Windows заблокирован. Для разблокировки отправьте смс.

Заметки на полях » Про компы | Просмотров: 223573 | Комментарии (708)

Сегодня знакомые попросили посмотреть компьютер. Говорят «что-то про активацию пишет и смс». Думаю, дело неладное, собрал свой «боекомплект», выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
«Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649.Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные.»

Давным давно сталкивался с такой бякой. В уже упомянутый «боекомплект» у меня входит LiveCD от DrWeb. Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.

UPD. C мест сообщают, что случай знакомых не единичный.
Хабраюзеры ilzarka и ykcyc тоже стали жертвами вируса. И если первый «вылечился» как и я, то второй пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение «Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные.» НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше.

UPD2. C мест сообщают, что вроде подходит код активации 3893879.

UPD3. В комментах подсказали, что специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://www.drweb.com/unlocker/index/?lng=ru, вводите цифры с сообщения ВАШЕГО компьютера — получаете разблокировачный код.

UPD4. Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 я выложил здесь. Этот пак сам установит все обновления, которые появились после выхода SP3.

UPD5. Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его smile Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!

UPD6 Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.

Если после удаления вируса пропал рабочий стол

В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.

UPD7. Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать — если уже случилась беда — качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы — ставьте PreSP4 и IE8, если пользуетесь эксплорером.

UPD8. C момента написания поста вирус очень изменился, и его поведение тоже. Читайте последние комментарии к посту (в частности вот) - они помогут в решении проблемы. Ну и если побороли сами — найдите минутку — поделитесь опытом.

UPD9. Сотрудники компании DrWeb создали специальный раздел для получения кодов разблокировки на своем сайте. Специалисты Лаборатории Касперского сделали подобный сервис.

Напомню что лучшей защитой от напасти являются 4 действия:

Установка обновленного IE8
Установка обновления PreSP4
Установка последнего обновления безопасности для IE (в PreSP4 еще не вошло)
Антивирус с актуальными базами. Если купить денег нет — можно поискать у меня в блоге ключик для DrWeb

UPD10. На Хабре появилась еще одна статья-руководство по борьбе с вирусом.

UPD11. Методы защиты от вируса, блокирующего windows по смс.

Теги: вирус, windows, активация

На эту же тему:

Всего комментариев 708

« 1 2 ... 37 38 39 40 41 ... 65 66 »

#381 написал PeterM

30.04.09 в 09:12

Cсылка | Цитировать

Антивирусы Live CD не помогли, удалил все файлы "don..." и...
Таже трабла как у предыдущего поста - пустой рабочий стол, диспечер задач "блокирован администратором".
Чаго делать!?!?! Есть возможность зайти с другой ОС

#382 написал ARBUZzZz

30.04.09 в 09:37

Cсылка | Цитировать

Если не показывает рабочий стол

вот прога AVZ.(http://z-oleg.com/secur/advice/adv1103.php)

скачиваем ее - и решаем проблему пустого стола!
ПЛЮС - там а куча настроек по проверки компа, . С ее помошью нашел вирусы, которые и вызывали смс_провокацию и исчезновение иконок с рабочего стола !!

Удачи всем! biggrin

#383 написал Дмитрий [ Дима ]

30.04.09 в 10:18

Cсылка | Цитировать

ARBUZzZz, спасибо за информацию. Думаю сделать отдельный топик по этой проблеме, т.к. судя по отзывам, многие с ней уже столкнулись и не раз.

#384 написал Vovs

30.04.09 в 10:22

Cсылка | Цитировать

To: gsp и Дмитрий
Я же написал smile

- сидел он в Shell'е, там был прописан его путь, после explorer.exe (хорошо, что не вместо smile

), по нему увидел, что он поместил себя в C:\WINDOWS. Потом поиском нашел его и в C:\WINDOWS\Prefetch, там же были парочка "левых" pf-файлов, которых я тоже снёс. Был вариант с красным окном, но не самый серьёзный, regedit и прочее работали, HKLM\Software\...\Image File Execution Options Он не тронул...

#385 написал gsp

30.04.09 в 13:33

Cсылка | Цитировать

Vovs, интересует алгоритм поиска - ведь svchost.exe стандартный процесс. Я например свои вычислял тупо поставив два компа с одинаковыми системами рядом и сравнивая процессы.

#386 написал Vovs

30.04.09 в 14:40

Cсылка | Цитировать

Ну какой-такой алгоритм... smile

То что он может прописаться и в Shell а не только в Userinit, прочитал на каком-то форуме. То что он может назваться svchost, прочел на этом форуме (Коммент №338 от Константина), про каталог Prefetch тоже где-то читал. А дальше включил мозг... biggrin

#387 написал Artemmm

30.04.09 в 17:51

Cсылка | Цитировать

Всех приветствую!Или я что-то пропустил или это новая хрень!День назад схватил одну из этих "КАКАШЕК"(красное окно на черном).Сам не продвинутый user поэтому за пом обратился к другу,временно решили проблему с пом регенирации кода на сайте Web-а, а дольше уже начал долбить антивирями(результаты дал Dr.Web).Следом почистил реест, заглянул в автозагрузку все лишнее выкинул и вроде бы на этом страдания закончились.И как только я отписал другу,что с гнусным червем покончено,-ВОТ ТЕ НА! Уже не (красное на черном) а (синие буквы на белом) сфоткать не смог но помню содержание! Автор сего текста описывает следущее:"Ваша система заражена вирусом... а дальше история с SMS повторяется, только теперь даже стоимость указывается и перечень работ по спасению ОС(обещая прислать нужный алгоритм действий).(т.е. автор как бы честен перед нами= biggrin

)обьясняя за что он просит эту сумму и номер на который отправить просят изменился не помню точно или начинается на 11 или заканчиваеся.И еСчё из предложенных вариантов "ВВЕСТИ КОД" там еще есть "ОТМЕНИТЬ"(или что-то вроде этого", решив проэсперементировать smile

нажал отменить!- появилось окошко с обратным отСчётом времени(системное а не очередная занавеса) с ссылкой на какоето дольнейшее действие по окончании времени! surprised

-с таким поворотом событий я когда-то сталкивался и в прошлый раз пока я читал и разбирал что это значит у меня безвозвратно пропадала вся инфа( поэтому я со злости и испуга отрубил питание biggrin

!Проблему решил с помощью безопасного режима но перед этим перевел часы в BIOS-e на пару дней вперед.(хотя думаю и так бы зашел, но не факт :)) а там (Dr/Web,AVZ чистка реестра).Диспетчер задач тож заблокирован был, восстановил так: http://netler.ru/pc/taskmgr.htm.
P.S/ в бою были уничтожены и обезврежены /portmap.exe, /1[1].exe, /updater123_72[1].exe, /rdl963.tmp.exe.
Думаю война толька началась и враг пока залег на дно biggrin

! -ВСЕМ УДАЧИ!

#388 написал Анастасия

02.05.09 в 13:32

Cсылка | Цитировать

блииин...ребята...помогите прошу вас!!!!!у меня комп уже 6 день...не работает из за этой блокировки....=(((ведь по идее этот вирусняк через 2 часа сам удаляется.....а у меня до сих...пор ничего не проходит.....и смски я уже наотправляла...штук сто.......помогите мнееее...оочеень прошу...что делать???

#389 написал Олег

02.05.09 в 15:12

Cсылка | Цитировать

RE: Коммент № 388 написал Анастасия
Анастасия, у вас комп несколько дней стоит, да не поленитесь, полистайте странички, выше все варианты подробненько описаны, не факт, что вирь через 2 часа удалится... Поверьте, просто лом ещё раз всё описывать.

#390 написал mac-ruslan

02.05.09 в 16:18

Cсылка | Цитировать

я поймал такую гадость по спутниковой рыбалке.видимо из последних.Красное на черном.помог генератор от др.веб.А потом антивирусником его.С\Documents and Settings\User\Local Settings\Temp\nod Спасибо этому сайту.Сам бы не решил эту проблему.