вирус Internet Security
Новый год принес нам новые вирусы. На смену eKav antivirus пришел новый вымогатель по имени Internet Security. Вот он красавец:
За последние 2 недели принесли уже четыры машины с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. По всей видимости ситуация начинает принимать характер эпидемии. Да и двое из четверых пострадавших успели отправить SMS... Сразу говорю - ВИРУС ПО ПРЕЖНЕМУ ОСТАЕТСЯ В КОМПЬЮТЕРЕ!!!!!
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере
Вы не зарегистрировали вашу копию Internet Security далее следует всякая чушь о лицензионном соглашении и ради чего всё задумывалось - отправка SMS. Мне встретились 2 варианта:
- СМС с кодом K204114200 на номер 7373
- СМС с кодом K207824300 на номер 4460
Что-же делает этот вирус? На экран зараженного компьютера поверх всех окон вывешивается баннер, напоминающий по стилю дизайн антивируса Касперского, и настоятельно требует выслать платную СМС на четырехзначный номер. Никакие другие программы не запускаются. Соответственно заблокирована вся работа, нет возможности запустить ни диспетчер задач, ни редактор реестра, да вобще никакюю программу. Антивирусы заблокированы и попытки запуска могут приводить к перезагрузке копьютера. Одно радует, что к документам он не лезет, вспомните печально известного Penetrator.
В сети уже появились сервисы, которые генерируют коды для деактивации вымогателей-блокеров, о них написано в конце статьи и приведены ссылки. Но это не панацея и не наш метод. Врага надо уничтожать в корне и все его действия тоже.
Алгоритм лечения Internet Security
1. Загружаемся с LiveCD или USB с тем же WinPE например
2. Удаляем ВСЁ из следующих папок (тем более там один мусор):
C:\WINDOWS\Temp\
C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\
C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temporary Internet Files\
3. Запускаем C:\Windows\regedit.exe В [HKEY_LOCAL_MACHINE\Software\] подключаем соответствующую ветку реестра больной ОС из файла C:\Windows\System32\config\software
4. Удаляем всё подозрительное из следующих веток
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
5. Смотрим, что приписано в
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
В первую очередь нас интерсуют ключи Shell, UIHost и Userinit.
Вот что должно быть в них (все остальные добавки длолжны быть удалены):
Shell - Explorer.exe
UIHost - logonui.exe
Userinit - C:\WINDOWS\system32\userinit.exe,
6. удалаяем значение параметра AppInit_DLLs или вообще весь параметр
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
7. Проверяем диск свежим антивирусом, например Dr.Web CureIt!
8. Грузим больную ОС с отключеной сетью (просто шнурок вытащите) и восстанавливаем работоспособность утилитой AVZ
Сервис деактивации вымогателей-блокеров от "Лаборатории Касперского" и портала VirusInfo: http://virusinfo.info/deblocker/
А вообще как-то настораживает немного такой факт - как только интернет захлестнула волна «вымогателей» у Касперского сразу и веб-интерфейс готов, и работает всё хорошо, и под большинство вирусов, а интерфейс таких вымогалок в стиле «каспер» явно отводит глаза от самой компании. Типа вот ещё нас и подставляют...
Комментариев: 33
не помогло ((((((
Должно было помочь, если всё сделано строго по инструкции, либо что-то всё-таки упустили. Модификация вируса какая?
В крайнем случае можно удалить вообще всё из ветки [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] - это в случае когда не знаете какой файл за что отвечает, придется потом наверняка переставить некоторые драйвера, т.к. там обычно прописаны утилиты управления звуком и всякие дополнения.
Обязательно антивирус используйте с обновленными базами.
А у меня получилось. Автору респект!!!
Блин... на днях такой вирус словил. Антивирус на него даже не ругнулся, стоял Norton, откуда взял не знаю, а после перезагрузки, все программы стали блокироваться при запуске. Пришлось винду переставить :(
Как распространяется Internet Security. Насколько я понял, открывают сайт, там какая нить флэшка и сообщение, что версия плеера устарела и надо обновить. Тут троян и запускается, руками пользователя конечно. Так по крайней мере у двоих точно было, а еще у двоих детишки лазили и ничего сказать определенного не смогли.
я промучался 2 дня и в итоге на каком-то форуме нашел единственное правильное решение которое мне помогло без вопросов....
звоните по телефону тех поддержки a1 "агрегатор" 8-800-555-01-02 (Звонок по России бесплатный).
там говорите что залочен компутер говорите им номер 4460
и говорите код который надо отправить в ответ получаете от девушки код для разблокировки и все... далее сканите комп др.веб курит... он все находит... проблема решена...
Специально оставил последний комментарий - таких сейчас много приходит. Интересно, это очередной развод?
а1 агрегатор - занимается как раз оплатой услуг через смс
Достать юр.лицо, которое зарегистрировало короткий номер у оператора правохранительным органам - как раз плюнуть! Запросить информацию на кого зарегистрирована сим карта, когда украден телефон они могут, а вот узнать на кого зарегистрирован короткий номер похоже влом???
Спасибо Автору. Метод лечения реально работает.
Нихрена не помогло, пришлось акронисом образ восстанавливать...
Скажите, пожалуйста, а если вирус просит послать на другой номер, то поможет ли Ваш алгоритм лечения?
Вообще-то метод универсальный и позволяет не только с этим вирусом справиться.
Напишите пожалуйста, на какой номер у Вас просит.
друг принес на работу, дома его поймал. пишет:
ля-ля (образно) отправте на номер 5121 код: a504815100
может кто знает код разблочения?
мы тут образно компьютерные дебилы)))) описаные автором советы не знаем как реализовать (в смысле куда кликать и т.д)
Сейчас как раз готовлю статью с картинками о том как пользоваться описанными инструментами, а именно что куда давить в AVZ и как сделать загрузочную флешку или CD с WinPE
Как жаль, что на статью наткнулась только сейчас! Пришлось систему переустанавливать!
Но в любом случае - СПАСИБО! Мало ли, когда еще пригодиться...
Спасибо автору статьи! Попробовал, но Win PE жёстко тупил, да и Cureit'а не было под рукой, но зато в коментариях нашёл телефон фирмы а1 агрегатор, позвонил своему оператору (у меня мегафон) и узнал, действительно ли номер бесплатный, что мне подтвердили. Звоню. Отвечает девочка,(Вроде Алина:-)), называю номер, она мне пароль, ввожу, жму активировать, вирь пишет "ждите", затем перегрузка и "синий экран смерти", девушка говорит что нужно подожать и он перегрузиться, не дождался... Вручную перегруз и оле-ап, всё работает.
Народ!!!! Вчера тоже цепанул эту заразу, звоните в тех поддержку фирмы, которая выдаёт четырёхзначные телефоны 8-800-555-01-02 , телефон бесплатный, вам скажут код, который надо ввести, прога отключится "блокиратор" они её там зовут. Потом анти-вирусами NOD 32 с последними базами мне не помог, чищу dr.Web пока без результатов, но всё работает. Удачи!!!!!
А можно снести реестр, сбросить к заводским настройкам, если конечно у вас ХР и есть установочник=) Я так и сделал
http://www.drweb.com/unlocker/index вот это хороший сайт
Поймал подобный вирус, ничего из перечисленного не помогло. Пришлось переустановить систему. Возможно что это какой то новый троян. Стоял Касперский с новыми базами, даже внимания не обратил на этот вирусняк!
[...] Собственно вот и новый вымогатель — интересно долго ещё терпеть подобное придется? У людей прямо направление бизнеса наметилось. Не пора-ли эти лохотроны объявлять вне закона? Мы тут все последствия лечим, а надо корень зла убивать — платные SMS на короткие номера. Достали уже... Честно говоря данный блокиратор насмешил своей фразой о том, что переустановка Windows проблемы не решит. Алгоритм лечения уже описывался тут. [...]
"1. Загружаемся с LiveCD или USB с тем же WinPE например"
У меня был вирус похожий с названием "Online Antivirus", так я не заморачивался с лайв-сд, а просто загрузился в безопасном режиме с поддержкой командной строки и ввел там regedit, а после исправлял реестр как мне надо.
Может несколько советов с этой страницы http://softpile.ru/drweb-livecd.html помогут решить проблему с смс вирусом
У меня был спам наподобие. Но 8 лет знание компа помогло не на шутку. Делал тоже через Windows Life. Лазил в С:\ и удалял все файлы, которые были установлены за определённый промежуток времени. Потом перегрузил комп и ВУАЛЯ!!! От спама не осталось даже следа. Никогда не скачивайте, а уж тем более не устанавливайте файлы которые вы скачали с порно и других подозрительных сайтов. Это могут быть различные Flash player, и т.д. и т.п. Да и самое главное: НиКоГдА Не ОтПрАвЛяЙтЕ СмС !!! ЭтО ЛоХоТрОН!!!
прилетел ко мне позавчера pc defender - скатина!!!! Что только с ним не делал, доступ к диспечеру, AVZ, реестру, все блокировано! любой браузер вылетает с ошибкой через минуту, а сама винда через 10 мин. загорается всеми любимым синим экраном!!!!
буду пробовать по рецепту статьи....
Люди, помогите! Залез к нам на комп Майкрософт Секьюрити Антивирус - черный экран, на нем красные квадрат со сведениями о блокировке, якобы у наса обнаружены всякие гадости. просит 400 рэ на номер 89654028715. По правописанию видно - лохотрон. Но удалить не могу, так как он блокирует весь комп. Добраться к ЖД невозможно. Что делать?
У меня такая же фигня с Microsoft Security Antivirus.просит 400 рубцев на номер 89654028712.ничего не работает,как отключить его не знаю.помогитеееее!!!!
Словил подобный вирус: Черный экран, на красном фоне "Microsoft Security System"(кажется так) и предложение выслать 400 р. на номер 965 401 1622. Денег не высылал, позвонил в поддержку, номер они заблокировали.
Таже чтука просит свинтус отправить на номер 9853134563
Что делать??? SOS
После нескольких перезагрузок зараженного Internet Security компа пишет на экране, что файл hal.dll отсутствует или запорчен. ОС Win XP не загружается. Нажимаешь любую клавишу - перезагрузка. Попытался подсунуть в католог system32 данный файл - не помогло. Что посоветуете. Переустановить ОС.
Я поймал другую модификацию данного вируса. Вылечил исходя из советов автора. Мне притащили ещё два компа, с ещё двумя разными модификациями. Тоже вылечил. Важно понять суть происходящего и принцип лечения. Но я программист, а неспециалисту наверно трудно победить заразу. В любом случае автору от меня большая благодарность.
Кому встретился баннер "Windows заблокирован"
В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)
Сам лично друзям вылечил недуг!!!
Быстро исправляем проблему самостоятельно, в два шага
1. команда rstrui
2. команда cleanmgr
Кому не понятно читаем здесь http://fixtoolz.ru
http://fixtoolz.ru/instrukcii-dokumentaciya-opisanie-rukovodstva-po-kategorii/zablokirovalsya-kompyuter-windows/24-01-2013-vash-kompyuter-zablokirovan-za-prosmotr-shtraf-2000-rubley-bilayn
А обязательно live usb с winpe? У меня просто live usb.
конечно не обязательно - это для примера, главное получить доступ к файлам минуя зараженную систему