Тема: на вашем компьютере обнаружена не лицензионная Windows отправьте СМС :)

[yuranich]

Я думаю каждый попадался на такую удочку В тырнете куча отмычек и прочего  

Но такое вижу пока первый раз и в тырнете еще не нашел как с этим бороться



Все выглядит так как-будто действительно у вас не лицензионная Виндоуз Виста. Только в этом случая:

1. Я точно знаю что она лицензионная мне даже удалось перехитрить ее и проверить на всякий случай активацию виндоуз, все окей.  
2. Это ноут и на нем стоит его оригинальная виндоуз, что тоже было проверено
3. Ну и номер куда отправлять смс все тот же не измененный 3649

Окошко то на время убрал, но все равно система работает писец как не стабильно. Никто не видел такого

P.S.

Все возможные отмычки проверил, вебер с его генератором этих кодов, как и он сам не помагает

[Авэшкин]

yuranich Попробуй отключи центр обеспечения безопасности

[yuranich]

yuranich Попробуй отключи центр обеспечения безопасности

К сожалению она выглядит как буд-то это все настоящее, но никакого отношения к центру обеспечения безопасности не имеет...да еще в реестре где-то прописывается так  что я даже не знаю как его там искать

[Авэшкин]

yuranich поробуй поставь AntiSpy
и ад-вер сканер  http://www.lavasoft.com/single/trialpay.php

[Сапожник]

Alek$ey мне звонил с такой же самой траблой в воскресенье.
Но он, помоему, после неудачных попыток откатиться, взял и переустановил винду

[yuranich]

Alek$ey мне звонил с такой же самой траблой в воскресенье.
Но он, помоему, после неудачных попыток откатиться, взял и переустановил винду

Угу я тоже подготовился заменить Висту на ХР, человек у кого такой трабл сейчас сохраняет файлы, если не найду вариант сохранить укатаю просто винт Хотя хочется решить эту проблему

[yuranich]

yuranich поробуй поставь AntiSpy
и ад-вер сканер  http://www.lavasoft.com/single/trialpay.php

Думаешь он запустится, машина работает с перебоями, гы и шрифт переключить нельзя

[yuranich]

Гы 

Данный вирус как и предполагалось  относится к разряду Trojan.Winlock (блокиратор дык правда не тот что на улицах)

Версия на которую нарвался дядя последняя вышла в октябре этого года Грубо говоря ей 6 дней (так по крайней мере написано) DrWeb еще не изучил ее и нету у него кода разблокировки тута http://news.drweb.com/show/?i=304&c=5, но вроде нашел инструкцию как его убить. Самое прикольное, он теперь хорошо прячется в реестре и в системных файлах, поэтому сразу его не нашел Хоть и отключил всплывающие окошко и запустил виндоус в нормальном режими, но вирус дестабилизирует работу системы. Короче буду вечером ломать
P.S. самое страшное этот вирус подхватил полковник милиции на служебном ноуте, где не допускается лазанья на сайты типа пупсик.ру или хакер.ру. Говорит что система сама поставила обновление и после перезагрузки вот такая вот фигня Думаю врать не будет, еще троян заблокировал его Доктора Веба который тоже лицензионный...вот такая фигня

[hacker88]

проблему решили?

[yuranich]

проблему решили?

Еще нет после 18.00 пойду ломать, а что есть предложения

[hacker88]

предложения таковы... вчера на XP у друга тоже самое было... вообщем в папке C|documents as settings/имя полователя....... где то там лежим эта зараза в виде толи .exe толи простых файлов С именем (ggfhgrfdbd) вообщем можеи быть всякая абракадабра... удаляем эти файлы, грузим винду и помогло....

[yuranich]

hacker88 да что-то в этом роде Я седня вечером пробну, а потом выложу целый последовательный этап

[οlden]

ну, подобное зачастую вручную можно вылечить
когда CureIt не помогает

а вообще скажи дяде полковнику, что обновления тут не при чем, и чтобы не совал свою флешку куда ни попадя

народ! ну вакцинируйте же свои флешки, в конце-то концов!

[hacker88]

yuranich хорошо будем ждать =)

[οlden]

загружаемся в Secure Mode
запускаем CureIt с максимальным уровнем эвристики
после включаем в свойствах папок "Показывать системные файлы, показывать спрятанные файлы", проверяем нет ли на локальных дисках в корневом каталоге каких-нибудь EXE-файлов и autorun.inf. Если есть - удаляем к такой-то...
Затем ищем в папке Windows\System32\Drivers и  Windows\Fonts (WinNT\System32\Drivers и WinNT\Fonts) нет ли там EXE-файлов или *.BAT, *.CMD.  Удаляем если есть.
Чистим полностью папки c:\Document and Settings\<User>\Local Settings\TEMP и c:\Document and Settings\<User>\Local Settings\Temporary Internet Files
В папке Windows\System32 и Windows\ ищем новые файлы с расширением EXE, INF, CMD, BAT.  Особенно помеченные как спрятанные или системные да к тому же либо с абракадабрскими именами либо с обычными виндовскими типа SVCHOST, EXPLORER, NOTEPAD... Тут уж нужно смотреть, настоящие они либо подменные. Как правило у подменных нет в свойствах файла закладки Version.
Можно проверить эти файлы онлайн-сканерами крупных антивирусников (например Касперского).
В реестре чистим от подозрительных запусков у всех юзеров и в HKLM ветки software/Microsoft/Windows/CurrentVersion/Run [/RunOnce]

Это необходимый минимум.
Подобное же можно сделать запустившись с LiveCD с редактором удаленного реестра

[yuranich]

CureIt скачал новый возьму с собой, только он же будет сканить блин часа четыре его винт 250 Гиг, он меня раньше прибьет, я хочу выловить его зачистить, а потом он пусть сканит се до утра 

[οlden]

yuranich
В CureIt есть опция выбора ЧТО сканировать
Выберешь только папку Windows и "Documents and Settings" (в Висте там кажись еще Users, Profiles, но все они суть символические ссылки (шорткаты на папку) и показывают на одни и те же места, не помню точно кто на какой)

[yuranich]

οlden гут

[οlden]

yuranich
главное флешку его не совать никуда
п лучше под Safe Mode ее отформатить и вакцинировать

[Valera]

ближе к теме, господа.

[Alek$ey]

yuranich , Сапожник. да я долго не думая после нескольких неудачных попыток запустить винду,переустановил и все.
PS. Андрей спасибо за советы   

[yuranich]

Короче такой путь я нашел

1.у меня это гребаное окошко открывалось буквально через 5 секунд после загрузки винды - т.е. нужно очень быстро нажать ctrl-alt-del и отключить из процессов explorer.exe - все вирусня не подгружается и можно спокойно танцевать с бубном.

2. в окошке диспетчер задач нажимаем файл-новый процесс-msconfig-автозагрузка - и смотрим что у нас было в автозагрузке - там явно будет видно что из них вирус - мой назывался jch.exe и был в папке documents and settings/admin.
3. в том же окне msconfig во вкладке Общие ставим диагностическую загрузку - т.е. только основных процессов.
4. перезагружаемся - вирус не вылазит. идем в панель управления и в разделе Папки и файлы ставим возможность видеть скрытые файлы.
5. заходим в documents and settings/admin и чистим нахер всю дрянь вручную.
6. перегружаемся в обычном режиме а не диагностическом - и все ок!! наверняк еще антивиром надо пройтись.

или

Если появилось это сообщение и ничего не работает, а в безопасном режиме всё тоже самое, то делаем следующее:
1) Перезагружаем комп и жмём F8 пока не появится с писок с выбором действий.
2) Выбираем пунк "Загрузка безопасного режима с командной строкой"
3) набираем команду "regedit" и жмём Enter.
4) Открывается реестр. Дальше идём по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon. на Winlogon не 2 раза жмём мышью, а выделяем его с enter.
5) Дальше 2 пути. обращаем внимание на строку "Shell" и "Userinit".
У них окончание может быть разное. Тут вирус прописывается и меняет его не на тот что задан ОС, а на себя. От сюда у вас и не грузится explorer (рабочий стол), а грузится вирус со своим окном. И так к делу, у "Shell" окончание должно быть Explorer.exe, а у "Userinit" путь C:\WINDOWS\system32\userinit.exe,
Если путь другой, то его окончание и есть вирус.
Далее, закрываем Реестр.
6) набираем команду "explorer" и жмём Enter. появляется рабочий стол. Через поисковик находим тот фаил что был в окончании пути в реестре до изменения и убиваем его через Shift+delet.
7) Перезагружаемся в нормальном режиме

а также

Загрузился в safe mode c консолью, в реестре по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Userinit был модифицирован так:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Самой sdra64.exe на винте не было, убрал ссылку на неё, загрузился,
троян на месте.
Перезагрузился в обычном режиме, перед загрузкой окна с просьбой об СМС
открыл первое что было на десктопе. Вызвал окошко File -> Open и в нём
правой кнопкой на любом файле "Open with", выбрал Far.
В far'e есть плугин Process list, показывает запущенные процессы в
системе.
В самом же far'е начал убивать поочереди подозрительные командой
taskkill /IM process_nаmе.ехе /F
Оказалось запущены два процесса ctfmon.exe (http://support.microsoft.com/kb/282599)
Один из них и оказался трояном.
В реестре было две записи в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon с путём c:\windows\ctfmon.exe
<набор букв> с путём c:\documents and settings\user_name\<набор букв>.exe
Убил две эти записи в реестре.
Убил все *.exe файлы в d:\documents and settings\user_name\, они все
оказались hidden/read only
Убил c:\windows\ctfmon.exe, тоже был hidden/read only.
c:\windows\system32\ctfmon.exe трогать не надо, он системный.
Почистил темпы в c:\windows\temp &
c:\documents and settings\user_name\local settings\temp

ну и на худой конец

"Мне товарищь принёс ХР вчера, поймал 3 октября, заблокированная винда просит "SMS на номер 3649 с текстом 215477"."

Лечится так, заходишь в безопасный режим с поддержкой командной строки и находишь в папке %Systemroot%(обычно c:\windows\) файл ctfmon.exe с помощью Far или TotalComander. Удаляешь.
Проверяешь пути в реестре, следуя из выше написанных сообщений.
Удаляешь ВСЕ файлы с расширением EXE (и только) из папки Document and settings\"имя пользователя"

А в моем случае CureIt DrWeba не оставил ни каких шансов, в Безопасном режиме запустил, он вальнул его, почистил реестр и все.

[panbodya]

yuranich
хорошо, у меня ситуация такая:
через сейф моде не заходит - critycal error
диспетчер задач - отключён администратором
интернет експлорер - не пашет ваще (ещё раньше не пахал-убит вирусом) поетому вин+u не нажму чтобы вызвать инт експлорер, регистр весь облазил - ничего подобного не нашёл и папках тоже...
с диска заходил чтобы ред реестр и папки а gpedit не вызывается чтобы реестр розлочить хотя под диском он пашет а под виндой - нет

[Valera]

panbodya вроде как решили вопрос - умно поковырялись, ниче не получилось, переустановка системы.

[yuranich]

panbodya ну у тя такой же вирус и такое же окошко светится ну или еще какое нибуть, главное суть отправить СМС чтобы все стало на место???

Ибо это решение по этому вирусу....

Да кстати на картинке в первом посте вирус Trojan.Winlock 302 (это я так записал на всяк случай )