Код активации за SMS…

Автор: Тельминов Александр

Не далее как сегодня ко мне обратился один мой хороший друг с просьбой посмотреть что случилось с его компьютером.

На экране на сером фоне надпись "Вы используете не лицензионную операционную систему. Но сегодня как никогда просто стать легальным пользователем Windows. Для получения кода активации отправьте sms с кодом хххххх на номер ххххххххххх и получите код активации вашей операционной системы.

Если бы у него стояла пиратская операционка, он бы наверно отправил sms на указанный номер, но у него стояла лицензионка, и заявление о пиратке его смутило. Поэтому он мне и позвонил.

И правильно сделал. НИКОГДА не поддавайтесь на подобные провокации. Это самый обыкновенный вирус. И за эсэмэску с вас снимут от 300 до 800 рублей. И никакого кода вам скорей всего не пришлют.  Подобную заразу надо лечить антивирусными программами.

На компьютере моего друга стаят лицензионный антивирус Nod32, который обновлялся каждый день и неплохо давил вирусы при попытке их проникновения на компьютер. Но в этот раз либо вирус был на столько молод, что nod его просто не знал, либо этот вирус использует недавно открытую дыру в операционной системе, так или иначе, вирусу всетаки удалось прошмыгнуть на компьютер и заблокировать его.

Скажу сразу, загрузка операционки в безопасном режиме успеха не принесла. Вирус и там активен и блокирует всю работу. Пришлось скачать свежий образ  Dr.Web LiveCD, загрузиться с него и просканировать весь компьютер.

В результате в папках:

Admin

Opera\cache

Content.IE5

Temp

Windows

system32\drivers

Windows\Temp

были найдены вирусы:

BackDoor.IRC.Flood.8

BackDoor.IRC.Sdbot.4876

BackDoor.Bifrost.816

Trojan.Winlock.252

BackDoor.IRC.Sdbot.4859

BackDoor.IRC.Sdbot.4991

Win32.KME

BackDoor.IRC.Sdbot.4826

Trojan.PWS.LDPinch.4308

Trojan.Slater.1078

Trojan.MulDop.32916

BackDoor.IRC.Sdbot.5194

BackDoor.IRC.Sdbot.4936

BackDoor.IRC.Sdbot.4859

Всего найдено 59 тел вирусов. Все удалены.

После перезагрузки компьютера видим фоновый рисунок и ни одного ярлычка, ни кнопки "Пуск" нет. Попытка вызвать диспетчер задач успехом не увенчалась. Все понятно. Вирусы залезли в системный реестр и поменяли там некоторые значения.

Сейчас предстоит решить загадку - как попасть в системный реестр для восстановления исходных значений...

Удалось загрузиться в безопасном режиме с поддержкой командной строки. Однако редактор реестра всеравно не открылся...

Нашел в инете нужные ветки с нужными значениями, записал их в reg файл на флешку и запустил его из консоли.

Больной компьютер полностью выздоровел.

Мораль сей басни такова: проверяй свой компьютер как можно чаще  на предмет непрошенных гостей.

Запись опубликована в рубрике Безопасность с метками . Добавьте в закладки постоянную ссылку.

9 комментариев: Код активации за SMS…

  1. Afina говорит:

    Сегодня захожу в аську — мне от знакомой мессага с содержанием: «заметно что фотка в фотошопе отредактирована или нет?
    http://ххххх.хх/img/foto18.gif»
    Я не ожидала подвоха и пошла посмотреть, раз ей так важно. Оказалась это совсем не гифка, а вирус. Он залочил эксплорер на моей винде. я ребутнулась и получила синий экран с надписью, что ваша операционная система заблокирована, для разблокировки отправьте смс со словами на номер, вам будет прислан код активации. Наш админ сказал, чтобы я набрала пять нулей — пароль прошел. запустили проверку на вирусы и обранужили троян.

  2. Yusha говорит:

    Моя история! Только у меня сначало

    видим фоновый рисунок и ни одного ярлычка, ни кнопки «Пуск» нет. Попытка вызвать диспетчер задач успехом не увенчалась.

    Вроде вечером было всё нормально, хотя…грешу на Актион А утром вот такая ситуация. Переустановили систему.Сказали, что вроде вирусов не было(не считая пару подозрительных файликов, и то они были на другом диске) Потом модем полетел.Не знаю, связано ли это как-то с «полётом» винды В итоге — новый модем.
    Спустя неделю приходит в аську сообщение от знакомой, про фото на таком-то сайте. Ещё перед открытием файла, значок мне показался странным(такой программы у меня на компьютере уже давно не было), НО.. было уже поздо….в итоге — серый экран.»Ваша система заблокирована!Отправте смс….»
    Пришлось звать на помощь.На следующий день мне дали «таблетку» Dr.Web, но она не пригодилась.Вирус сам деактивировался.(видимо это была одна из разновидностей, которые сами удаляются через часа 2). Потом просканила Dr.Webом, Авастом но ничего подозрительного не нашлось
    Теперь буду более бдительна в подобных случаях

  3. Telminov говорит:

    Сейчас эта гадость ликвидируется гораздо проще. Заходишь на сайт доктора вебера:
    http://news.drweb.com/show/?i=304&c=5
    вводишь текст смс и генерируешь код активации.

    Доктору веберу респект!

  4. Telminov говорит:

    Сегодня опять боролся с подобным вирусом. Сайт доктора вебера увы не помог…
    Помогла таблица кодов.

    На экране было предупреждение типа «Внимание, ekav антивирус обнаружил… вышлите смс с кодом … на номер 4460…»

    Кстати, если кому поможет, вот таблица подбора кода в зависимости от запроса:

    К = 1—2—3—4—5—6—7—8—9
    0 = 8—9—1—2—3—4—5—6—7
    1 = 9—1—2—3—4—5—6—7—8
    2 = 1—2—3—4—5—6—7—8—9
    3 = 2—3—4—5—6—7—8—9—1
    4 = 3—4—5—6—7—8—9—1—2
    5 = 4—5—6—7—8—9—1—2—3
    6 = 5—6—7—8—9—1—2—3—4
    7 = 6—7—8—9—1—2—3—4—5
    8 = 7—8—9—1—2—3—4—5—6
    9 = 8—9—1—2—3—4—5—6—7

    Пример: был код запроса для отправки К206314100, составляем 9 кодов(1185293988, 2296314199, 3317425211, 4428536322 и т.д.) один должен подойти. (мне подошел пятый)

    В результате баннер исчез.

  5. Telminov говорит:

    Сегодня сам поймал локера trojan.winlock.179

    Он предлагал отправить смс на номер 8353 с текстом 1702007. Код активации для него 2047692.

    Здоровья вашему компьютеру.

  6. jamie говорит:

    Александр,

    времени с тех пор прошло уже порядочно, но может быть у вас сохранился тот набор ключей реестра, который нужен, чтобы исправить систему после Trojan.Winlock.179? Могли бы вы выложить этот файл где-нибудь?

    У меня именно такая версия вируса, но я плохо представляю, как после его удаления (dr web live CD помог) восстановить систему.

    • Telminov говорит:

      К сожалению я не сохраняю решения.

      Но могу посоветовать утилиту AVZ. Там есть функция восстановления системы. Я ей пару-тройку раз пользовался — хорошо помогает. Советую.

  7. Ataska говорит:

    http://www.drweb.com/unlocker/index

    вот это тоже лечит, я так сама мыкалась 4 дня и помогло, оооооо чудо!!!

  8. Ataska говорит:

    Александр,

    времени с тех пор прошло уже порядочно, но может быть у вас сохранился тот набор ключей реестра, который нужен, чтобы исправить систему после Trojan.Winlock.179? Могли бы вы выложить этот файл где-нибудь?

    http://www.drweb.com/unlocker/index

    вот это тоже лечит.

Добавить комментарий