SMS вирус вымогатель - как лечить!!!

  • Автор темы Автор темы nickjust
  • Дата начала Дата начала
nickjust

nickjust

.
25/9/05
265
95
0
Кредиты
₽0
Привет всем!
Успешно удаляю эту гадость!
1=Есть СМС вирь 1 уровня ,когда можно запустить любую программу ,например тотал командер или другое ,хоть и окно практически на весь экран!
Лечим так.Запускаем с компакта или флешки Антивирус Зайцева (AVZ).
Файл -- Восстановление системы - галочки разблокировать дисп. задач и редактор реестра
Затем запускаем выполнение скрипта с помощью AVZ из аттача.
После этого запускаем регедит и импортируем регфайл из аттача.
Перегружаемся и все ОК!
2=СМС вирь 2 уровня - например eKav антивирус - любая прога тупит и не запускается!
Загружаемся с Live CD ,загружаем в редактор реестра - реестр пациента и правим
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC". Удаляем
Приводим значения "Userinit" и "Shell" - к такому значению!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.ex e"
"Shell"="Explorer.exe"
После перезагрузки повторяем процедуру как для 1 уровня!

З.Ы. Если после этого смс чуда не пашет интернет
Пуск - выполнить - netsh winsock reset
если не поможет ,то
netsh int ip reset c:\resetlog.txt
З.Ы.Ы.Тут кейген для ответного кода ....если нет времени бороться - смотрим аттач
 

Вложения

  • eKavGenerator.rar
    171,1 КБ Просмотры: 90
  • Anti_SMS.zip
    488 байт Просмотры: 84

  • Script.txt
    10,6 КБ Просмотры: 86
На сайте DrWeba есть смс ответы которые формируются по номеру куда нужно отправить и тексту сообщения, после чего окно пропадает, после этого запускается DrWeb сканер и все прекрасно лечится.
 
Тоже вариант,но не всегда есть доступ в нет с зараженного компа и не всегда код проканает! Например eKav антивирус - ответный код не подошел!
 
Для восстановления системы ХР из любого состояния удобна фирменная утилита ERD Commander от Microsoft (загрузочный диск с Windows PE). У самих мелкомягких ее уже не скачать, но на просторах Инета она есть. Рекомендую.
 
С большим трудом но удалось сделать восстановление контрольной точки и все заработало.прямо в винде.
 
Повезло, eKav этого не позволил бы. Интегрит код даже в стандартные темы, курсоры и фонты...
 
Есть ещё вариант этого вируса в winlogon дописывает ссыль на порнуху относительную,чистить с загрузочного диска только,коды не работают.Мне Winternals 2005 нравится,но это уже на любителя.Кстати Dr.Web не панацея,видел и его зависшим от такой вирусни,AvZ тоже.Из Live CD не помню чем лечил,но вроде Avira прогнал.Avast на такие вирусы молчит,что по меньшей мере странно.
 
Модификации этого Г@вна ...продолжают плодится ...
Берем всегда свежую версию RansomHide ТУТ!
Миниатюрная утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет...
купите доступ для просмотра контента

зеркало
купите доступ для просмотра контента
.narod.ru/ransomhide.exe
Всем удачи!


И еще..
С 29 января 2010 года
Компания «Доктор Веб» сообщает о кардинальном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.
Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования.
Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock.
Брать тут
купите доступ для просмотра контента


Утилита от Касперского ...для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) предназначена утилита Digita_Cure.exe.
Брать тут ..
купите доступ для просмотра контента
 
Последнее редактирование:
ЭТО - убирает любую гадость, с которой даже Касперыч(а у меня лицензионный) не справляется ...
РОЗОВЫЙ БАНЕР

733167 на номер 9800

Вводишь: 06159230 потом 49685761

733168 на номер 9800

Вводишь: 4243352762 потом 7393936297

ГАРИТЕ В АДУ ТВАРИ





если пользуешься Internet Explorer и у тебя вылезла порно-реклама, то ее можно отключить
в настройках Internet Explorer.

Зайди: Сервис >> Управление надстройками >> Настройки, используемые Internet Explorer

Найди все элементы содержащие в названии окончание *lib.dll

Нажми на эти надстройки по очереди, а внизу формы нажмите «Отключить»

Выйди из Свойств обозревателя, нажав «ОК».

Теперь перезагрузи IE - все.




ещё так,,,

Заходим в локальный диск где установлен WINDOWS (2) заходим в папку WINDOWS и ищем в папке WINDOWS такие файлы:
(они выглядят блакнотами синими)первый фаил:svchost.exe а второй вы найдете по такой-же иконки как выглядел
первый фаил

береш фаил svchost.exe правой кнопкой мыши там будут действия показыны
ищешь действие (Переминовать) затем можно будет поменять название файла и меняем заместо такого
(svchost.exe) на такой (svchost.exe.txt) нажмем принять раширение заходим в переминованый вами фаил откроется
текстовый документ прокручиваем колесиком в самый низ и самого низа удаляем полавину того чего там написано
когда удалиш при закрытие текстового документа будет написано сохранить изменения нажмеш (ДА) после изменяеш
второй фаил точно тагже и когда все это сделаеш просто (Перезагрузи комп)




Не моё - но я думаю многим поможет кто с порнушкой развлекается:D:D:D ШУТКА!!!!
 

Вложения

на первых версиях этого вируса помогало пятикратное нажатие на шивт, после чего можно было открыть диспечер снять процесс и вуаля ты у себя в компе))))а дальше как пожелаешь, хоть курейтом, хоть каспером, хоть авастом)))кстати до сих пор все что с таким вирем где 3 из 10 вскрываются таким способом)
 
Самый лучший совет
у меня такое уже было!
зайти с другого компа у знакомы у друзей на сайт Dr.web или Касперского и ввести данные с банера, т.е номер и текст сообщения а после проверить утилитой Dr.web
Мне очень быстро помогло это :)
 
Помогало отключение определенной службы: Пуск--- Настройка---Панель управления--- Администрирование---- Службы. Там куча всяких служб, и почти ко всем есть комментарий (типа эта служба для того-то и того-то) и есть несколько служб (у меня было две) без каких либо комментариев, так вот их отключаешь по одной какая то служба и есть этот баннер и должно помочь.
 
Не все службы имеют описание, например сервисы драйвера Ati - Ati HotKey Poller ATI Smart, служба внешних накопителей - Съемные ЗУ, служба Nokia PC Suite - ServiceLayer... Да и прошлы век когда вирусы себя в службы пихали, щас они в реестр быстренько пишут себя вместо userinit, цепляются в AppInit_DLLs...
 
насчет нового СМС вируса ..который блокирует например вконтакте.ру
Чистка реестра и файла hosts ничего не дала..
Вариант лечения тут
 

Вложения

Всем привет!
С такой бедой сталкиваюсь частенько (специализируюсь на ремонте компов и оргтехники). Уже существуют 3 версии данного зловреда:
1. Только банер, через 2-6 часов сомоликвидируется,
2. После или до самоубийства (точно не выяснял) бьёт загрузочный сектор Винды,
3. Самый наглый (просит перечислить деньги на моб. номер, а код разблокировки типа будет в чеке), этот уже затрагивает BIOS, не дает запустить LiveCD.

С первыми двумя разобраться проще: не доводить до харакири, загрузиться с LiveCD, вычистить все папки Temp (под чистую). А потом прогнать весь комп антивирем, глубокой очисткой и со свежими базами.
А с третим сложнее. Выставить на заводские установки BIOS (лучше раза 2-3 подряд), потом опять LiveCDи тд и тп.

С третим я сталкнулся позновато, попробовал сразу , непошло, после правки BIOS это ГАД отменил разделение Винта, ладно был Акронис под рукой востановил разделы , но Винду пришлось переустанавливать. Так что не раслабляйтесь вирусописцы не дремлют, а кушать всем хочется.

А тут я выложил ещё кое-что посмотрите.
купите доступ для просмотра контента
.
 
Недавно попался троянчик 3-й версии, диск помог, но не на автомате а вручную, зато вычистил почти идеально, остатки потом подобрал Зайцем. :icq01::icq20:

---------- Сообщение добавлено 26.10.2011 в 09:32 ---------- Предыдущее сообщение было от 21.10.2011 в 16:03 ----------

Вчера попался новый Зловред-вымогатель, но не разновидность WinLock. Этот создает скрытый экзешник на Рабочем столе и прописывается в автозагрузку. При включении через секунду после проявления Р/ст, он активизируется, со всеми вытекающими последствиями (только денюжки просит перегнать уже на МТС). Удалил спомощью LiveCD, всё почистил.:icq03::icq20:
Вот только этот "юзер"за месяц уже дважды ловит...:icq04:
 
Для ответа нужно войти/зарегистрироваться

Похожие Темы

Назад
Верх Низ