Всплывающие окна с оплатой по SMS

[TroyaNetz]

Перед Новым Годом, обновляя FW SmartClip (требует активации элементов ActiveX) на ПК пролезла такая вот хрень:

точнее говоря, это уже был результат.

После разбора полетов, звонков оператору, по поводу грязных контент-провайдерских услуг, а точнее выявления явных фактов мошенничества и вымогательства, выяснил, что указанный номер, сдается в аренду следующим файло-помойным ресурсам

Hidden content. You need to login or register.

Теперь, хотелось бы уточнить детали, работы данного окна. Оно появляется после каждой перезагрузки, загружается в активном режиме поверх всех окон, в системе блокируется групповая политика "gpedit.msc", не работает комбинация ctrl-alt-del, а также не выполняется команда msconfig, грузится даже в Safe mode - вообщем хрень еще та, одним словом.

Все сделано так, чтобы обычному пользователю, ничего не оставалось, кроме как, отправить CMC на указанный номер. Как я уже писал, отгрузка в безопасном режиме, картины не меняла. Пришлось чистить эту гадость, отгрузившись с помощью Hirens Boot CD, в режиме mini Windows XP. После чего, злосчастное окно, удалось нейтрализовать, но наглухо пропала после этих зачисток сеть, соединение с Интернетом, точнее говоря. Оно устанавливалось, но ни одного пакета в обе стороны, отправить не получалось, все процедуры восстановления сетевых интерфейсов, с полным удалением и конфигурированием по новому - результатов не принесли.

Отчаявшись, на худой конец, переустановил WinXP поверх, с функцией восстановления - результат также был = 0. Восстановление оси с помощью контрольных точек - также Сизифов труд. Полная проверка системы комплексной защитой SEP 11.0 - без толку. Восстановил систему, только после полной переустановки с форматированием раздела. Сколько потерял времени и нервов, лучше не рассказывать, матерился так, что таким себя, не помнил вообще в своей жизни.

После, подумав на досуге, примерно понял, как "это", ко мне попало. В момент обновления клипсы, активировал в ручном режиме элементы ActiveX, одновременно, в IE 8.0 было открыто окно, какой-то из перечисленных файло-помоек, после процедуры обновления и возврата ActiveX в прежнее состояние, ПК стал тупить, хотя загрузка CPU ничего сверх естественного, не показывала. Перезагрузил ПК, что стало после, описано выше.

На днях, встретил в сети маленькую утилиту, позволяющую, деактивировать гадкое, назойливое окно. Чем собственно спешу поделиться, со всеми участниками. Проверить данное приложение, в настоящий момент, нет возможности, но если кто-нибудь, споткнется об эти грабли - отпишите, помогло Вам это, или нет.

RansomHide.exe ~ 23 kb

 

[Вольный]

седня с подобной хренью воевал(((
ответы на смс, через http://virusinfo.info/deblocker/ не прокатили... avz вообще не запускается, даже если переименовываешь в sgasgw.pif поэтому скрипты не могу выполнить. вообще практически ничего pegecnbnm не мог, иногда даже txt не открывались, архивы...
LiveCD загрузил, ручками что мог вычестил, но все равно где то в реестре засело... в итоге формат c:

про get.exe забыл(((

 

[doux]

Здравствуйте !
Позвонил знакомый и описал проблему, мол вылезло окошко, где написано что комп заблокирован и надо отправить смс, окно вылазеет поверх всех отсальных, то есть выключить процесс не получится и восстановление системы тоже, пробовал во всех безоп.режимах, и там это окно... Помогите разобраться с проблемой !

 

[d_alexej]

Доброго времени...
Существует ли процедура, или скрипт удаления порно-банеров.
Банер просит отправить СМС, занимая значительную часть рабочего стола, с изображением порно.

 

[Iskander_Str]

Читал о подобной проблеме, но могу ошибаться что это именно та же.

"Доктор Веб" нашёл способ разблокирования компьютера и избавления от данного трояна. На этом сайте описывается что нужно сделать: http://news.drweb.com/show/?i=304&c=9&p=0

Также решении подобной проблемы описывается в журнале Chip - ноябрьский номер за 2009 год.

 

[Sergo317]

Ok. Загружаемся с загрузочного диска (live cd, пользуемся ERD comander). Смотрим ветки реестра:
Чистим временные файлы, они находятся в c:\Documents and Settings\ваш пользователь\Local Settings\Temp\ и Temporary Internet Files, и c:\системная папка\Temp
1. Стандартно [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] оттуда убираем все лишнее, особенно обращаем внимание на то, что грузится из корзины и Documents and Settings/текущий пользователь.
2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] здесь смотрим параметр "Userinit" по умолчанию он должен отсылаться к "C:\\WINDOWS\\system32\\userinit.exe,"
параметр "Shell" по умолчанию он равен "Explorer.exe" . Если в значениях присутствуют какие либо левые файлы, дописанные к основным-их убираем.
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
параметр "AppInit_DLLs" он или пустой, или если стоит каспер имеет значение что то вроде "C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
Да, кстати, смотрим на какие файлы указывали левые ссылки и ручками их удаляем.
4. На чистом компе, скачиваем утилиту avz. Загружаемся в обычном режиме, Отключаем вовсстановление системы Windows, копируем avz на жесткий диск, запускаем. Затем Файл=>Восстановление системы. Галочками отмечаем все кроме пункта 18. Потом зачистка контрольная штатным антивирусом или cureit'ом доктор вебовским.
В принципе все. В дальнейшем для профилактики, не стоит сидеть в инете под админовской учеткой+кроме антивира поставить какой нить фаерволл (сугубо ИМХО, Comodo)
Это сугубо мое мнение. Если нет на компе ничего ценно-невостановимого, то вариант MEiger'а предпочтительней. Возни меньше.

конешно интересно, т.к. знакомый не очень разбирается, то придётся прийти на дом, было бы так легко с восстановлением системы, это окно не позволяет ни куда нажать...оно во всех безоп.режимах....

А если при входе в безопасный режим когда появляется сообщение про собстно безопасный режим нажать на нет?

 

[TroyaNetz]

Обновилась выше указанная утилита, до версии RansomHide 0.1.20

Забираем: RansomHide_0.1.20_Rus.rar ~ 19.0 kb

 

[TroyaNetz]

Не прошли и сутки, как состряпали еще пару версий.

Вообщем, зыбираем - the latest version of RansomHide 0.1.23 Rus ~ 22.0 kb

Список изменений:

0.1.10
-Создано пояснение действий в случае отсутствия кода.
-Появилась функция вывода текущей базы кодов в текстовый файл.
-Кнопка благодарности.
-Увеличены шрифты.
-При запуске в колонках отображается их описание.
0.1.11
Базу обновил (+2 номера) (и еще 4 ответа по маске "9800, текст 7331692+...+.." такие запросы генерируются вирсуом, но ответа всего четыре, пока что)
-stay on top сотворил (против вирусных окон все равно будет ниже)
-Увеличил длину строки ответных кодов, для полного их отображения.
0.1.14 
-Появилась функция перезапуска explorer (некоторые банеры закрываются до следующей перезагрузки)
0.1.15 
-Обновлена база
-исправлено дублирование некоторых номеров
0.1.16 
-Обновлена база
0.1.17
-Появился ГЕНЕРАТОР ответных кодов для некторых троянов
0.1.18
-Обновлена база
0.1.19
-Возможность обновляться из программы.
0.1.20
-Функция сброса настроек сети. Помогает восстановить работу интернета при некоторых троянах.
-Обновлена база
0.1.21
-Обновлена база. (Спасибо DEV за ковыряние вирусов)
-Оптимизирован интерфейс.
-Быстрое открытие файла Hosts, как один из способов восстановления интернета. (спасибо Invisib1e)
-Открытие папки назначенных заданий. (спасибо Invisib1e)
-Вызов MSconfig.
-Уменьшен размер программы (аж на 3 кб!!)
0.1.22
-Сброс ветки реестра Winlogon
0.1.23
-Обзор системных папок, в которых очень вероятно нахождение вирусов
-Добавлено несколько номеров в базу.

Источник с обсуждением:

 

[Вольный]

http://softget.net/freeware/projects/RansomHide/ransomhide.exe

Зеркало самобновляется и скачивая по ссылке вы получаете всегда самую новую версию

 

[Alexpal]

В качестве совета:
1. Иметь ВСЕГДА любой LiveCD c антивирями
2. Проверить реестр на автозагрузку. Простейший вариант - старая, но более чем достойная утилита (фри).
http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
3. 90% подобных мутантов просто как 2 копейки - ищите их в Documents and Settings. Все их мутации - это просто изменение очередным школьником путей.
4. И последнее. Эта хрень НИКОГДА к вам не залезет, если вы сами ее не пустите. Антивирус+файервол с нормальными настройками гарантируют вас от этого.

ЗЫ: Сам однажды столкнулся с этой фигней по своей глупости - любимому сайту дал статус 'доверенный', а админ этого сайта, по своей жадности, влепил левую рекламу с краааа-сивым скриптом внутри! Вернее, он просто площадку дал. А когда всполохнулся, то уже много людей 'загорелось'. Вот с тех пор, лет 5 уже, я только своим сайтам верю Да и то - не до конца

2 MEiger:
'изменения host-файла'
А причем тут host? Что он туда прописывает?

 

[Ognev]

> Практически любой вменяемый антивирус или файервол начинают при попытке скачать этот развод визжать как резаный.
Не знаю, является ли Nod вменяемым антивирусом ))) но буквально вчера приносили комп с такой же гадостью. При этом Nod они переодически обновляют.

Я не хочу рассуждать о том, как избежать этой гадости. Но процесс чистки состояит из трех этапов:

1) Отключение этой гадости кодом, который она просит. Ссылка на софтинку такую (на тему с ней) дана выше, прямой линк для желающих:
_http://softget.net/freeware/projects/RansomHide/ransomhide.exe
Онлайн базы на сайтах Dr.Web и kaspersky:
_http://news.drweb.com/show/?i=304&c=9&p=0
_http://support.kaspersky.ru/viruses/deblocker
Этот этап необходим, так как вирус практически полностью блокирует компьютер.

2) Удаление самих вырусов. Если антивирус не стоял, то можно использовать утилиты типа Dr.Web CureIt!
_http://www.freedrweb.com/cureit
или от любого другого производителя антивирусов.

3) Ликвидация последствий действий вируса. Программка ransomhide (см. 1)) позволяет многое что из этого делать. В частности, меня она предупредила, что изменен host-файл и сбросила его в состояние по умолчанию. Даже не стал смотреть, что там не так, но, скорее всего, подменяются сайты антивирусов на какую-нить какашку.

P.S. Пункты 1) - 2) желающие могут заменить удалением вируса с загрузочного диска с антивирусом.

 

[Sergo317]

Из раздела колдунств.
Если версия банера новая, пароль от ransomhide не подходит. Делаем:
1. Открываем word/exel без разницы, чего нибудь пишем в документе. Не сохраняем
2. Выключаем комп, через Пуск=>Завершение работы=> Выключить комп/перезагрузить, без разницы. Начнется процедура завершения работы. Появится окно завершения работы (программа не ответила своевременно, хотите завершить вручную), жмем отмена.
Итог. Зловред выгрузился, система еще работает, можно запустить сканер антивир.

 

[Вольный]

Sergo317 к сожалению всё чаще встречаются фейкваре при которых данная процедура не помогает, блокируется исполнение exe файлов... или вообще всё дико тормозит....

 

[notarget]

Нужно иметь back up системы, сделанный с помощью программы Norton Ghost например.
Ну и конечно же антивирусник обновляемый регулярно и фаерволл

Третьего не было, а первые два не справились как-то. Описание проблемы и решение тут: http://skalolaskovy.narod.ru/articles/comp1.html (на браузере - прошлый век)

и тут: http://skalolaskovy.narod.ru/articles/comp5.html (на винде)

 

[MEiger]

может лучше здесь http://www.drweb.com/unlocker/index/ и здесь http://support.kaspersky.ru/viruses/deblocker