Страница 1 из 6

Windows заблокирован. Для разблокировки отправьте смс.!!!!

СообщениеДобавлено: 14 апр 2009 10:09
Simson
Внимание! Появилась новая троянска программа, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

Источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загружается нормально.

Для тех, кто столкнулся с данным трояном:

0. Во-первых, НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС!


Во-вторых, решить проблему можно следующим образом:

1. Грузимся с любого Live CD, видящего файловую систему.
2. Заходим c:/documents and settings/all users/application data/
3. Удаляем оттуда два файла: blocker.exe и blocker.bin
4. Перегружаемся в нормальную систему.
5. ОБЯЗАТЕЛЬНО, обновляем антивирус и сканируем ВСЮ систему.

P.S:
Специалисты Dr. Web написали crack (генератор кодов) для разблокирации: http://news.drweb.com/show/?i=304&c=5

СообщениеДобавлено: 14 апр 2009 10:36
Tracer
Прочитал на баше думал стеб... :shock: до чего только не додумываются уже :(

СообщениеДобавлено: 14 апр 2009 12:27
YoungMax
жесть,до чего дошло! :-P

СообщениеДобавлено: 14 апр 2009 13:50
black_dez
ПРикололись ребята... :-D

СообщениеДобавлено: 14 апр 2009 16:41
FLaYN
мда, все гораздо проще, сканить нет смысла это не вирус а утилита, запускаем винду выскакивает данное сообщение, жмем win+u, открываем экранную клавиатуру, жмем справка о программе, там кликаем веб узел майкрософт, открывается браузер, там вводим
c:/WINDOWS/system32/taskmgr.exe
окрывается диспетчера задач, снимаем процесс blocker.exe, потом поиском ищем blocker.exe и blocker.bin, убиваем и система снова работает

СообщениеДобавлено: 14 апр 2009 17:58
Ameno
FLaYN
а win+r в таком случае не работает? и вызвать командную строку?)

СообщениеДобавлено: 14 апр 2009 18:30
FLaYN
Ameno неа не пашет, он ее блочит))

СообщениеДобавлено: 14 апр 2009 19:22
Simson
Все немного сложнее, эта утилита запускается ДО старта ОС. И сообщенние данное появляется ДО загрузки системы.
Соответсвенно волшебные комбинации не работают. Так, например, Shift+Ctrl+Esc, запускающая taskmgr.exe, не фунциклирует, ввиду того что taskmgr.exe НЕ ЗАПУЩЕН ЕЩЁ СИСТЕМОЙ. Тоже относиться и к win+U.
Хотя, возможно, подобной гадости уже не один вид, и работают они немного по разному)

СообщениеДобавлено: 14 апр 2009 22:17
Metallic
Simson А безопасный режим наверное тоже заблокирован?

СообщениеДобавлено: 15 апр 2009 09:24
666.vrn
Загрузился в безопаске и поубивал гадость, ещё есть скрытый экзешный файл в профиле, называеться как сам профиль, её тоже нада удалять. А если винда в домене, то под админом у меня нормально работает и из учётки админа в нормальом режиме всё удалил без проблем.

СообщениеДобавлено: 15 апр 2009 18:55
Rusk
Встречался с такой фигней, погуглил, загрузился с Live CD, начал искать blocker.exe и blocker.bin - хрена, нету их там...
В безопасном, кстати, тоже грузится.
Сканирование на вирусы тож ничего не дало. Как и генератор кодов от DR Web...
Вычитал где-то, что через два часа работы компа все само проходит.
Подождал, перегрузился - все заработало.

СообщениеДобавлено: 15 апр 2009 19:04
black_dez
Rusk
Искать то надо скрытые системные файлы...
Все можно сделать с LiveCD через коммандную строку..

СообщениеДобавлено: 15 апр 2009 19:12
Rusk
black_dez, я не дибил вроде, и что такое системные файлы знаю. Отписал сюда, потому что случай, кажется, нестандартный....

СообщениеДобавлено: 15 апр 2009 19:30
black_dez
Rusk
Да никто и не говорит,что ты дибил.
Ну нестандартный,так не стандартный.Пробуй...я такую хрень не встречал...

Буду благодарен,если кто выложит эти два файлика...интересно полопатить их...

СообщениеДобавлено: 15 апр 2009 20:34
Diesel
слава богу пока что не втречал но могу закинуть удочку на securitylab.ru