Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   «Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе (http://forum.oszone.net/showthread.php?t=138393)

yurfed 22-04-2009 16:24 1101093
«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
 
«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Представлен генератор кода для разблокировки системы.

Читать на сайте Dr.Web

Котяра 22-04-2009 16:53 1101123
Вирус распространяется через порносайт без домена (IP-адрес), рекламируемый баннерами.
Есть и другие вариации.
Решение - чистка папки TEMP.

R0iZ 24-04-2009 13:56 1102940
Очистка папки Temp не всегда поможет, вирь также может сидеть в кеше браузеров (сегодня как раз у клиента так было), в папках восстановления системы и т.п. Мне помогла CureIT.

Котяра 24-04-2009 15:23 1103032
R0iZ, еще может быть blocker.exe где-то в C:\Documents and Settings\All Users\Application Data
Где у Вас его CureIT нашел?

yurfed 24-04-2009 15:26 1103036
Котяра, вариант с Dr.Web помогает войти в систему без загрузки со сторонних СД/ДВД.
Правда преполагает наличие доступа в интернет с другого компьютера для получения кода.
Цитата:
Цитата R0iZ
Мне помогла CureIT. »
да, помогает, но требует наличие загрузочного диска.

Котяра 24-04-2009 16:08 1103083
yurfed, да знаю про него, но есть новые модификации вируса:


Там калькулятор кода может и не помочь.

Вот ссылка на рассадник вируса:
ххтп://91(точка)205(точка)111(точка)61/hotsex/
P.S. Заходить не рекомедуется.

yurfed 24-04-2009 18:00 1103216
Котяра, с красным окном лечит точно. С чёрным ещё не приносили :)

Котяра 24-04-2009 18:20 1103231
yurfed, сейчас последний вариант именно с красным. С черным недолго было. Но почему-то при моих экспериментах на виртуальном ПК калькулятор кода разблокировал лишь первый вариант (синее окно).
Там вообще интересная история. На порносайте (том самом, что я адрес писал) пишут

Ставится xvidPack1, который и есть этот вирус.
В условиях пользования:
Цитата:
Пользовательское соглашение
Внимательно ознакомьтесь с правилами сайта. Если вы с ними не согласны - покиньте сайт:
Вся информация о посетителях сайта строго конфиденциальна и не распространяется ни в каком виде;
Получая доступ к сайту - вы подтверждаете что вы - совершеннолетний гражданин своей страны. Несовершеннолетние посетители - немедленно покиньте сайт;
Доступные видеоматериалы могут отличаться от изображений на главной странице из-за периодического обновления материала;
Соглашаясь с условиями данного соглашения - вам будет предоставлен ехе файл для скачки, после установки которого Вам будет установлен информер, дающий бесплатный доступ к сайту;
Информер не наносит никакого вреда вашему компьютеру и не передает никакую информацию третьим лицам;
Бесплатный доступ гарантируется только пользователям Internet Explorer;
Удаляя информер Вы отказываетесь от бесплатного доступа к видео архиву;
Чтобы удалить информер, нужно подтвердить удаление, ответив на присланое системой первое смс кодом, который будет в этом пришедшем от системы смс содержаться (не забудьте пробел). Второе смс будет содержать пароль для удаления информера (при корректно отправленых кодах, обратите внимание на пробелы). Таким образом итоговое количество смс для удаления информера - два;
Стоимость отправки одной смс не превышает десяти условных единиц, точную цену уточняйте у вашего оператора;
Система не гарантирует выдачу корректного кода, если вы невнимательно отправляете смс. Например, вместо пробела между 11 и 103 пишете два пробела, тире (дефис) либо вообще не ставите пробелов. Однако предупреждаем, что в случае ошибки деньги за смс всё равно могут быть списаны;
Раньше действительно ставился информер.
Сайт-рассадник вируса рекламируется баннерами.

yurfed 24-04-2009 18:31 1103237
Котяра, не далее как позавчера, принесли два компа с красным окном люди, которые между собой незнакомы. И два раза код сработал нормально.

Котяра 25-04-2009 00:02 1103497
Да, калькулятор кода помогает и с красным окном.

Severny 25-04-2009 00:09 1103502
Да, куркулятор сработал и на красном. Неплохо. Можно и по телефону лечить :)

yurfed 25-04-2009 06:57 1103620
Цитата:
Цитата Severny
Можно и по телефону лечить »
Одн знакомый отправил денушку. В ответ пришло что мало денег. Он отправил ещё раз - и опять, ему вместо кода приходит что мало отправил. Честное слово. Желающие могут попробовать :)


Время: 15:21.

Время: 15:21.
© OSzone.net 2001-