Перейти к содержимому


Фото
- - - - -

Просит пополнить счет абонента билайн: +79639663644


  • Закрыто Тема закрыта
42 ответов в этой теме

#1 Lafleim2

Lafleim2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 03 Июнь 2010 - 13:48

Помогите пожалуйста просто не знаю что и делать. для презентации скачивала рефераты и картинки, и появилась эта гадость.
Просит пополнить счет абонента билайн: +79639663644 на сумму 280рублей после оплаты, на выданом терминалом чеке оплаты, вы найдеие код, который необходимо ввести в поле расположеное ниже.
Первый раз с этим столкнулась.
На ноуте не работает не чего кроме этого окна, в безопасном режиме не запускается.
Подскажите что надо сделать чтоб это убрать и если можно обьясните подробнее, а то я не оченьто во всем этом разбираюсь(
Заранее большое спасибо.

#2 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Июнь 2010 - 13:50

20 цифр ввести попробуйте.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#3 roker

roker

    Advanced Member

  • Posters
  • 595 Сообщений:

Отправлено 03 Июнь 2010 - 13:51

Помогите пожалуйста просто не знаю что и делать. для презентации скачивала рефераты и картинки, и появилась эта гадость.
Просит пополнить счет абонента билайн: +79639663644 на сумму 280рублей после оплаты, на выданом терминалом чеке оплаты, вы найдеие код, который необходимо ввести в поле расположеное ниже.
Первый раз с этим столкнулась.
На ноуте не работает не чего кроме этого окна, в безопасном режиме не запускается.
Подскажите что надо сделать чтоб это убрать и если можно обьясните подробнее, а то я не оченьто во всем этом разбираюсь(
Заранее большое спасибо.



В безопасный режим зайти можете?

#4 Lafleim2

Lafleim2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 03 Июнь 2010 - 13:52

не помогает((

нет

#5 Lilsun

Lilsun

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 03 Июнь 2010 - 14:28

У меня такая же проблемка...только 300руб на номер +79639663766. Пробрвала вставить установочник виндоуз - не запускается, и вообще ничего не работает((( подскажите что можно сделать???

#6 roker

roker

    Advanced Member

  • Posters
  • 595 Сообщений:

Отправлено 03 Июнь 2010 - 14:57

У меня такая же проблемка...только 300руб на номер +79639663766. Пробрвала вставить установочник виндоуз - не запускается, и вообще ничего не работает((( подскажите что можно сделать???



Попробуйте на другом компе скачать лечебную утилиту на флэшку, затем запустить на своём компе
http://www.freedrweb.com/cureit/

#7 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 03 Июнь 2010 - 15:28

http://wiki.drweb.com/index.php/Userinit

http://wiki.drweb.com/index.php/Userinit2

http://www.freedrweb.com/livecd/

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#8 Lafleim2

Lafleim2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 08 Июнь 2010 - 23:54

наконецто получились логи

Прикрепленные файлы:



#9 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 09 Июнь 2010 - 00:21

Lafleim2 Lilsun а фото хоть телефоном можно? и полный текст инструкции?
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#10 Lafleim2

Lafleim2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Июнь 2010 - 00:52

через флешку получилось не сразу только послетого как скачала и запустила ERDCommander с диска, но проверять Cureit не хотел он не запускался пришлось чистить в ручную.Сначала нашла через поиск все файлы за число когда подхватила этот вирус, удалила их,правда оставила некоторые которые я точно знала что это. Потом так как у меня не запускался реестр я создала следуещий текстовый файл в блокноте :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

файл \ сохранить как \
название файла может быть любым
но в конце обязательно!!! необходимо поставить расширение *.reg
после сохранения запустить то что получилось.
реестр запустился и потом я открыла папки в следующем порядке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Там щелкнула по DisableTaskMgr и изменила его значение с 1 на 0. Сделав это я разблокировала диспечер задач.
Потом открыла вот эту ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
И там есть параметр Shell значение которого должно быть Explorer.exe, но там было другое значение ( C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\RB21A3RQ\video_57312.avi[1].exe) Это и есть вирус , я запомнила (записала) место где он лежит и как его зовут.Потом исправила значение Shell в место того что там написано написала Explorer.exe. Потом чтобы убрать этот процес из запуска реестра полезла сюда HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run но там его небыло :) , в диспечере задач тоже небыло и так я его тоже не нашла. У меня есть претположение что я его далила когда удаляла все файлы за то число когда подхватила вирус, а может быть он все еще у меня сидит на ноуте просто я его найти не могу. Он запустился и работает но я взяла егоо проверила AVZ и почистила IE Privacy Keeper.
НЕ ЗНАЮ правильно сделала или нет но ноутбук заработал.( по другому просто не получалось перепробывала все и у меня остался один выбор либо делать все это либо переустанавливать Windows)
И еще подскажите пожалуйста может у меня что от этого вируса осталось логи приложила в предыдущем сообщении. Заранее спасибо.

#11 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 09 Июнь 2010 - 08:29

Lafleim2 По логам у Вас все нормально... Вы что работаете всегда под администратором?
Жаль что сам файл вредоносное программное обеспечениеа Вы удалили, почистив кэш IE...
А в инструкции не было указаний платить через терминал определенной системы, или любой?

Кто-нибудь вообще за билайн платил (свой:)) - код бы посмотреть на чеке.
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#12 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 09 Июнь 2010 - 09:12

 Из под ERDCommander стоит забускать только бета куреит-он спекциально заточен под такие системы.

------------

Если файл остался то на вирустотал его

C:\DOCUME~1\9335~1\LOCALS~1\Temp\s8145F1z.sys

E:\AUTORUN.INF-в вирлаб

------------
Если в системе установлен Nod32 то его перед запуском куреит нужно отключать. Не дружат оне  :) --------


НЕ ЗНАЮ правильно сделала или нет но ноутбук заработал.


По-больше бы таких пользователей :)

Сообщение было изменено mrbelyash: 09 Июнь 2010 - 09:19

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#13 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 09 Июнь 2010 - 11:56

Уважаемый Клиент!

Благодарим Вас за информацию.

Любая информация о фактах мошенничества в отношении Клиентов "Билайн" передается в службу безопасности нашей Компании для тщательной проверки.

Решение данного вопроса будет происходить внутренними силами Компании с привлечением правоохранительных органов.

Также рекомендуем ознакомиться с информацией на сайте:
http://safe.beeline.ru/main.html

В разделах сайта содержится подробная информация о видах мобильного мошенничества, способах защиты от него, а также рекомендации, которые позволят защитить себя и своих близких от мошеннических действий.

Если Вам нужна дополнительная консультация, пожалуйста, пишите нам на
questions.msk@beeline.ru
или звоните в Центр поддержки клиентов по телефонам +7(495)974-88-88 или 0611 (с мобильного телефона).

Желаем приятного общения!

Ваш "Билайн".


-----Original message-----
From: Я
To: qstnspb@nord4
Date: 09.06.2010 10:17:25(МСК)
Subject: мошенники используют ваши мобильные номера

> Здравствуйте!
> Вы знаете, что мошенники используют ваши мобильные номера для получения денег за снятие блокировки с зараженного компьютера?
> Баннер требует положить деньги на следующие номера:
> +79639663644 на сумму 280 рублей
> +79639663766 на сумму 300 рублей
> "..после оплаты, на выданном терминалом чеке оплаты, вы найдете код, который необходимо ввести в поле расположенное ниже."
> Не подскажите: КАКОЙ там может быть код?
> Пример с оф.форума можно посмотреть здесь: http://forum.drweb.com/index.php?showtopic=292732
> Best regards, Vladimir

"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#14 Lafleim2

Lafleim2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Июнь 2010 - 17:06

Lafleim2 По логам у Вас все нормально... Вы что работаете всегда под администратором?
Жаль что сам файл вредоносное программное обеспечениеа Вы удалили, почистив кэш IE...
А в инструкции не было указаний платить через терминал определенной системы, или любой?

Кто-нибудь вообще за билайн платил (свой :) ) - код бы посмотреть на чеке.


Да я всегда работаю под администратором.
Нет терминал не указывался.
на некоторых форумах в том числе и на этом некоторые люди платили но бестолку никакого кода там нет.

#15 Lafleim2

Lafleim2

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Июнь 2010 - 17:29

Из под ERDCommander стоит забускать только бета куреит-он спекциально заточен под такие системы.

------------

Если файл остался то на вирустотал его

C:\DOCUME~1\9335~1\LOCALS~1\Temp\s8145F1z.sys

E:\AUTORUN.INF-в вирлаб


Этого файла там нет. Но там есть вот эти и они не удаляются:Perflib_Perfdata_4c0,Perflib_Perfdata_518,
Perflib_Perfdata_524,Perflib_Perfdata_528 с расширением .dat (интересно что это за файлы)

#16 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 09 Июнь 2010 - 17:56

Этого файла там нет. Но там есть вот эти и они не удаляются:Perflib_Perfdata_4c0,Perflib_Perfdata_518,
Perflib_Perfdata_524,Perflib_Perfdata_528 с расширением .dat (интересно что это за файлы)

Это нормально - это системные файлы. (анализ произв.системы)
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#17 Valeriy

Valeriy

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 15 Июнь 2010 - 06:50

У меня знакомая тоже сегодня подхватила вирус (гей мальчики какие то) просит пополнить счет на номер +79670565039 (Знакомый уже чистил комп) только вот таким способом.
Запустился с Live-CD
Почистил tempы
Откатился на один день назад

Я бы взамен отката (прогнал специальными утилитами для чистки реестра и системы).
Сегодня поеду чистить комп от этого гада если что передам на анализ (поросенка)

#18 DfolK

DfolK

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 26 Июнь 2010 - 11:05

Lafleim2, большое спасибо, только ваш способ и помог!

#19 bcm2

bcm2

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 12 Июль 2010 - 21:24

этот троян перестает работать через 62 дня (в моем случае так было). на момент заражения никакие антивирусы включая доктор вэб его не видели. проблему решил очень просто. поставил в bios дату на 3 месяца вперед. после загрузки вирус исчез

#20 gde700

gde700

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 14 Июль 2010 - 23:40

Был аналогичный баннер. Чистил из-под ERD руками. Поскольку не отправил вирус на анализ - тема была закрыта.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых