Лаборатория Касперского - сервис борьбы с SMS | |||||
---|---|---|---|---|---|
Maksimov 08/01/2010 18:53 |
Лаборатория Касперского - запускает сервис борьбы с «смс-вымогателями»
http://support.kaspersky.ru/viruses/deblocker Участившиеся в последнее время случаи «вымогания» денег у пользователей при помощи программ класса Trojan-Ransom, блокирующих компьютер и предлагающих отправить платную СМС на определенный номер, вынудили «Лабораторию Касперского» для борьбы с мошенниками создать специальный бесплатный сервис. Отличие вредоносных программ класса Trojan-Ransom от других вредоносных приложений заключается в их изначальной коммерческой направленности. Каждая программа такого поведения является инструментом для получения денег киберпреступниками с обычных пользователей. Используя новый сервис, нужно указать номер телефона, на который предлагают отправить СМС, а также текст сообщения, которое требуют отправить на этот номер. Взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер. действительно все работает – настырное сообщение исчезает и можно продолжать серфинг. Не попадайтесь. |
||||
iga 08/01/2010 19:17 |
это работает? имею ввиду в реалии. у меня на одном рабочем компе (работа чудо-практиканта) висит порно банер. срок 30 дней (ориентировачно в середине января и заканчивается). дабы не загубить одну важную прогу, комп не рушу. |
||||
Kolupalkin 08/01/2010 19:49 |
Это который СМС за деньги хочет,так это детский сад - за 30 сек лечится. Оно первый раз страшно ,потом привык. Скриншот вставь . |
||||
RomanRB 08/01/2010 20:19 |
Kolupalkin Как ты собираешься за 30 сек. это вылечить? |
||||
C1-65A 08/01/2010 20:31 |
Maksimov, тфу, Avira давно и с успехом, и нет необходимости об этом трезвонить , внимательнее надо быть. |
||||
Kolupalkin 08/01/2010 20:33 |
RomanRB,
Ну для начала это - http://support.kaspersky.ru/viruses/deblocker или это http://virusinfo.info/deblocker/ дальше подумаем . Скрины ложите .Думать будем .! |
||||
RomanRB 08/01/2010 20:45 |
Одна знакомая дама подцепила эту фигню. В интернет машина не выходит, восстановление системы не работает, комп тормозит. Короче полный капец!!! Что делать? |
||||
Kolupalkin 08/01/2010 21:11 |
Выкинуть нафиг и новый купить . Сам то как думаеш ,с такими "подробностями",что насоветовать |
||||
C1-65A 08/01/2010 21:19 |
RomanRB, купи Каспера, ГЫ-ГЫ. |
||||
RomanRB 08/01/2010 21:24 |
Это тема не этого раздела-во первых. У меня нет дома этого компа и я уже не помню как троян обзывался(месяц назад дело было)-это во вторых. И не надо говорить, что удаление всей этой бяки дело 30 сек.-это в третьих. |
||||
радиособака 08/01/2010 21:24 |
|
||||
RomanRB 08/01/2010 21:29 |
C1-65A, Не пользуюсь я такими антивирусниками. Если надо проверить-сканер запускаю. |
||||
Maksimov 08/01/2010 21:37 |
Спрашивал Nabi: зачем три одинаковых тем открыл?
Чтобы больше народу увидели. Это надо распространить, знать все должны. |
||||
Kolupalkin 08/01/2010 21:49 |
RomanRB,
Даже в наше смутное время ,существуют фирмы имеющие 500 и более компов . Сколько раз в день у них возникают подобные проблемы ,как думаеш ? |
||||
RomanRB 08/01/2010 22:02 |
Kolupalkin, Не так часто. Все входящее из вне автоматически проверяется антивирусником. Я в основном сталкивался с NODом. И ни на одной рабочей станции, ни один служащий не поставит то что ему захочется. Как минимум надо обладать правами администратора. Представляешь что будет если в такую глобальную локалку эта зараза попадет? |
||||
-20 dB 08/01/2010 22:16 |
iga, почитай-ка на ту же тему: http://monitor.espec.ws/section13/topic132449p49.html
радиособака, я себя спецом в компах не считаю. Даже наоборот, чем больше зарываюсь в систему, тем больше понимаю, что недалеко от ламера ушёл. Однако если есть терпение, внешняя операционная система (у меня BartPE на флэшке), пара утилит (AVZ оч-чень помогает), и Гугль - надобность финансировать мошенников отпадает. Каспер решил облегчить жизнь - честь ему и хвала. Поможет - ну, и хорошо, не поможет - дорожки уже протоптаны, задай поиск Гуглю! И ещё полезная ссылка для ищущих лёгких путей. Так сказать, с намёком. |
||||
RomanRB 08/01/2010 22:28 |
радиособака, Один раз я эту хрень обманул-сделал восстановление винды. На следующий раз-хрен в глаз. Только тотальная чистка винды и реестра. |
||||
Kolupalkin 08/01/2010 22:46 |
RomanRB,
А с чего ты решил ,что это локалка. Самая большая сеть около 100 ,остальные в разных местах ,в основном магазины ...... Так ,что этих приветов хватает. |
||||
RomanRB 08/01/2010 22:56 |
Kolupalkin, Какая разница. Все что приходит на прокси-автоматом проверяется. Не проверять-самоубийство. Потом ноги по самое нехочу сотрешь, вычисляя эту гадину. |
||||
Kolupalkin 08/01/2010 23:30 |
RomanRB,
Ага проходит,только и того . Это только кажется ,что мы такие умные и все можем .На практике все гораздо печальнее . Есть хренова туча всяких НО. Это как прививка от гриппа - помагает ,может быть , на 65 % Сам я в эти проблемы сувать свой нос даже и не собираюсь ,своих хватает . Но в конторе есть люди которые занимаются только этим ,и поверь зарплата у них не шуточная . |
||||
voffka 09/01/2010 00:01 |
убиваются эти окна очень легко,. сам попадал на такое,.. 15 минут и комп чистый и никаких окон,. |
||||
радиособака 09/01/2010 00:28 |
|
||||
m.ix 09/01/2010 02:01 |
кТО то картинки спрашивал.
http://photos.streamphoto.ru/c/e/2/c7deabb4239691288cf32e8087ec62ec.jpg http://photos.streamphoto.ru/b/8/d/a872a9857cd26722d1f538f394031d8b.jpg |
||||
Nabi 09/01/2010 02:36 |
m.ix,ссыла http://photos.streamphoto.ru/b/8/d/a872a9857cd26722d1f538f394031d8b.jpg
Что пиратскую винду попробовал обновить или Trojan-Ransom такие штучки выкидывает? |
||||
m.ix 09/01/2010 03:31 |
Это только тояны
Блин Гейц делает теперь только так. http://photos.streamphoto.ru/f/5/e/76266d8774eff030c6cfe80e8ea10e5f.jpg |
||||
iga 09/01/2010 10:32 |
вот такая хрень повисла... |
||||
fpiteful 09/01/2010 10:37 |
m.ix, ну эта ерунда в 6 сек. убирается,а вот с смс-ками на этой неделе пару раз столкнулся.В случае когда дает зайти в винду то убрать это можно почистив реестр.В двух случаях задавался поиск в реестре файлов C-media и удалял все что находило.А вот если так как ты показал картинками выше то приходилось винду менять. |
||||
voffka 09/01/2010 10:59 |
какую винду менять ??!!!, нафига геморой себе ловим ??!!,..винда РЕ с флешки, и вычищаем авторан и реестр, 15 минут и ВСЕ !!! |
||||
fpiteful 09/01/2010 11:39 |
voffka, ну если для себя,то можно и так. |
||||
elgen 09/01/2010 11:44 |
voffka, 100%
А кому лень руками, идем сюда http://news.drweb.com/show/?i=304&c=9&p=0 ищем свою или похожую бяку( по картинке по тексту сообщения или номеру телефона итп) и получаем даром код разблокировки. Помогает в 90% случаев. Кстати Dr.Web CureIt прекрасно справляется. Утилита полезная, советую пользоваться. Вообще эта бяка и не бяка мелочь, даже не запоминаю, как именно каждый раз ее убираю. Имен у нее много, как и мест куда в реестр пишет, но принцип всегда один. Но видел народ, что посылал эти СМС |
||||
m.ix 09/01/2010 11:55 |
Эту бяку вэбыч не вычистил.
Пришё к одному через иной браузер зашёл IE не блокировал её обновил базу просканил дрянь осталась На подобии iga, вывеска была. |
||||
elgen 09/01/2010 12:11 |
m.ix, та что в ИЕ чистится просто руками, отключением лишнего.
Та которая всю винду блокирует чаще всего вебом видится. Ну если не видит, так руками. В автозапуске все что не к месту долой. И два или три ключа в реестре. (кому лень искать, есть сайт, там выложены готовые рег файлы на все случаи жизни, где то себе копировал , сейчас не найду)Имен не помню. Саму бяку не обязательно удалять, просто переименовываю. |
||||
iga 09/01/2010 12:18 |
у кого повиснет как у меня- код 4243352762, затем 7393936297
в реестре лазать не получается. весь экран(почти) закрывает беннер, то есть вся инфа под ним. даже меню пуска за него залезает... |
||||
elgen 09/01/2010 12:30 |
iga, попробуй вот такие коды 33604 , 7245 , 7393936297, 49685761, 06159230, 9434676, 9242595, 4243352762. Это ничему не повредит. Винду не убьет и твоя прога не пострадает.
ДОБАВЛЕНО 01/09/2010 12:36 iga, отпустило? Опоздал я с кодами значит, бывает. ДОБАВЛЕНО 01/09/2010 12:39
видел человека, тот просто решил подключил второй монитор и там все сделал... |
||||
Рифат 09/01/2010 14:13 |
Игорь,какой браузер у тебя? |
||||
Kolupalkin 09/01/2010 14:28 |
Такого они еще не знают ,вот ,что прислали -
Для начала надо скачать бесплатную программу Kaspersky Virus Removal Tool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/. Запустить программу и скачать для программы бесплатные обновления по необходимости, ну конечно если есть у вас соединение с интернетом. После чего можно провести проверку компьютера спомощью этой программы на наличее вредоносного или нежелательного программного обеспечения. Возможно встроенная антивирусная база данных вам поможет уничтожить (гадов) и без дальнейших действий. Но если этого не случилось действуем попорядку. Вам нужно: 1) Запустить исполняемый файл Kaspersky Virus Removal Tool с правами Администратора 2) Скопировать предложенный ниже текст скрипта 3) Перейти на закладку Ручное лечение 4) Нажать в любом месте поля Шага 3 правой кнопкой мыши 5) В контекстном меню выберать Вставить 6) Нажать кнопку Выполнить 7) Дождаться окончания работы скрипта 8) Архив с подозрительными файлами будет сохранен в файле Рабочий стол\Virus Removal Tool\Quarantine\quarantine.zip Запустите поочереди скрипты для выполнения в программе (без ********) ***************************************************** 1 ***************************************************** begin SetAVZPMStatus(True); ExecuteRepair(13); RebootWindows(true); end. ***************************************************** 2 ***************************************************** begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(True); QuarantineFile('C:\Windows\system32\drivers\storflt.sys',''); QuarantineFile('C:\Windows\system32\drivers\bthmodem.sys',''); QuarantineFile('C:\Windows\system32\drivers\s3cap.sys',''); QuarantineFile('C:\Windows\system32\drivers\pavboot.sys',''); QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\acxe.dll',''); DeleteFile('C:\Users\9335~1\AppData\Local\Temp\acxe.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ***************************************************** 3 ***************************************************** var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. ***************************************************** ***************************************************** |
||||
iga 09/01/2010 15:15 |
Браузер Опера. к рабочим компам давно не подходил. сейчас устроил тотальную проверку... блин... пока меня нет, эта орда вместо работы по бабам гуляет. ещё на одном висяк. но только когда выходишь в интернет. на эту хрень кода пока не нашёл. |
||||
Рифат 09/01/2010 15:27 |
только недавно точно такое же было у меня.
в опере удалял его так http://habrahabr.ru/blogs/opera/39083/ ещё как то уже точно не помню заходишь в "Инструменты" и такм в настройках блокируешь выплывающие окна ДОБАВЛЕНО 09/01/2010 15:28 не обязательно Игорь,чтоб по бабам гуляли. У меня было обновление --и такая фигня нарисовалась |
||||
Maksimov 09/01/2010 18:34 |
У юриста была такая история. Она просто позвонила провайдеру. через которого проходила СМС (Это был МТС) и на юридическом языке с ними поговорила. Через 5 минут они дали ей телефон этих козлов, которые собирают деньги таким способом. Через 1 минуту разговора с ними они просто сами дали ей по телефону код разблокировки. Нас имеют при соучастии сотовых операторов. Они понимают, что это незаконно, но деньги важнее. Попробуйте позвонить оператору с наездом.
----------------------- Я делаю откат Акронисом. Сразу на кнопку Shift, и в диск Д, Е. Скрытые и системные файлы - удаляю, и всё. Ну, за час управляюсь. ---------------------- КВОТА КОНЧИЛАСЬ. НЕ Прилагаю РЕГ файл. Он восстановит запись реестра - показать скрытые и системные файлы. Файл проверен 100 раз - БЕЗОПАСЕН. |
||||
-20 dB 10/01/2010 01:35 |
Если бы только при их молчаливом согласии. А то ведь есть ещё и биллинговые компании (предоставляющие те самые "короткие номера" для мошенников, а то и тупо кидал - имеющие за эти услуги зачастую до 50% "проплаченных" бабок), и... государственные структуры. При чём тут они? Да очень просто: деньги в этих разводах крутятся такие, что не обращать внимания на налоговые отчисления от них не получится. И это не считая личных-наличных "откатов" тем, кто может нажать на кнопки. А потому - бороться с ними тупо НЕКОМУ. В смысле - никому это не выгодно. И наглеют мошенники - уже даже глава 28, статья 273 УК РФ никого не пугает (откат оплачен, индульгенции куплены). Что стоило бы сотовым операторам отрубать хотя бы спалившиеся на мошенничестве короткие номера? Технических возможностей нет? Да бросьте, не надо быть наивными! За неуплату, например, ЧЕСТНЫЕ операторы отрубают мгновенно (хотя, большинство опсосов сами мошенничают - предоставляют незаказанную услугу "звонок или время в кредит", сажая абонента иной раз в немалые долги). Да, наконец, сами биллинговые компании могли бы передавать личные данные мошенников - а аренда кода сообщения на короткий номер тоже не х.ю с горы предоставляется - в правоохранительные органы. Да фиг ли им эта 237-я, по которой вообще вряд ли кого-то когда-то осуждали, если они уже давно на статью 159 УК РФ (по которой за НАМНОГО меньшие аферы куча народу чалится) орган забили. Наглость мошенников доходит уже до маразма - зомбоящик по нескольким каналам одновременно крутит примерно такие вот "баннерные" передачи, где якобы надо за небольшую плату за звонок угадать слово. Многие мои знакомые пытались дозвониться (в том числе и с этого ресурса - тема где-то была). И никому не удалось, хотя бабки снимаются аккуратно. Все "дозвонившиеся" до эфира сидят в соседней студии, и дают заранее написанные тупые ответы. О чём вы, какая нафиг борьба с мошенниками в Инете, когда они на госканалах зомовидения и правительстве уже сидят? ИМХО, и Каспер бредит... только "неподелившихся" рубить будет. Иначе его самого съедят. Юридически. Поводы найдутся - на крайняк, по уже протоптанной тропинке обвинят в написании вирусов для поднятия продаж антивируса. ДОБАВЛЕНО 10/01/2010 4:56 AM Гы... А нас за распространение кряков и кодов взлома к этим вирусам и адварям стопудово посадют... За взлом программного обеспечения, подрыв экономики России и причинение личного материального вреда создателям этого оригинального ПО - по совокупности преступлений. Статья 272 УК РФ - «Неправомерный доступ к компьютерной информации» Статья 165 УК РФ - «Причинение имущественного ущерба путем обмана или злоупотребления доверием» Статья 169 УК РФ - «Воспрепятствование законной предпринимательской или иной деятельности» ну и ещё пяток нарыть можно. Так что, поделившиеся здесь методами взлома с программами "От Остапа", можете заранее собирать чемоданчики - ущерба себе, родимому, наш чиновничий аппарат не прощает. |
||||
elgen 10/01/2010 04:38 |
iga, попробуй 0 или 0000-000 или столько нолей сколько там влезает, ну еще для этого номера 13616 часто проходит |
||||
iga 10/01/2010 10:39 |
ноль и 13616 пробовал. а вот нулями не забивал... попробую. |
||||
m.ix 10/01/2010 12:52 |
ZoneAlarm использует часть касперских накруток.
А если взять басунрманский McAfee, думаю там ни каких ни с кем сговором не может быть. |
||||
INTREPID 10/01/2010 23:38 |
А это уже Каспера напрямую....? |
||||
-20 dB 10/01/2010 23:56 |
INTREPID, вот это что-то новое... А если у меня не Каспер, а ДрВеб, например, стоит - каким образом несуществующий Каспер у меня этот вирь найдёт?
А вообще, это, скорее всего, мстя злая Касперу от адвареписцев - ну, типо, раз Касперский им войну объявил - предприняли адекватные действия. |
||||
rematik 11/01/2010 00:11 |
— Мужичок, вы пошто животину тираните?
— Да вот, змею воздушную запускаю! |
||||
INTREPID 11/01/2010 00:12 |
-20 dB, вот, вот и я о том же,(машина почти полностью блокируется при этой хрени), и как всё похоже на разводы в аське и мобилах,которые трутся в паралельной ветке. Не одного поля ли эти ягоды? |
||||
Nabi 11/01/2010 13:01 |
Вот такая куйня пришла с ящика друзей: <<Посмотри что у тебя с системой, постоянно от тебя получаю вирусы. На днях у друга тоже самое было, администрация майла попросила излечиться иначе блокировка аккаунта. антивирус говорит молчал, ему посоветовали вот этот комплекс, все лечит быстро http://guard.v3.2e.nm.ru/grdv31.html и там же можно сделать, чтоб аккаунт не могли взломать>>
Но мой антивирь (Каспер) по ссылке запретил,там ПО использующаяся для кражи паролей аккаунта,кредитных карт. Вот такие куйни начали приходить со взломанных аккаунтов. |
||||
-20 dB 11/01/2010 18:49 |
INTREPID, не одного поля, а одного куста... или даже ветки... Только картинка меняется. Возможно, даже автор тот же (долго ли к старому скрипту новую шкурку приладить? Я не программист, а с такой фигнёй и то наверное сладил бы).
Nabi, рискнул. Аналогично: |
||||
Nabi 11/01/2010 19:28 |
-20 dB, как эту картинку вставил,ведь расширение htm -не поддерживается?
ДОБАВЛЕНО 11/01/2010 22:31 -20 dB, ключики к Касперу воруешь? |
||||
m.ix 11/01/2010 20:37 |
Как то я кракозяки выдал, точнее ссылку на кракозяки.
Создаёшь txt Копируешь кракозяки в txt И смотрим срабатывание антивиря. |
||||
elgen 13/01/2010 08:44 |
переименовываешь в ехе , запускаешь и переустанавливаешь винду |
||||
-20 dB 13/01/2010 18:29 |
HTM не поддерживается. Зато есть PrintScreen, и в джипег... В моём варианте: Захват Изображения (ACD See) -- Сохранить Как... jpeg (FotoCanvas) -- Добавить Файл (http://monitor.espec.ws)
Нет, я их честно с обменников скачиваю... Да ещё и потом мозолистыми руками кусок халвы отрабатываю - пока из кучи засвеченных один рабочий выковыряешь... Да и тот через неделю засветится, и по новой... |
||||
Nabi 13/01/2010 18:45 |
У меня один ключ исправно работал месяц. А так в целом на 3-7 дней хватает,потом банят.
-20 dB "честный" ты наш. |
||||
renmaster 13/01/2010 21:13 |
попалась такая штука - ТАБЛИЦА КОДОВ разблакировки троянов через СМС |
||||
voffka 14/01/2010 23:13 |
http://www.gsmforum.ru/showthread.php?t=70212 |
||||
Иванович 27/01/2010 20:29 |
получил код разблокировки , какие дальнейшие действия |
||||
INTREPID 28/01/2010 08:08 |
Иванович, от кого получил? Ввести их тогда, потом шмон на компе всякими РАЗНЫМИ антивирями. |
||||
Иванович 28/01/2010 08:17 |
INTREPID ,проблема не моя , знакомый по телефону позвонил , поинтересовался что делать .
отправил его на этот сайт http://support.kaspersky.ru/viruses/deblocker. он там забил номер телефона и текст сообщения , нажал получить код разблокировки , пришел какой то номер , вот что с ним теперь делать |
||||
m.ix 17/06/2010 20:35 |
Ну вот сегодня принесли с этой шнягой.
Бился с ними часа 4 вэбовская курли, ничерта ничего не делает. типа показать может и более ничего. nod переименовал после удалил хараза появилась снова. windows/sustem32/..... 180 экзэшников и все трояны так что я понял, что я против этой шняги безсилен. Ни какие проги не запускаются, все экзэшники рубятся на корню. с болванки запускал и сканил AVZ так же находил и удалял а трояны росли и множились на компе. windows/sustem32/conf/ internet temp тут тоже зараза дублируется. Весь мусор ручками убирал перед сканированием. Думаю после 180 троянов системе пришёл кирдык. |
||||
Vikt(or) 17/06/2010 22:31 |
m.ix, у такого рода заразы главный экзешник очень часто валяется в одной из папок Application data, или вписывается в альтернативный поток данных какого нибудь добропорядочного файла из папки Windows, но тогда он пропишется в реестр вот в это хитрое место:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ ключик AppInit_DLLs. Этот ключ обычно пустой, разве что каспер ещё туда записывает виртуальную клавиатуру и тп фиговины. Править реестр придётся из другой системы. Кстати последнее время несколько раз отсылал ДрВебу свежую заразу, а он тупит - отвечает что этот файл безопасный Видать они совсем уже зашиваются и нормально протестить не могут. |
||||
m.ix 17/06/2010 23:57 |
Vikt(or), Всё бы то ничего, да вот как в этот реестр забраться с другой оси? |
||||
Vikt(or) 18/06/2010 06:39 |
Надо заиметь LiveCD, а уже из под него использовать ERD Commander или Registry Editor PE.
Есть более удобный вариант использовать загрузочные флешки. Тут есть готовые образы, рекомендую Windows XP PE RusLive Mini (самая шустрая) и ERD Commander 2007 Eng. |
||||
m.ix 18/06/2010 11:41 |
Vikt(or), Всё это есть, так как же в реестр другова винта нет другой оси залезть?
НЕ первый год его юзаем. |
||||
selep33 18/06/2010 12:05 |
drWEB Live CD
http://www.freedrweb.com/livecd/how_it_works/ |
||||
Vikt(or) 18/06/2010 12:45 |
m.ix, как-то запутанно ты пишешь. Имеешь в виду подцепить хард на другой комп? Тады Registry Editor PE поможет. |
||||
m.ix 18/06/2010 20:43 |
http://www.youtube.com/watch?v=dua7UdWxoiY
http://photos.streamphoto.ru/9/b/f/d7ddcd51b728e890c70c3f0985bebfb9.jpg AVZ http://photos.streamphoto.ru/e/2/a/12887e25835097e37890cc1369080a2e.jpg бесплатная ничерта не делающая вебовская утилита. http://photos.streamphoto.ru/c/f/2/825c06b78d61990e68d2c38263b692fc.jpg NOD нажал rename вместо delete Vikt(or), есть комп есть привод DVD и есть два харда Я запускаю точнее уже запускал винду с болванки LiveCD только с помощью ERD там утилита интернирована была, вот с неё и зашёл в реестр системы. selep33, тупая твоя утилита ничерта ещё раз говорю ничерта она бесплатной ничего не делает, как было тьма троянов так они и остались живенькие и сдорофенькие. Утилита только показывает что трояны есть и всё. Так что смело в корзину её или тупым юзерам можешь показывать. |