Win XP не загружается. Нажимаешь любую клавишу - перезагрузка. Попытался подсунуть в католог system32 данный файл - не помогло. Что посоветуете. Переустановить ОС.

  30. 2010-12-11 в 01:08:53 | Олег

    Я поймал другую модификацию данного вируса. Вылечил исходя из советов автора. Мне притащили ещё два компа, с ещё двумя разными модификациями. Тоже вылечил. Важно понять суть происходящего и принцип лечения. Но я программист, а неспециалисту наверно трудно победить заразу. В любом случае автору от меня большая благодарность.

  31. 2013-02-20 в 07:48:28 | Pro_100_DemoN]]>avatar]]>

    Кому встретился баннер "Windows заблокирован"

    В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)

    Сам лично друзям вылечил недуг!!!

    Быстро исправляем проблему самостоятельно, в два шага

    1. команда rstrui

    2. команда cleanmgr

    Кому не понятно читаем здесь http://fixtoolz.ru

    http://fixtoolz.ru/instrukcii-dokumentaciya-opisanie-rukovodstva-po-kategorii/zablokirovalsya-kompyuter-windows/24-01-2013-vash-kompyuter-zablokirovan-za-prosmotr-shtraf-2000-rubley-bilayn

  32. 2016-02-15 в 12:52:34 | Галимьян

    А обязательно live usb с winpe? У меня просто live usb.

  33. 2016-02-15 в 18:53:10 | dre@mer]]>avatar]]>

    конечно не обязательно - это для примера, главное получить доступ к файлам минуя зараженную систему

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.