42 ответов в этой теме

[Lafleim2]

Помогите пожалуйста просто не знаю что и делать. для презентации скачивала рефераты и картинки, и появилась эта гадость.
Просит пополнить счет абонента билайн: +79639663644 на сумму 280рублей после оплаты, на выданом терминалом чеке оплаты, вы найдеие код, который необходимо ввести в поле расположеное ниже.
Первый раз с этим столкнулась.
На ноуте не работает не чего кроме этого окна, в безопасном режиме не запускается.
Подскажите что надо сделать чтоб это убрать и если можно обьясните подробнее, а то я не оченьто во всем этом разбираюсь(
Заранее большое спасибо.

[v.martyanov]

20 цифр ввести попробуйте.

[roker]

Помогите пожалуйста просто не знаю что и делать. для презентации скачивала рефераты и картинки, и появилась эта гадость.
Просит пополнить счет абонента билайн: +79639663644 на сумму 280рублей после оплаты, на выданом терминалом чеке оплаты, вы найдеие код, который необходимо ввести в поле расположеное ниже.
Первый раз с этим столкнулась.
На ноуте не работает не чего кроме этого окна, в безопасном режиме не запускается.
Подскажите что надо сделать чтоб это убрать и если можно обьясните подробнее, а то я не оченьто во всем этом разбираюсь(
Заранее большое спасибо.

В безопасный режим зайти можете?

[Lafleim2]

не помогает((

нет

[Lilsun]

У меня такая же проблемка...только 300руб на номер +79639663766. Пробрвала вставить установочник виндоуз - не запускается, и вообще ничего не работает((( подскажите что можно сделать???

[roker]

У меня такая же проблемка...только 300руб на номер +79639663766. Пробрвала вставить установочник виндоуз - не запускается, и вообще ничего не работает((( подскажите что можно сделать???

Попробуйте на другом компе скачать лечебную утилиту на флэшку, затем запустить на своём компе
http://www.freedrweb.com/cureit/

[mrbelyash]

http://wiki.drweb.com/index.php/Userinit

http://wiki.drweb.com/index.php/Userinit2

http://www.freedrweb.com/livecd/

[Lafleim2]

наконецто получились логи

Прикрепленные файлы:

•  hijackthis.rar   3,5К   85 Скачано раз
•  Report.rar   6,42К   80 Скачано раз
•  CureIt.rar   125,87К   66 Скачано раз

[PAUK]

Lafleim2 Lilsun а фото хоть телефоном можно? и полный текст инструкции?

[Lafleim2]

через флешку получилось не сразу только послетого как скачала и запустила ERDCommander с диска, но проверять Cureit не хотел он не запускался пришлось чистить в ручную.Сначала нашла через поиск все файлы за число когда подхватила этот вирус, удалила их,правда оставила некоторые которые я точно знала что это. Потом так как у меня не запускался реестр я создала следуещий текстовый файл в блокноте :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

файл \ сохранить как \
название файла может быть любым
но в конце обязательно!!! необходимо поставить расширение *.reg
после сохранения запустить то что получилось.
реестр запустился и потом я открыла папки в следующем порядке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Там щелкнула по DisableTaskMgr и изменила его значение с 1 на 0. Сделав это я разблокировала диспечер задач.
Потом открыла вот эту ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
И там есть параметр Shell значение которого должно быть Explorer.exe, но там было другое значение ( C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\RB21A3RQ\video_57312.avi[1].exe) Это и есть вирус , я запомнила (записала) место где он лежит и как его зовут.Потом исправила значение Shell в место того что там написано написала Explorer.exe. Потом чтобы убрать этот процес из запуска реестра полезла сюда HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run но там его небыло , в диспечере задач тоже небыло и так я его тоже не нашла. У меня есть претположение что я его далила когда удаляла все файлы за то число когда подхватила вирус, а может быть он все еще у меня сидит на ноуте просто я его найти не могу. Он запустился и работает но я взяла егоо проверила AVZ и почистила IE Privacy Keeper.
НЕ ЗНАЮ правильно сделала или нет но ноутбук заработал.( по другому просто не получалось перепробывала все и у меня остался один выбор либо делать все это либо переустанавливать Windows)
И еще подскажите пожалуйста может у меня что от этого вируса осталось логи приложила в предыдущем сообщении. Заранее спасибо.

[PAUK]

Lafleim2 По логам у Вас все нормально... Вы что работаете всегда под администратором?
Жаль что сам файл вредоносное программное обеспечениеа Вы удалили, почистив кэш IE...
А в инструкции не было указаний платить через терминал определенной системы, или любой?

Кто-нибудь вообще за билайн платил (свой) - код бы посмотреть на чеке.

[mrbelyash]

 Из под ERDCommander стоит забускать только бета куреит-он спекциально заточен под такие системы.

------------

Если файл остался то на вирустотал его

C:\DOCUME~1\9335~1\LOCALS~1\Temp\s8145F1z.sys

E:\AUTORUN.INF-в вирлаб

------------
Если в системе установлен Nod32 то его перед запуском куреит нужно отключать. Не дружат оне  --------

НЕ ЗНАЮ правильно сделала или нет но ноутбук заработал.

По-больше бы таких пользователей

Сообщение было изменено mrbelyash: 09 Июнь 2010 - 09:19

[PAUK]

Уважаемый Клиент!

Благодарим Вас за информацию.

Любая информация о фактах мошенничества в отношении Клиентов "Билайн" передается в службу безопасности нашей Компании для тщательной проверки.

Решение данного вопроса будет происходить внутренними силами Компании с привлечением правоохранительных органов.

Также рекомендуем ознакомиться с информацией на сайте:
http://safe.beeline.ru/main.html

В разделах сайта содержится подробная информация о видах мобильного мошенничества, способах защиты от него, а также рекомендации, которые позволят защитить себя и своих близких от мошеннических действий.

Если Вам нужна дополнительная консультация, пожалуйста, пишите нам на
questions.msk@beeline.ru
или звоните в Центр поддержки клиентов по телефонам +7(495)974-88-88 или 0611 (с мобильного телефона).

Желаем приятного общения!

Ваш "Билайн".


-----Original message-----
From: Я
To: qstnspb@nord4
Date: 09.06.2010 10:17:25(МСК)
Subject: мошенники используют ваши мобильные номера

> Здравствуйте!
> Вы знаете, что мошенники используют ваши мобильные номера для получения денег за снятие блокировки с зараженного компьютера?
> Баннер требует положить деньги на следующие номера:
> +79639663644 на сумму 280 рублей
> +79639663766 на сумму 300 рублей
> "..после оплаты, на выданном терминалом чеке оплаты, вы найдете код, который необходимо ввести в поле расположенное ниже."
> Не подскажите: КАКОЙ там может быть код?
> Пример с оф.форума можно посмотреть здесь: http://forum.drweb.com/index.php?showtopic=292732
> Best regards, Vladimir

[Lafleim2]

Lafleim2 По логам у Вас все нормально... Вы что работаете всегда под администратором?
Жаль что сам файл вредоносное программное обеспечениеа Вы удалили, почистив кэш IE...
А в инструкции не было указаний платить через терминал определенной системы, или любой?

Кто-нибудь вообще за билайн платил (свой ) - код бы посмотреть на чеке.

Да я всегда работаю под администратором.
Нет терминал не указывался.
на некоторых форумах в том числе и на этом некоторые люди платили но бестолку никакого кода там нет.

[Lafleim2]

Из под ERDCommander стоит забускать только бета куреит-он спекциально заточен под такие системы.

------------

Если файл остался то на вирустотал его

C:\DOCUME~1\9335~1\LOCALS~1\Temp\s8145F1z.sys

E:\AUTORUN.INF-в вирлаб

Этого файла там нет. Но там есть вот эти и они не удаляются:Perflib_Perfdata_4c0,Perflib_Perfdata_518,
Perflib_Perfdata_524,Perflib_Perfdata_528 с расширением .dat (интересно что это за файлы)

[PAUK]

Этого файла там нет. Но там есть вот эти и они не удаляются:Perflib_Perfdata_4c0,Perflib_Perfdata_518,
Perflib_Perfdata_524,Perflib_Perfdata_528 с расширением .dat (интересно что это за файлы)

Это нормально - это системные файлы. (анализ произв.системы)

[Valeriy]

У меня знакомая тоже сегодня подхватила вирус (гей мальчики какие то) просит пополнить счет на номер +79670565039 (Знакомый уже чистил комп) только вот таким способом.
Запустился с Live-CD
Почистил tempы
Откатился на один день назад

Я бы взамен отката (прогнал специальными утилитами для чистки реестра и системы).
Сегодня поеду чистить комп от этого гада если что передам на анализ (поросенка)

[DfolK]

Lafleim2, большое спасибо, только ваш способ и помог!

[bcm2]

этот троян перестает работать через 62 дня (в моем случае так было). на момент заражения никакие антивирусы включая доктор вэб его не видели. проблему решил очень просто. поставил в bios дату на 3 месяца вперед. после загрузки вирус исчез

[gde700]

Был аналогичный баннер. Чистил из-под ERD руками. Поскольку не отправил вирус на анализ - тема была закрыта.