Добрый день!
Такая же проблема возникла на компе, что и ниже постом. На компе появилась такая проблема: Через минут 2-7 после загрузки компьютера появляется огромное окно с текстом:
”Установлена не лицензионная OC Windows. Для активации необходимо отправить СМС с текстом: OPLATA на номер 7122” Старые ключи не помогают. Комбинации не работает, пятикратное нажатие шифта что-то дает, но что - посмотреть не возможно.
Надеюсь на вашу помощь, с предыдущими версиями вы справлялись оперативно =)
З.Ы. спасибо за перенос))
Full Version: Вирус-смс 2
Загрузиться в безопасном режиме (или с LiveCD) и сделать логи можно? Если винда блокируется не сразу - посмотрите автозагрузку (через msconfig) на предмет какого-нибудь подозрительного exe-шника (да и вообще подозрительного файла) в Documents and Settings\профиль\Application Data или еще где-нибудь (во временных папках например). Если есть - убираете его из автозагрузки и шлете в вирлаб: http://vms.drweb.com/sendvirus.
Эх, спасибо)
ЗАвтра только смогу это сделать ибо когда админ болеет - его и дома в кровати достанут юзвери)
А по телефону не поймут. Не суть, лирика.
ЗАвтра утром все попробую.
З.Ы. Надеюсь кейген сделають xD
ЗАвтра только смогу это сделать ибо когда админ болеет - его и дома в кровати достанут юзвери)
А по телефону не поймут. Не суть, лирика.
ЗАвтра утром все попробую.
З.Ы. Надеюсь кейген сделають xD
QUOTE (azkaifat @ 24/06/2009 15:49) 
З.Ы. Надеюсь кейген сделають xD
Сделают, если сэмпл попадет в вирлаб
QUOTE (YVS @ 24/06/2009 16:52)
QUOTE (azkaifat @ 24/06/2009 15:49)
З.Ы. Надеюсь кейген сделають xD
Сделают, если сэмпл попадет в вирлаб
Хех, т.е. по сути сутки сидеть и думать, как там у родного офиса дела))))
Да уж ну нет возможности нармально протестить комп.А смс паразить просит.
Тэкс... Доброе утро)
Итак.
Безопасный режим - ессесно тоже самое.
ЛайвСД - Тоже самое ессесно нет.
Автозагрузка - подозрительного ничего нет.
В процессех тоже.
В папках и прочая - тоже нет ничего подозрительного, ни экзешников, ни бинов.
В прочем, когда только эта вся фигня появилась в первый раз(один из первых таких вирей) - тоже самое все было.
бтв, перевод системного времени не помогает. Сейчас комп стоит на 2х часовом простое.
Итак.
Безопасный режим - ессесно тоже самое.
ЛайвСД - Тоже самое ессесно нет.
Автозагрузка - подозрительного ничего нет.
В процессех тоже.
В папках и прочая - тоже нет ничего подозрительного, ни экзешников, ни бинов.
В прочем, когда только эта вся фигня появилась в первый раз(один из первых таких вирей) - тоже самое все было.
бтв, перевод системного времени не помогает. Сейчас комп стоит на 2х часовом простое.
QUOTE (azkaifat @ 25/06/2009 08:21)
В папках и прочая - тоже нет ничего подозрительного, ни экзешников, ни бинов.
В каких искали?
Попробуйте поискать файлы со свежей датой создания.
QUOTE (YVS @ 25/06/2009 10:13)
QUOTE (azkaifat @ 25/06/2009 08:21)
В папках и прочая - тоже нет ничего подозрительного, ни экзешников, ни бинов.
В каких искали?
Попробуйте поискать файлы со свежей датой создания.
Documents and settings, по всем пользователям и по всем папкам) Пусто. Лишних файлов нет. В принципе осталось где-то полчаса до 2х часового барьера, посмотрим, что будет...
Столкнулся с ним же. Метод решения один: перезагрузка, пока не успел загрузиться троян - завершаю процесс с именем типа qiutr, до следующего ребута не лезет.
вот по теме
http://www.cforum.ru/t4/forum/uqn8pm?limit...p;search=OPLATA
Дополню, КуреИт не видит, Нод32 и AVP тоже
вот по теме
http://www.cforum.ru/t4/forum/uqn8pm?limit...p;search=OPLATA
Дополню, КуреИт не видит, Нод32 и AVP тоже
Вроде нашел.
в документс адн сетингс, кит, апликейшн дата, файл hznyh.
В автозхагрузке он был, в процессах был. Дата создания - аккурат вчера, примерно в то время когда появилось сообщение.
отправил на анализ, снес с компа.
в документс адн сетингс, кит, апликейшн дата, файл hznyh.
В автозхагрузке он был, в процессах был. Дата создания - аккурат вчера, примерно в то время когда появилось сообщение.
отправил на анализ, снес с компа.
QUOTE (azkaifat @ 25/06/2009 10:54)
отправил на анализ, снес с компа.
Окно с SMS исчезло?
Не успело появиться, после - не появляется. Пока не перезагружал ибо комп мега важный и из-за простоя много работы накопислоь.
Мммм, на опчте радостное сообщение, что вебу известно уже про ентот вирус.
Угроза: Trojan.Winlock.123
Мммм, на опчте радостное сообщение, что вебу известно уже про ентот вирус.
Угроза: Trojan.Winlock.123
hv12, проверьте - находит ли Куреит сейчас. Если нет - найдите этот файл (qiutr) и зашлите в вирлаб.
QUOTE (sleb @ 25/06/2009 12:51)
hv12, проверьте - находит ли Куреит сейчас. Если нет - найдите этот файл (qiutr) и зашлите в вирлаб.
А у меня (XPP SP3 5.1.2600 all update), например, не qiutr образовался, а hlp.exe
И тоже ни один код из списка не подошёл.
Результат: 6/41 (14.63%)
Банально в Run сидит и общий смысл работы, как и выше описали.
В корне C ещё валялся bat-ничек, только тут я лоханулся и не сохранил. Стёр от досады...
Вычистил Run c помощью продукта от winternals.
Правда потом отловил хаха: пользователь логинится в систему и тут же выходит, и опять логинится и опять выходит, и так постоянно.
Эта зараза вот здесь ковыряла:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Параметра Userinit не было совершенно, то есть должно быть:
Userinit=C:\WINDOWS\system32\userinit.exe,
а его не было. Пришлось вручную: с другого компа карандашиком - на листок, и с листка - в реестр.
Я тут впервые. Хотя и пользуюсь Dr.Web уже года три. Не подскажете ссылочку, куда зверя отослать?
QUOTE (itrich @ 27/06/2009 05:08)
Я тут впервые. Хотя и пользуюсь Dr.Web уже года три. Не подскажете ссылочку, куда зверя отослать?
Используйте форму для отправки:
http://vms.drweb.com/sendvirus/
QUOTE (Andrey_Kr @ 27/06/2009 09:47)
Используйте форму для отправки:
http://vms.drweb.com/sendvirus/
http://vms.drweb.com/sendvirus/
Да, да, конечно.
Я потом поискал, ещё раз почитал и обнаружил куда его выслать. Но и Вам спасибо.Не знаю.. Тот комп я потом (утром) пользователям передал. А сейчас пришёл. Говорят, что полёт нормальный.
Мне тут какое-то письмо пришло:
QUOTE
Это сообщение автоматически сформировано в ответ
на Ваш запрос относительно:
"SUBMITTED VIRUS".
Детальная информация о Вашем запросе представлена ниже.
В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #924928].
Пожалуйста, включайте строку:
[drweb.com #924928].
в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.
Спасибо за сотрудничество.
на Ваш запрос относительно:
"SUBMITTED VIRUS".
Детальная информация о Вашем запросе представлена ниже.
В данный момент никаких действий от Вас не требуется.
Вашему запросу назначен идентификатор [drweb.com #924928].
Пожалуйста, включайте строку:
[drweb.com #924928].
в поле Subject всей Вашей корреспонденции по данной теме.
Для этого вы можете просто ответить на это или любое
другое письмо по данной теме.
Спасибо за сотрудничество.
Нельзя ли чуть-чуть подробнее узнать: что значит Пожалуйста, включайте строку... ?
Какую я ещё корреспонденцию "по данной теме" вести обязался? Уж очень как-то витиевато..
Если это вирь, то так бы и сказали "это вирь". Если это вирь, но у меня химичил не этот вирь, то мне надо что-то предпринять... Короче, я немного в недоумении.
itrich
Если захотите что-то уточнить или отправить дополнительную инфу, то в теме письма нужно будет указать ваш идентификатор [drweb.com #924928] для того, чтобы там быстро распознали, какого тикета/обращения касается ваше дополнительное сообщение.
Если захотите что-то уточнить или отправить дополнительную инфу, то в теме письма нужно будет указать ваш идентификатор [drweb.com #924928] для того, чтобы там быстро распознали, какого тикета/обращения касается ваше дополнительное сообщение.
Den86
Ваш запрос выделен в новую тему: новый СМС вирус
Ваш запрос выделен в новую тему: новый СМС вирус
Переписка о способе посылки вирусов будет удалена
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.