Перед Новым Годом, обновляя FW SmartClip (требует активации элементов ActiveX) на ПК пролезла такая вот хрень:

http://img685.imageshack.us/img685/3699/smsl.th.jpg (http://img685.imageshack.us/img685/3699/smsl.jpg)

точнее говоря, это уже был результат.

После разбора полетов, звонков оператору, по поводу грязных контент-провайдерских услуг, а точнее выявления явных фактов мошенничества и вымогательства, выяснил, что указанный номер, сдается в аренду следующим файло-помойным ресурсам .:: Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)) ::.

Теперь, хотелось бы уточнить детали, работы данного окна. Оно появляется после каждой перезагрузки, загружается в активном режиме поверх всех окон, в системе блокируется групповая политика "gpedit.msc", не работает комбинация ctrl-alt-del, а также не выполняется команда msconfig, грузится даже в Safe mode - вообщем хрень еще та, одним словом.

Все сделано так, чтобы обычному пользователю, ничего не оставалось, кроме как, отправить CMC на указанный номер. Как я уже писал, отгрузка в безопасном режиме, картины не меняла. Пришлось чистить эту гадость, отгрузившись с помощью Hirens Boot CD, в режиме mini Windows XP. После чего, злосчастное окно, удалось нейтрализовать, но наглухо пропала после этих зачисток сеть, соединение с Интернетом, точнее говоря. Оно устанавливалось, но ни одного пакета в обе стороны, отправить не получалось, все процедуры восстановления сетевых интерфейсов, с полным удалением и конфигурированием по новому - результатов не принесли.

Отчаявшись, на худой конец, переустановил WinXP поверх, с функцией восстановления - результат также был = 0. Восстановление оси с помощью контрольных точек - также Сизифов труд. Полная проверка системы комплексной защитой SEP 11.0 - без толку. Восстановил систему, только после полной переустановки с форматированием раздела.:mad: Сколько потерял времени и нервов, лучше не рассказывать, матерился так, что таким себя, не помнил вообще в своей жизни.:mad:

После, подумав на досуге, примерно понял, как "это", ко мне попало. В момент обновления клипсы, активировал в ручном режиме элементы ActiveX, одновременно, в IE 8.0 было открыто окно, какой-то из перечисленных файло-помоек, после процедуры обновления и возврата ActiveX в прежнее состояние, ПК стал тупить, хотя загрузка CPU ничего сверх естественного, не показывала. Перезагрузил ПК, что стало после, описано выше.

На днях, встретил в сети маленькую утилиту, позволяющую, деактивировать гадкое, назойливое окно. Чем собственно спешу поделиться, со всеми участниками. Проверить данное приложение, в настоящий момент, нет возможности, но если кто-нибудь, споткнется об эти грабли - отпишите, помогло Вам это, или нет.:wink:

RansomHide.exe ~ 22.5 kb (http://www.mcrf.ru/fz/index.php?dir=.NEWs/Utils/RansomHide_0.1.14_Rus/&file=RansomHide.exe)

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

в своей жизни у знакомых встречал 7 таких "вирусов". помогала следующая процедура:

это конечно не на все случаи, да и надо чтобы работал и был виден диспетчер задач (в случаях когда не работала комбинация Ctrl + Alt + Delete , помогает Ctrl + Shift + Esc)

-перезагрузить компьютер
-вызвать диспетчер задач (чаще всего его вкладки недоступны, поэтому нажимаем TAB 3 раза и вправо, тем самым переходим к процессам)
-ищем незнакомые и подозрителбные роцессы, которых не должно быть, завершаем по одному и запоминаем название того процесса, которым была реклама
-находим файлы с таким же названием, будет 5-6 файлов .DAT в папках директории documets and settings и удаляем
-в этих же папках будут .EXE файлы с похожим названием, либо папки с похожим названием, а в них уже .EXE их тоже нужно удалить
-перезагружаем машину и продолжаем работать

Порекомендую утилитку ATF-Cleaner, выручает в таких случаях.
А восстановить работу сети так и не удавалось, только переустановкой виндовса.

Здесь был вложен файл: ATF-Cleaner.rar (45.4 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

вылезла такая хрень под названием Get Accelerated, в инете 100% способа не нашел, помог совет перевести дату в биосе на 2 дня вперед, помогло но на 2 дня... Вылечил перецстановкой винды.
Ни один антивирь эту гадость не видит.
Только на AVZ предлагался некий способ лечения, но мне не помог.

Я зашел через безопасный режим и сделал откат системы. Уже дважды помогло :)


Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/
Не работает. Только что проверил.

Код разблокировки: Ключ не найден

У меня под новый год брат тоже загнал такую гадость, но он загрузился с диска и снес "C:\Documents and Settings\Admin\Application Data" и все стало нормально, без переустановки и настроек интернета(стоит кабельный модем). Не делайте обновление Flashplayer и все.

Ещё есть яндекс и гугл, в которых в 90% случаев можно найти код деактивации этой дряни.

Сутки борьбы с почти аналогичной ситуацией - выход один был
Новая Винда + последние апдейты - и потом Добрый Акронис - бекап новой чистой винды.
Нашел бы этих софтописателей - руки бы повыкручивал или повкручивал в другое место...

Встречал две разновидности этого "вымогателя", прекрасно выкуривал при помощи плагинов Тотала. Так же возвращал на место Диспетчер и возможность редактирования реестра штатными средствами.
Для начала Тоталовским DevMan находим процесс инициирующий все безобразия и процессы ему помогающие, подсматриваем имя и путь, идём и переименовываем инициатора( прямое убийство процесса в моих случаях было либо не возможно, либо вызывало BSOD, а за атрибутами Visible и Enable своего окна оно постоянно следит ) . Перезагружаемся , удаляем безобразников из system32 и корневого каталога WIN. Тоталовским RegistryEditor идём в в HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\ возврвщаем возможность запуска родного "Диспетчера Задач" , правки реестра ну и по вариантам смотрим чего ещё там отключить "вымогалка" успела.
Минус в решении это то что изначально до перезагрузки приходиться извращаться работая на "не накрытых простынёй" областях экрана.
В декабре так ещё выкуривались. Но видел инфу что "вымогалка" эволюционировала и породила несколько вариантов.

Ещё есть яндекс и гугл, в которых в 90% случаев можно найти код деактивации этой дряни.
Не всегда. Потому что во многих случаях тот текст, который требует отправить программа, может оказаться просто префиксом к их короткому номеру. И код никогда не выдаст этот сайт, потому как код может придти лишь в том случае, когда смс будет отправлено с помощью телефона. Тогда в ответном письме может и придет код.

Было парочку таких вымогателей , ни какие коды найденые в яндексе не помогали (один неспешный был неделю мучали) , в итоге загрузочный диск с предустановленным антивирусом от доктора веба http://freedrweb.com/livecd сканирование системы , после этого появляется возможность сохранить информацию , никакие попытки восстановить полную работоспособность системы не увенчались успехом , вроде работает, но то тут, то там косяк ,или ошибки , в общем формат С , со вторым даже не парился сразу загрузка с доктора сохранение и переустановка

подробное описание http://news.drweb.com/show/?i=304
с показом окон вымогателей
я насчитал уже порядка 50

Привет всем!
Успешно удаляю эту гадость!
1=Есть СМС вирь 1 уровня ,когда можно запустить любую программу ,например тотал командер или другое ,хоть и окно практически на весь экран!
Лечим так.Запускаем с компакта или флешки Антивирус Зайцева (AVZ).
Файл -- Восстановление системы - галочки разблокировать дисп. задач и редактор реестра
Затем запускаем выполнение скрипта с помощью AVZ из аттача.
После этого запускаем регедит и импортируем регфайл из аттача.
Перегружаемся и все ОК!
2=СМС вирь 2 уровня - например eKav антивирус - любая прога тупит и не запускается!
Загружаемся с Live CD ,загружаем в редактор реестра - реестр пациента и правим
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC". Удаляем
Приводим значения "Userinit" и "Shell" - к такому значению!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe"
"Shell"="Explorer.exe"
После перезагрузки повторяем процедуру как для 1 уровня!

З.Ы. Если после этого смс чуда не пашет интернет
Пуск - выполнить - netsh winsock reset
если не поможет ,то
netsh int ip reset c:\resetlog.txt
З.Ы.Ы.Тут кейген для ответного кода ....если нет времени бороться - смотрим аттач

Здесь был вложен файл: Script.txt (10.6 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.
Здесь был вложен файл: eKavGenerator.rar (171.0 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.
Здесь был вложен файл: Anti_SMS.zip (415 байт), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

Обновилась утилита для борьбы с выше описанной гадостью до версии 0.1.20, версия утилиты в первом посте 0.1.14.

RansomHide.exe ~ 24.0 kb (http://www.mcrf.ru/fz/index.php?dir=.NEWs/Utils/RansomHide_0.1.20_Rus/&file=RansomHide.exe)

Это по сути явное вымогательство . У меня их хлопает касперыч KIS . Часто такая фигня попадает под видом " обновите adobe flash player до версии 10 " .
Однако самое лучшее решение - впрок сохранять образы диска с : , я пользуюсь Acronis true image. ---РЕКОМЕНДУЮ :) вот ссылка - http://www.warezebra.com/appz/83417-obraz-acronis-true-image-home-2009-12.html

На моей практике подобное встречалось 2 раза! Появлялось окно требующее продлить подписку на Порно видео. В первый раз, неработала ни одна комбинация клавиш ПК (даже даже CTRL+ALT+DEL), и в безопасный режим не входил. В другом случае запускались все проги, но они прятались за рекламным окном. В обоих случаях - помогла загрузка с компакт диска, и удаленее Папки Windows/Temp, и временных файлов браузера...

В случае с баннерами спасает программка Combofix, рубит все подозрительные процессы загружающиеся с Windows.

Не прошли и сутки, как состряпали еще пару версий.

Вообщем, зыбираем - the latest version of RansomHide 0.1.23 Rus ~ 22.0 kb (http://www.mcrf.ru/fz/index.php?dir=.NEWs/Utils/RansomHide_0.1.23_Rus/&file=RansomHide.exe)

Список изменений:
0.1.10
-Создано пояснение действий в случае отсутствия кода.
-Появилась функция вывода текущей базы кодов в текстовый файл.
-Кнопка благодарности.
-Увеличены шрифты.
-При запуске в колонках отображается их описание.
0.1.11
Базу обновил (+2 номера) (и еще 4 ответа по маске "9800, текст 7331692+...+.." такие запросы генерируются вирсуом, но ответа всего четыре, пока что)
-stay on top сотворил (против вирусных окон все равно будет ниже)
-Увеличил длину строки ответных кодов, для полного их отображения.
0.1.14
-Появилась функция перезапуска explorer (некоторые банеры закрываются до следующей перезагрузки)
0.1.15
-Обновлена база
-исправлено дублирование некоторых номеров
0.1.16
-Обновлена база
0.1.17
-Появился ГЕНЕРАТОР ответных кодов для некторых троянов
0.1.18
-Обновлена база
0.1.19
-Возможность обновляться из программы.
0.1.20
-Функция сброса настроек сети. Помогает восстановить работу интернета при некоторых троянах.
-Обновлена база
0.1.21
-Обновлена база. (Спасибо DEV за ковыряние вирусов)
-Оптимизирован интерфейс.
-Быстрое открытие файла Hosts, как один из способов восстановления интернета. (спасибо Invisib1e)
-Открытие папки назначенных заданий. (спасибо Invisib1e)
-Вызов MSconfig.
-Уменьшен размер программы (аж на 3 кб!!)
0.1.22
-Сброс ветки реестра Winlogon
0.1.23
-Обзор системных папок, в которых очень вероятно нахождение вирусов
-Добавлено несколько номеров в базу.

Источник с обсуждением: (http://samforum.ws/showthread.php?goto=newpost&t=26229)

Тут люди еще так борятся:
http://pazzive.livejournal.com/188661.html

А еще можно написать в поддержку Doctor Web у кого есть зарегистрированная лицензия и они помогут.
Здравствуйте.

Техническая поддержка оказывается только пользователям зарегистрированных лицензий.

Если Вы таковым являетесь, то сообщите, пожалуйста, серийный номер Вашей лицензии.

Если же у Вас нет лицензии на наш антивирус, то Вы можете воспользоваться формой разблокировки, доступной по ссылке http://www.drweb.com/unlocker/index
Если она Вам не помогла, то попробуйте пролечить систему с использованием одной из наших бесплатных лечащих утилит (CureIt! и LiveCD, доступных на сайте по ссылке http://freedrweb.com/
Если же и это не поможет, то Вы можете воспользоваться специальным разделом по лечению на нашем форуме - http://forum.drweb.com/index.php?showforum=35

С уважением, Евгений Титов
служба технической поддержки компании "Доктор Веб".

вот
http://nnm.ru/blogs/a92/nemnogo_pro_sms-virusy/#cut
интересная статья я думаю... присутствуют ссылки на Касперского и на др.Веб с генераторами ключей для СМС вируса

Модификации этого Г@вна ...продолжают плодится ...
Берем всегда свежую версию RansomHide ТУТ!
Миниатюрная утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет...
http://softget.net/freeware/projects/RansomHide/ransomhide.exe
зеркало
http://mbty2010 . narod.ru/ransomhide.exe
Всем удачи!


И еще..
С 29 января 2010 года
Компания «Доктор Веб» сообщает о кардинальном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.
Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования.
Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock.
Брать тут http://www.freedrweb.com/download+cureit/

Утилита от Касперского ...для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) предназначена утилита Digita_Cure.exe.
Брать тут ..http://support.kaspersky.ru/downloads/utils/digita_cure.zip

насчет нового СМС вируса ..который блокирует например вконтакте.ру
Чистка реестра и файла hosts ничего не дала..
Вариант лечения тут

Здесь был вложен файл: virus.JPG (139.3 Кб), но к сожалению был утерян. Если он у Вас есть, свяжитесь с администрацией для его восстановления. Спасибо.

МВД России раскрыло масштабную схему интернет-мошенничества.

Сотрудники Управления «К» МВД России раскрыли схему интернет-мошенничества, действовавшую в России и странах СНГ, сообщает пресс-служба подразделения. По данным следствия, в преступной деятельсности участвовала дочерняя фирма одной из крупнейших телекоммуникационных компаний.

Злоумышленники распространяли в Интернете вирусы, блокирующие работу компьютера, и получали многомиллионную прибыль от платных смс-сообщений за разблокировку. По данным ведомства, преступники через посредников арендовали короткие телефонные номера, а затем с помощью спам-рассылки в социальных сетях распространяли «зараженные» ссылки и фотографии.

Стоимость смс-сообщения за избавление от вредоносной программы составляла от 300 до 700 рублей. После его отправки вместо кода разблокировки пользователю приходил ответ с просьбой о подтверждении различных данных. Далее, отправляя подтверждение, со счета абонента списывалась та же сумма, что и за первое смс. Таким образом, злоумышленники получали многомиллионную прибыль.

«Короткие номера, которые используют мошенники, арендуются рядом крупных фирм (контент-провайдеры) у операторов «большой тройки» — МТС, «Вымпелком» («Билайн»), «Мегафон» и далее передаются различным партнерам — мелким фирмам», — отмечается в сообщении.

По данным Генпрокуратуры, только за апрель 2010 года в результате незаконной деятельности был извлечен доход в размере более 790 тысяч рублей.


Оригинал статьи. (http://www.bfm.ru/news/2010/08/31/mvd-raskrylo-masshtabnuju-shemu-internet-moshennichestva.html)

PS: Никак не могу забыть, как я матюкался :mad: переустанавливая OS. Наконец хоть кого-то, взяли за жопу. Поделом гадким ухарям. :nunu: