PDA

Просмотр полной версии : Хотите активировать WinXP по sms-ке?



Цибизов Сергей
09.12.2008, 12:32
До чего дошел прогресс!
До невиданных чудес!..

Коллега по работе зовет, говорит "посмотри, что тут такое?"
Подхожу и вижу следующее:
[attachment=17729:win_sms_1.jpg]

Думаю "нифига себе, мелкософт борзеет, лицензионную винду разводит на активацию!"
Читаю...
Фигею...
:blink:
Предприимчивые вирусописатели предлагают активировать винду в течении 48 часов путем отправки sms на короткий номер!!!
А чо?
Нормально так, надо будет дяде Билли присоветовать: закинул соточку ему на телефон, месяц винду юзаешь!
:lol:

Антивирь (Avast) ничего путного не выловил, да и не особо хотелось, т.к. в компе была уже куча косяков, так что подняли систему с бэкапа.

Но сам чужеродный процесс удалось выявить, вот он в диспетчере:
[attachment=17730:win_sms_2.jpg]
кст, во второй раз он звался по другому, но как-то похоже...

ЗЫ если боян - сильно не ругайте...

Dmlter
09.12.2008, 12:59
Свежо :)

Nicephorus
09.12.2008, 23:13
плохой вкус у писателей... черный фон итп... системную тему то применить не смогли...

Tyman
09.12.2008, 23:20
Бугага)) Где такое нашли? Хотю :lol:

Dusty
09.12.2008, 23:30
Какая прелесть :)
Предыдущая сходная тема маскировалась под систему удаления вредоносных программ от Мелкософт и менеджер предупреждения о проблемах безопасности. Но там при нажатии кнопок просто начиналась закачка свежей порции вирусни. А тут денег хотят... Красавцы!

Dmlter
10.12.2008, 10:58
Интересно, эта хрень под вистой тоже предлагает активировать ХР? :)

Чингачгук
10.12.2008, 15:59
а под win2k? :lol:

wonzen
10.12.2008, 16:20
А чисто из любви к искуству, хорошо было б забацать такую хрень и для линуха)

amsterdam
10.12.2008, 16:25
клевая штука ))

Цибизов Сергей
10.12.2008, 18:31
эх, не надо было эту штуку прибивать - выслал бы всем желающим.
:)

Бивис
10.12.2008, 23:31
Уверен я на 90 процентов, что такая штука пришла пользователям IE7!
Было ещё много фишек с рекламой порнухи(когда порнуха на пол экрана), типа отошли СМС и будет тебе счастье!
Под Мозиллу такие вещи пока не сделали!
Антивирусы такую фигню не ловят. Надо другие проги ставить. Противошпионские.

Dusty
11.12.2008, 13:25
<div class='quotetop'>Цитата(Dmlter @ 10.12.2008 09:58) <{POST_SNAPBACK}> (index.php?act=findpost&pid=653556)</div>
Интересно, эта хрень под вистой тоже предлагает активировать ХР? :)[/b]
Тут на Баше было:
Какая-то всплывающая страничка делал вид, что сканила винт в поисках вирусов. Нашла чего-то в папке Виндовс\Систем32 и еще в Документс энд Сеттингс. Сижу, ищу, где в Линухе эти папочки...

igore
11.12.2008, 18:15
<div class='quotetop'>Цитата(Dusty @ 11.12.2008 12:25) <{POST_SNAPBACK}> (index.php?act=findpost&pid=654308)</div>
Тут на Баше было:
Какая-то всплывающая страничка делал вид, что сканила винт в поисках вирусов. Нашла чего-то в папке Виндовс\Систем32 и еще в Документс энд Сеттингс. Сижу, ищу, где в Линухе эти папочки...[/b]
Вот это, гуд! :D

Insane
12.12.2008, 22:43
Горе-вирусописателей выдает безграмотность. :D
А судя по внешнему виду формы, писали школьники на быдлобэйсике или чем-то подобном.

Svetka085
21.04.2009, 21:05
Ой, у меня тоже самое случилось... Но так как помоч мне было не кому... я просто снесла винду :)
Но, в отличие от вышепреведенного случая я вообще ничего сделать не могла... Только Вкл/Выкл.

Лес-Ничий
21.04.2009, 21:19
Н-да... не баян, точно.
Свежий прикольчик )))
Любопытно - сколько сервисов рухнет, когда разберутся - кому из СМС-операторов принадлежит номер отправки СМСок и накроют это дело )).

Eny
21.04.2009, 22:13
<div class='quotetop'>Цитата(Лес-Ничий @ 21.04.2009 20:19) <{POST_SNAPBACK}> (index.php?act=findpost&pid=771014)</div>
Н-да... не баян, точно.
Свежий прикольчик )))
Любопытно - сколько сервисов рухнет, когда разберутся - кому из СМС-операторов принадлежит номер отправки СМСок и накроют это дело )).[/b]

баян причем древний!
нисколько сервисов не рухнет, никому этим заниматься нах не надо :)

Лес-Ничий
21.04.2009, 22:17
<div class='quotetop'>Цитата(Eny @ 21.04.2009 21:13) <{POST_SNAPBACK}> (index.php?act=findpost&pid=771095)</div>
баян причем древний!
нисколько сервисов не рухнет, никому этим заниматься нах не надо :)[/b]
Как скажешь )))
Оператор вообще не в России может быть, кстати )) Тогда точно ничего не рухнет ).

igore
21.04.2009, 23:46
ВНИМАНИЕ! Все разновидности зверьков предлагающих активировать Windows по SMS легко удаляет бесплатный закрытый сканер от Dr.Web CureIt! (не нуждается в установке) Скачать можно тут (http://www.freedrweb.com/cureit/).
Как удалить их ручками не буду объяснять - те кто способен это сделать и так знают.

Цибизов Сергей
24.04.2009, 19:19
igore, спасибо за ссылочку!
Наши блондинки не перестают меня радовать - без работы точно не останусь.
:)

Добавлено позже (24/04/2009 18:06):
Хм, а новая гадость оказалась не так проста...
Если первая тупо висела неубираемым окошком в уже загруженной Винде, то новая не давала загружать Винду.
Т.е. появляется надпись "Приветствие", а потом вот это вот на весь экран:
[attachment=21766:DSC00621.jpg]
Ни на что не реагирует.
В безопасном режиме - тоже самое.

Пришлось снять жесткий диск, поставить его слейвом на помойно-тестовую машину (систему которой не жалко, если что) и прогнать антивирусом.
Не знаю, как бы справился Аваст, но "Скорая помощь" Dr.Web CureIt! от igore быстренько его зафиксировала и утилизировала.
Еще раз спасибо!

Жила конкретно эта какость тут: C:\Documents and Settings\%USER%\Local Settings\Temp
Называется она Trojan.Winlock.55

PS Блондинки чуть не послали смску...

Добавлено позже (24/04/2009 18:19):
Немного о номере 3649:

Это, оказывается, такая услуга, как СМС-биллинг: http://nwbill.ru/main/tariffs/RU/3649/.
Как всегда, хотели сделать что-то хорошее, но мошенники нашли способ всех обмануть...

http://www.topbot.ru/post90085433/ - описание другой "услуги" данного номера.

MrXandr
24.04.2009, 23:11
Поймал такую же шнягу на прошлой неделе. :) Так и не нашел где она сидит. Вычеркнул её из реестра и больше не заморачивался.

igore
25.04.2009, 00:17
<div class='quotetop'>Цитата</div>
PS Блондинки чуть не послали смску...[/b]

Мои, мужеского пола (!) послали.

p4nf
25.04.2009, 00:21
Подруга тоже поймала этот вирус. Вылечили диском аварийного восстановления Антивируса Касперского.
Она уже готова была отправлять смс, наивная :)

igore
25.04.2009, 01:22
УДАЛЯЕМ ПОРНО-ИНФОРМЕР из Internet Explorer!!!

1. Запускаем IE
2. Заходим Сервис -> Свойства обозревателя -> Программы

http://radikal.ru/F/s58.radikal.ru/i162/0904/8e/b1438beddd3a.jpg

http://radikal.ru/F/s47.radikal.ru/i118/0904/12/e6a1d999ca67.jpg

3. Запоминаем/записываем как зверёк называется. Он может быть не один!
4. Перезапускаем IE. Порнобанер исчез, но нам надо найти зверя и убить.
Он может сидеть в system32 или в папке профиля пользователя или где угодно ещё, поэтому мы воспользуемся Поиском.
5. Запускаем Поиск. Тамже не забываем зайти в "Дополнительно" и поставить галочки на "Поиск в системных папках", "Поиск в скрытых файлах и папках" и "Просмотреть вложенные папки".
6. Набираем/вставляем в строку поиска имя отключенного нами зверька, например Phnlib.dll и ищем. Везде где найдём - удаляем. Всё.

FAQ приведён для Windows XP и 6-ой версии IE.
Писал по памяти, сорри если чего забыл.

Бивис
25.04.2009, 15:27
Кстати такие вирусы с баннерами заточены только под IE!!!
Ещё нигде в инете не видел, что-бы другие браузеры такую хрень ловили!

Shultz
25.04.2009, 15:33
Ага, тут недавно одна дэвушка принесла флешку с фотками, там было 3 трояна на автозапуск.

Цибизов Сергей
25.04.2009, 23:39
igore, супер!
В очередной раз спасибо от лица всех чайнегоф!


<div class='quotetop'>Цитата(igore @ 24.04.2009 23:17) <{POST_SNAPBACK}> (index.php?act=findpost&pid=775761)</div>
Мои, мужеского пола (!) послали.[/b]и как, код прислали?
:)

igore
25.04.2009, 23:59
<div class='quotetop'>Цитата(Цибизов Сергей @ 25.04.2009 22:39) <{POST_SNAPBACK}> (index.php?act=findpost&pid=776594)</div>
и как, код прислали?
:)[/b]
Незачто.
Как ни странно, нет. :)

Чингачгук
27.04.2009, 20:20
<div class='quotetop'>Цитата(igore @ 25.04.2009 22:59) <{POST_SNAPBACK}> (index.php?act=findpost&pid=776624)</div>
Незачто.
Как ни странно, нет. :)[/b]
пусть теперь подадут в суд на обладателей данного номера :)

igore
27.04.2009, 20:44
<div class='quotetop'>Цитата(Чингачгук @ 27.04.2009 19:20) <{POST_SNAPBACK}> (index.php?act=findpost&pid=778378)</div>
пусть теперь подадут в суд на обладателей данного номера :)[/b]
Разборки по этому номеру уже закончены. Компания МТС отвечает, что данный номер был в аренде и они (МТС) не несут ответственности за мошеннические действия арендаторов. Естественно, что обнаглеть до такой степени оператор сотовой связи мог только в нашей дикой стране. В любой цивилизованной, он был бы мгновенно схвачен и <strike>отху</strike> завален судебными исками по самое нехачу.

Shultz
27.04.2009, 20:58
Очень умны пользователи веломании, не просто их провести, хоть и живут они в нецивилизованной стране.

igore
27.04.2009, 21:07
shultz
Это ты так подколол, типа да?

Basilisk
28.04.2009, 23:16
А кто-нибудь может сказать, как та хрень с SMS, что до закрузки винды появляется, распространяется? Как сетевой червь или пока сам не скачаешь, ничего не будет?

Цибизов Сергей
29.04.2009, 00:00
Basilisk, они же не признаются...
- Мы ничего не делали, оно само... Раз - и всё...
:)

SL!M
29.04.2009, 11:19
тем временем доктор веб написали крек для этого вируса )))
http://news.drweb.com/show/?i=304&c=5

Basilisk
29.04.2009, 11:28
Цибизов Сергей, ясно... вот и нашим админам примерно то же говорят :)

SL!M, о, круто, сегодня обрадую админов, а то они две винды уже запороли при попытки вылечить, пришлось переустанавливать.

Цибизов Сергей
29.04.2009, 11:32
гы-гы...
судя по всему, именно Dr.Web и написал этот троян...
:D


SL!M, за кряк - спасибо!

igore
29.04.2009, 13:28
<div class='quotetop'>Цитата(Цибизов Сергей @ 29.04.2009 10:32) <{POST_SNAPBACK}> (index.php?act=findpost&pid=779918)</div>
гы-гы...
судя по всему, именно Dr.Web и написал этот троян...[/b]

Очень на это похоже, очень )) :)

SL!M
29.04.2009, 13:54
лечить его тоже не проблема
1) Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»
В нашем случае вирь дописал в конце данной строчки свой запуск.

2) Ишем файл, прописанный в данной строчке и прибиваем его

3) Сканируем комп хорошим антивирусом.

4) Радуемся