Автор Тема: на вашем компьютере обнаружена не лицензионная Windows отправьте СМС :)  (Прочитано 20429 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
Я думаю каждый попадался на такую удочку :D В тырнете куча отмычек и прочего  :)

Но такое вижу пока первый раз и в тырнете еще не нашел как с этим бороться



Все выглядит так как-будто действительно у вас не лицензионная Виндоуз Виста. Только в этом случая:

1. Я точно знаю что она лицензионная мне даже удалось перехитрить ее и проверить на всякий случай активацию виндоуз, все окей.  
2. Это ноут и на нем стоит его оригинальная виндоуз, что тоже было проверено :)
3. Ну и номер куда отправлять смс все тот же не измененный 3649 :D

Окошко то на время убрал, но все равно система работает писец как не стабильно. Никто не видел такого dntknw

P.S.

Все возможные отмычки проверил, вебер с его генератором этих кодов, как и он сам не помагает dntknw
Букву приклеил терь снова  yURANICH

Оффлайн Авэшкин

  • Член клуба
  • Видишь суслика? Нет? И я не вижу - а он ЕСТЬ!
  • Авто: Aveo T200
yuranich Попробуй отключи центр обеспечения безопасности
Здесь мог бы быть юзербар)
А тут я убиваю время http://www.ereality.ru/reg184541.html

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
yuranich Попробуй отключи центр обеспечения безопасности

К сожалению она выглядит как буд-то это все настоящее, но никакого отношения к центру обеспечения безопасности не имеет...да еще в реестре где-то прописывается так  что я даже не знаю как его там искать dntknw
Букву приклеил терь снова  yURANICH

Оффлайн Авэшкин

  • Член клуба
  • Видишь суслика? Нет? И я не вижу - а он ЕСТЬ!
  • Авто: Aveo T200
yuranich поробуй поставь AntiSpy
и ад-вер сканер  http://www.lavasoft.com/single/trialpay.php
Здесь мог бы быть юзербар)
А тут я убиваю время http://www.ereality.ru/reg184541.html

Оффлайн Сапожник

  • без сапог
  • Модераторы
    • Мой статус
    • О нас...
    • Aveo New Клуб
  • Авто: другое
  • Город: Киев
Alek$ey мне звонил с такой же самой траблой в воскресенье.
Но он, помоему, после неудачных попыток откатиться, взял и переустановил винду ???
Совесть теряют еще чаще чем кошелек, но переживают при этом куда меньше

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
Alek$ey мне звонил с такой же самой траблой в воскресенье.
Но он, помоему, после неудачных попыток откатиться, взял и переустановил винду ???

Угу я тоже подготовился заменить Висту на ХР, человек у кого такой трабл сейчас сохраняет файлы, если не найду вариант сохранить укатаю просто винт :) Хотя хочется решить эту проблему repa
Букву приклеил терь снова  yURANICH

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
yuranich поробуй поставь AntiSpy
и ад-вер сканер  http://www.lavasoft.com/single/trialpay.php

Думаешь он запустится, машина работает с перебоями, гы и шрифт переключить нельзя :D
Букву приклеил терь снова  yURANICH

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
Гы  :o

Данный вирус как и предполагалось  относится к разряду Trojan.Winlock repa (блокиратор :D дык правда не тот что на улицах)

Версия на которую нарвался дядя последняя вышла в октябре этого года :o Грубо говоря ей 6 дней (так по крайней мере написано) DrWeb еще не изучил ее и нету у него кода разблокировки тута http://news.drweb.com/show/?i=304&c=5, но вроде нашел инструкцию как его убить. Самое прикольное, он теперь хорошо прячется в реестре и в системных файлах, поэтому сразу его не нашел repa Хоть и отключил всплывающие окошко и запустил виндоус в нормальном режими, но вирус дестабилизирует работу системы. Короче буду вечером ломать :D
P.S. самое страшное этот вирус подхватил полковник милиции на служебном ноуте, где не допускается лазанья на сайты типа пупсик.ру или хакер.ру. Говорит что система сама поставила обновление и после перезагрузки вот такая вот фигня :o Думаю врать не будет, еще троян заблокировал его Доктора Веба который тоже лицензионный...вот такая фигня :o
Букву приклеил терь снова  yURANICH

Оффлайн hacker88

  • Пользователь

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
проблему решили?

Еще нет после 18.00 пойду ломать, а что есть предложения beer2
Букву приклеил терь снова  yURANICH

Оффлайн hacker88

  • Пользователь
предложения таковы... вчера на XP у друга тоже самое было... вообщем в папке C|documents as settings/имя полователя....... где то там лежим эта зараза в виде толи .exe толи простых файлов С именем (ggfhgrfdbd) вообщем можеи быть всякая абракадабра... удаляем эти файлы, грузим винду и помогло....

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
hacker88 да что-то в этом роде :) Я седня вечером пробну, а потом выложу целый последовательный этап beer2
Букву приклеил терь снова  yURANICH

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
ну, подобное зачастую вручную можно вылечить
когда CureIt не помогает

а вообще скажи дяде полковнику, что обновления тут не при чем, и чтобы не совал свою флешку куда ни попадя

народ! ну вакцинируйте же свои флешки, в конце-то концов!
Таких як я, поміж таких як я, ще пошукати!

Оффлайн hacker88

  • Пользователь
yuranich хорошо будем ждать =)

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
загружаемся в Secure Mode
запускаем CureIt с максимальным уровнем эвристики
после включаем в свойствах папок "Показывать системные файлы, показывать спрятанные файлы", проверяем нет ли на локальных дисках в корневом каталоге каких-нибудь EXE-файлов и autorun.inf. Если есть - удаляем к такой-то...
Затем ищем в папке Windows\System32\Drivers и  Windows\Fonts (WinNT\System32\Drivers и WinNT\Fonts) нет ли там EXE-файлов или *.BAT, *.CMD.  Удаляем если есть.
Чистим полностью папки c:\Document and Settings\<User>\Local Settings\TEMP и c:\Document and Settings\<User>\Local Settings\Temporary Internet Files
В папке Windows\System32 и Windows\ ищем новые файлы с расширением EXE, INF, CMD, BAT.  Особенно помеченные как спрятанные или системные да к тому же либо с абракадабрскими именами либо с обычными виндовскими типа SVCHOST, EXPLORER, NOTEPAD... Тут уж нужно смотреть, настоящие они либо подменные. Как правило у подменных нет в свойствах файла закладки Version.
Можно проверить эти файлы онлайн-сканерами крупных антивирусников (например Касперского).
В реестре чистим от подозрительных запусков у всех юзеров и в HKLM ветки software/Microsoft/Windows/CurrentVersion/Run [/RunOnce]

Это необходимый минимум.
Подобное же можно сделать запустившись с LiveCD с редактором удаленного реестра
Таких як я, поміж таких як я, ще пошукати!

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
CureIt скачал новый возьму с собой, только он же будет сканить блин часа четыре его винт 250 Гиг, он меня раньше прибьет, я хочу выловить его зачистить, а потом он пусть сканит се до утра  :D
Букву приклеил терь снова  yURANICH

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
yuranich
В CureIt есть опция выбора ЧТО сканировать
Выберешь только папку Windows и "Documents and Settings" (в Висте там кажись еще Users, Profiles, но все они суть символические ссылки (шорткаты на папку) и показывают на одни и те же места, не помню точно кто на какой)
Таких як я, поміж таких як я, ще пошукати!

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
Букву приклеил терь снова  yURANICH

Оффлайн οlden

  • Старожил
  • ЛЕНИН. Ленин муж.
  • Авто: другое
  • Город: Kyiv
yuranich
главное флешку его не совать никуда
п лучше под Safe Mode ее отформатить и вакцинировать
Таких як я, поміж таких як я, ще пошукати!

Оффлайн Valera

  • Модератор
    • http://kartel.kiev.ua
  • Город: Киев
ближе к теме, господа.
ночью за старой уборной, алюминиевой ложкой гремя, девочка в платьице черном, чавкая, ела коня

Оффлайн Alek$ey

  • Старожил
  • Алексей г.Бровары-рыжий хетч Т-200 1.5
  • Авто: Aveo T200
  • Город: Бровары
yuranich , Сапожник. да я долго не думая после нескольких неудачных попыток запустить винду,переустановил и все.
PS. Андрей спасибо за советы   beer2
г.Бровары,терракотовый xетчбек Т-200 1.5

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
Короче такой путь я нашел

Цитировать (выделенное)
1.у меня это гребаное окошко открывалось буквально через 5 секунд после загрузки винды - т.е. нужно очень быстро нажать ctrl-alt-del и отключить из процессов explorer.exe - все вирусня не подгружается и можно спокойно танцевать с бубном.

2. в окошке диспетчер задач нажимаем файл-новый процесс-msconfig-автозагрузка - и смотрим что у нас было в автозагрузке - там явно будет видно что из них вирус - мой назывался jch.exe и был в папке documents and settings/admin.
3. в том же окне msconfig во вкладке Общие ставим диагностическую загрузку - т.е. только основных процессов.
4. перезагружаемся - вирус не вылазит. идем в панель управления и в разделе Папки и файлы ставим возможность видеть скрытые файлы.
5. заходим в documents and settings/admin и чистим нахер всю дрянь вручную.
6. перегружаемся в обычном режиме а не диагностическом - и все ок!! наверняк еще антивиром надо пройтись.

или

Цитировать (выделенное)
Если появилось это сообщение и ничего не работает, а в безопасном режиме всё тоже самое, то делаем следующее:
1) Перезагружаем комп и жмём F8 пока не появится с писок с выбором действий.
2) Выбираем пунк "Загрузка безопасного режима с командной строкой"
3) набираем команду "regedit" и жмём Enter.
4) Открывается реестр. Дальше идём по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon. на Winlogon не 2 раза жмём мышью, а выделяем его с enter.
5) Дальше 2 пути. обращаем внимание на строку "Shell" и "Userinit".
У них окончание может быть разное. Тут вирус прописывается и меняет его не на тот что задан ОС, а на себя. От сюда у вас и не грузится explorer (рабочий стол), а грузится вирус со своим окном. И так к делу, у "Shell" окончание должно быть Explorer.exe, а у "Userinit" путь C:\WINDOWS\system32\userinit.exe,
Если путь другой, то его окончание и есть вирус.
Далее, закрываем Реестр.
6) набираем команду "explorer" и жмём Enter. появляется рабочий стол. Через поисковик находим тот фаил что был в окончании пути в реестре до изменения и убиваем его через Shift+delet.
7) Перезагружаемся в нормальном режиме

а также

Цитировать (выделенное)
Загрузился в safe mode c консолью, в реестре по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Userinit был модифицирован так:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Самой sdra64.exe на винте не было, убрал ссылку на неё, загрузился,
троян на месте.
Перезагрузился в обычном режиме, перед загрузкой окна с просьбой об СМС
открыл первое что было на десктопе. Вызвал окошко File -> Open и в нём
правой кнопкой на любом файле "Open with", выбрал Far.
В far'e есть плугин Process list, показывает запущенные процессы в
системе.
В самом же far'е начал убивать поочереди подозрительные командой
taskkill /IM process_nаmе.ехе /F
Оказалось запущены два процесса ctfmon.exe (http://support.microsoft.com/kb/282599)
Один из них и оказался трояном.
В реестре было две записи в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon с путём c:\windows\ctfmon.exe
<набор букв> с путём c:\documents and settings\user_name\<набор букв>.exe
Убил две эти записи в реестре.
Убил все *.exe файлы в d:\documents and settings\user_name\, они все
оказались hidden/read only
Убил c:\windows\ctfmon.exe, тоже был hidden/read only.
c:\windows\system32\ctfmon.exe трогать не надо, он системный.
Почистил темпы в c:\windows\temp &
c:\documents and settings\user_name\local settings\temp

ну и на худой конец
Цитировать (выделенное)
"Мне товарищь принёс ХР вчера, поймал 3 октября, заблокированная винда просит "SMS на номер 3649 с текстом 215477"."

Лечится так, заходишь в безопасный режим с поддержкой командной строки и находишь в папке %Systemroot%(обычно c:\windows\) файл ctfmon.exe с помощью Far или TotalComander. Удаляешь.
Проверяешь пути в реестре, следуя из выше написанных сообщений.
Удаляешь ВСЕ файлы с расширением EXE (и только) из папки Document and settings\"имя пользователя"

А в моем случае CureIt DrWeba не оставил ни каких шансов, в Безопасном режиме запустил, он вальнул его, почистил реестр и все. :D
Букву приклеил терь снова  yURANICH

Оффлайн panbodya

  • Неизвестный герой
yuranich
хорошо, у меня ситуация такая:
через сейф моде не заходит - critycal error
диспетчер задач - отключён администратором
интернет експлорер - не пашет ваще (ещё раньше не пахал-убит вирусом) поетому вин+u не нажму чтобы вызвать инт експлорер, регистр весь облазил - ничего подобного не нашёл и папках тоже...
с диска заходил чтобы ред реестр и папки а gpedit не вызывается чтобы реестр розлочить хотя под диском он пашет а под виндой - нет
« Последнее редактирование: 07 October 2009, 18:01:42 от panbodya »

Оффлайн Valera

  • Модератор
    • http://kartel.kiev.ua
  • Город: Киев
panbodya вроде как решили вопрос - умно поковырялись, ниче не получилось, переустановка системы.
ночью за старой уборной, алюминиевой ложкой гремя, девочка в платьице черном, чавкая, ела коня

Оффлайн yuranich

  • Член клуба
  • пушыстахвостый пучеглаз,а попросту говоря-лемур
    • еще один туристо
  • Авто: другое
  • Город: Киев
panbodya ну у тя такой же вирус и такое же окошко светится ну или еще какое нибуть, главное суть отправить СМС чтобы все стало на место??? dntknw

Ибо это решение по этому вирусу....

Да кстати на картинке в первом посте вирус Trojan.Winlock 302 :o (это я так записал на всяк случай :D)
Букву приклеил терь снова  yURANICH


!  Внимание! Размещение заведомо ложной информации (п.4.2(й) правил форума) будет наказываться в 2х кратном размере.