В рунеті розбушувалася мерзосвітна тварюка під назвою Trojan.Winlock (в класифікації Dr.Web).
Ця звірюка підкрадається непомітно (не ловиться багатьма антивірусами навіть з оновленими базами) і нападає на комп'ютер, в'яже його по руках і ногах (блокує), і починає шантажувати власника написом типу цієї:
В результаті перевірки було встановлено, що ви використовуєте неліцензійну версію операційної системи Windows. З метою протидії незаконному використанню програмного забезпечення Корпорація Microsoft ввела онлайнове ліцензування своїх продуктів.
Для отримання ліцензії вам потрібно відправити СМС повідомлення на номер ХХХХ з кодом ХХХХХХ. У відповідь ви отримаєте номер ліцензії, який потрібно ввести в поле нижче для розблокування вашої копії Windows.
Перевстановлення системи ні до чого не приведе.
За останні 4 дні я сам два рази (!) Зловив цю капость на ноутбуці, причому під час звичайного веб-серфінгу по сайтах, зовні не викликає ніяких підозр.
Почав вивчати цю теми, і з'ясувалося наступне:
1) У даного вірусу є десятки модифікацій, і його продовжують постійно вдосконалювати.
3) Деякі старі версії вірусу самознищується через пару годин. Мої екземпляри робити харакірі не збиралися.
4) У деяких постраждалих комп'ютер блокувався навіть при спробі входу в безпечному режимі.
А тепер інформація про те, як я лікував ноут.
У перший раз довелося проробити хитрі маніпуляції з реєстром, що зайняло (разом з пошуком інформації, установкою необхідних утиліт і т.д.) години три.
Вдруге випробував більш простий і надійний спосіб під назвою "Dr.Web LiveDisk". Це безкоштовний антивірус, який запускається з CD або DVD диска під операційною системою Linux. Він запускається і працює НЕЗАЛЕЖНО від операційної системи, встановленої на Вашому комп'ютері, навіть якщо вона пошкоджена або заблокована, як було в моєму випадку.
Далі все просто: після завантаження там є графічна оболонка, з якої запускається антивірус Dr.Web. Він хвилин 20 пошарудів в папці C: / Windows на комп'ютері, знайшов і з моєї згоди швиденько прибив файл вірусу. Далі Windows завантажилася вже без всякої блокування, після чого мені залишалося тільки вичистити з реєстру всі згадки цього файлу, щоб і духу його поганого не було в комп'ютері!
Звідти потрібно завантажити ISO-образ, записати його на будь-який CD або DVD диск і вже з нього завантажуватися на заразити комп'ютер, не забувши перед цим виставити в BIOS'е завантаження з оптичного приводу. Також можна записати програму на флешку і завантажитися з неї, але для цього треба завантажити версію антивірус за іншим посиланням на зазначеній сторінці.
Не йдіть на поводу у комп'ютерних терористів, не надсилайте ніяких смс-ок, тільки гроші втратите і все. Цю заразу можна і потрібно викорчовувати безкоштовно.
Ну а щоб таких ситуацій взагалі не виникало, свій комп'ютер треба перетворити на справжню електронну фортеця заздалегідь, бо коли смажений півень опускає свій дзьоб, вже буває пізно. Якщо Ви це розумієте, рекомендую сходити сюди (вкрай рекомендую! Спати точно станете спокійніше).
Шановний Костянтин, велике Вам спасибі за інформацію.Да мені зо два тижні тому прийшов такий повідомлення і я не знав що делать.Просто я вимкнув старий ПК і все, а тут Вас сам бог послал.Ви зберегли мої гроші і нерви.Большое Вам спасибі за Вашу турботу про нас.
З повагою, Віталій.
У мене теж завелася ця "гидота". А може вона зашкодити програму? Я не можу працювати в Word, він просто недоступний. Що робити?
Мар'ян Шапель пише:
Привіт Костянтин! Спасибі за інформацію. Дійсно дуже своєчасна і корисна. Але ось хочу задати питання. Справи в тому, що перший раз я перепробував всі варіанти, і нічого не вийшло. Рішення виявилося дуже простим. У рядок запитуваної коду ввёд якусь абракадабру з цифр, і ця гидота зникла. В інших випадках, н замислюючись вводив туди що потрапило з цифр і все зникало. Може бути так простіше? Або це випадковий збіг?
Роман Танненберг пише:
Спасибі, Костянтин. Упевнений, ваші посилання допоможуть, Сам ще не зустрічав (на щастя) цього чуда - але сканував недавно систему і знайшов 6 коней, 4 хробака ...... .Счас мій ноут перешивають на Сімку і нові антивіруси залівают..а вашу тінформацію прийму до відома.
Ще раз дякую!
Дякуємо. а я коли не знала про це. відправила смску і замість 37 рублів списали в районі 350 рублів. але! код прислали! і цей код підійшов!
> Обчислити сайт цього господаря за номером і цифрі для відправки - справа не хитра.
Мені віруси пропонували відправити смс на номер 3649.
> У мене теж завелася ця "гидота". А може вона зашкодити програму?
Я про таке не чув.
> Рішення виявилося дуже простим. У рядок запитуваної коду ввёд якусь абракадабру з цифр, і ця гидота зникла.
Я Новомосковскл, що такі варіанти проходять. Але у себе скільки не вводив довільні, а також конкретні коди, наведені на різних сайтах, це не приносило ефекту, блокування не знімалася. Недарма у вірусу десятки модифікацій, і кожна з них має свій алгоритм.
> Подивіться рейтинги антивірусних програм-робіть висновки, вирішуйте самі.
Друзі, ми всі дорослі люди, і повинні розуміти звідки беруться рейтинги і на основі чого складаються. Крім цього є ще технічний аспект, який позбавляє тестування антивірусів всякого сенсу. Він полягає в тому, що кожен комп'ютер унікальний, він (точніше, його програмне середовище) має незліченну кількість особливостей. Тому то, як себе веде якийсь антивірус на одному комп'ютері, нічого не говорить про те, як він буде себе вести на будь-якому іншому. З цієї причини суперечки навколо ефективності антивірусів стільки ж безглузді, як і незнищенний: це абсолютно суб'єктивне заняття, засноване на принципі «а мені подобається ...».
> «Dr.Web LiveCD» запускається тільки під ОС Лінукс? Для Віндоуз ця версія антівірусника не підходить?
Він запускається під Linux з компакт-диска НЕЗАЛЕЖНО ВІД ТОГО, ЯКА ОС ВСТАНОВЛЕНО НА ВАШОМУ ДОМУ. Linux вантажиться з CD, запуск Вашої ОС при завантаженні з Dr.Web LiveCD взагалі не відбувається.
> Я практично нічого не зрозуміла з лікування компа
Або «Впевнений користувач ПК» Максима Негодова:
> Хотілося б запитати це лікування відноситься тільки до ліцензійної системі?
Вірус, звичайно, ніякої перевірки на ліцензійність Windows не робить (навіщо йому це?). У мене, наприклад, система ліцензійна, але це, як бачите, це ніяк не вплинуло на активність вірусу. А спосіб лікування працює як на ліцензійних версіях, так і немає.
Шановний, Костянтин, Здравствуйте! Дякую за інформацію, обов'язково скористаюся її. У мене не ХР, а Віста, Дочка ходить на комп'ютерні курси вчиться, там їм говорили, що Віста більш надійна систма для боротьби з вірусами. Так у нас останнім часом комп ні з того НІС чого починає перезавантажуватися і пише що рішення проблем не знайдено. У чому може бути справа? І ще коли почнеш лікувати комп, то жестяк форматується? Вся інфа втрачається? УСПІХІВ! УСПІХІВ в Ваших справах. Єлизавета.
Ловив цю заразу три рази. У перший раз просто перевів годинник на компі на 12 год вперед - допомогло! По вдруге набрав всілякі дурниці в поле коду - допомогло! Ну а в третій влип конкретно. Червоний квадрат, з мерзенним черепом по середині, закривав майже весь монітор, залишаючи приблизно по 1 см. З країв. Видно, що комп працює, щось робить, але що ....
Що вводити? Що пишеш, на що натискаєш, ні чого не видно. Перепробував безліч варіантів. Пройшовся по безлічі форумів. Що тільки не робив. У підсумку довелося переустановити систему.
Як мені здається, в зтом випадку і Dr.Web не допоможе. Т.к екран не помітний з самої завантаження, а коли на ньому ні чого не видно ... ..
Костянтин, спасибі. Поки не пролізла тварюка, але краще бути готовим.
Костянтин, велике спасибі за Dr.Web.Но у мене проблема.Скачал, записав на CD. При завантаженні з'явилося відоме вікно, але програма не завантажили. Тільки з'явилася ось така інформація. Я її спробую написати:
This kernel requires an i686 CPU, but only detected an i586 CPU.
Unable to boot - please use a kernel appropriate for your CPU.
- (далі блимає рисочка і все клавіші заблоковані).
У мене комп AMD-K6 (tm) 3D processor 533МГц 504 МБ ОЗУ. ОС ХР SP3.
Підкажіть, як бути. Допоможіть чайніку.Заранее дякую.
Вітаю, Костянтин.
Повністю згоден, що вибір антивірусної програми - справа особистого смаку, а не чийогось рейтингу. Скоро два роки, як користуюся DrWeb'ом з щоденним оновленням баз. При щоденному перегляду сайтів по 3-4 години серйозних проблем не було жодного разу. Додам тільки, що на офсайте ДрВеба завжди можна скачати свіжу версію безкоштовної утиліти CureIt. яка суть той же DrWeb, тільки запускається і працює з-під Windows без інсталяції, тому не конфліктує з будь-якими другии встановленими на компі антівірусника.
А ще схожі здирницькі повідомлення по кілька штук в день приходять по ICQ, тільки там вимагають гроші за перрегістрацію номера.
> This kernel requires an i686 CPU, but only detected an i586 CPU.
Значить ця програма не може працювати на даному процесорі, їй необхідний більш сучасний. Спробуйте інші програми, наприклад, вже згадуваний Spyware Doctor.
Я в перший раз вичищав його теж видаленням файлів і правкою реєстру. Але коли він вилазив знову і знову, я зрозумів, що чогось в реєстрі недоочіщаю, тому скористався програмою Spayware Doctor, яка найбільшою мірою і допомогла мені проти цього вірусу. Рекомендую Вам теж їй скористатися.
На здоров'я :) Тільки майте на увазі, що цей вірус постійно вдосконалюється і, мабуть, не до всіх його модифікацій описані методи будуть ефективні.
Ще недавно чув, що він вміє залазити в область оперативної пам'яті, яка зберігає системний час і харчується батарейкою, встановленої на материнській платі (тобто харчування її ніколи не переривається). Тому, нібито, якщо витягнути на пару хвилин батарейку, після чого пролікувати комп будь-якої антітроянскую утилітою і антивірусом, то вірус втратить здатність самовідновлюватися. У мене не було можливості перевірити цю версію, так що якщо хто проведе такий експеримент, відпишіться тут, будь ласка.
Привіт всім! Зловив-теж-вийшов в безпечний режим -Перетягнути все потрібне в диск Д-віддалився із зони радиовидимости інтернету-зробив ранню точку відновлення-он відновився-УРА! Завантажив нову версію НОРТОН скьюріті-правда багато програм довелося потім заново встановлювати він пошкодив їх віддалилося десь 50 вірусів які АВАСТ прогавив-й бачите я зараз з Вами-но на всякий випадок скачав за порадою старшого колеги Доктора Веба!
Костянтин! Спасибі велике за інформацію. До речі, цей вірус можна прибрати з системи вручну. Що я і зробив. Займає 20 хвилин. І без DrWeb.
Зловив днями подібну заразу, через дурість свою відправив смс, і, на відміну від описаної ситуації, отримав у відповідь код розблокування (13616 якщо кому знадобиться). Комп оживав, але тільки на 2-5 хвилин, після чого знову вимагав ввести код, підходив той же, але на нерви діяло - в неті було неможливо працювати. Касперський нічого підозрілого не знаходив, тому довелося заново вінду, начебто допомогло.
Дуже здивований і радий, що існує така взаімопомошь в мережі, де останнім
час все і хакери, і борці з ними переслідують одну мету - нажитися на користувачах.
Спасибі всім хто сдесь є і ОСОБЛИВО Костянтину!
Та ж ситуація сталася зі мною недавно. Диск розділений на С і Д. Основна винда на С. Поставив нову вісь на Д і перевірив Касперського - багато вірусів знайшов ... і та вісь заробила (разблокіровлась), код шукати в неті думаю не завжди допомагає, тому не навіщо витрачати час. Форматувати диск або переставити вісь не бажано було - на робочому столі потрібні документи були. А на рахунок злому осі і витягування це малваре, я поки слабенький ...
Тут ви можете поскаржитися на спам з проханням відправити СМС.
Повідомлення на короткі номери коштують до 300 рублів.
Не відправляйте СМС на незнайомі номери!
Щоб включити завантаження з сідіроми, потрібно зайти в BIOS (керуючу програму комп'ютера) і виставити там послідовність завантаження, з яких пристроїв вона буде відбуватися:
1. Спочатку з CD-ROM.
2. Потім - з жорсткого диска.
Така суть, конкретику знайдете через пошук.