Тэг ‘смс’

Vkontakte и Odnoklassniki просят отправить SMS

Странная ситуация: одновременно два популярных сайта - Одноклассники.ру и Вконтакте.РУ стали требовать отправку СМС на короткий номер для активации аккаунта (110521469 на номер 6681). Все как и положено - с предупреждением никому, никогда и нигде не сообщать свой пароль. Однако, не “без задоринки” - у одноклассников нет иконки (в строке браузера), в контакте выдает ошибку 404 при попытке зайти на страницы вида http://vkontakte.ru/idxxxxxxx . Естественно, что с другого компьютера всё открывается - никаких отправок СМС.

Вконтакте требует отправить СМС для активации аккаунта

Что делать, если вконтакте просит отправить СМС - читать дальше

Опубликовано Сентябрь 18, 2010 | автор: levik  |  Комментарии (7) »

Порно информер требует отправить SMS с кодом 1011424 на номер 5121

Очередной порно информер, требующий для разблокировки Windows отправить SMS с кодом 1011424 на номер 5121. Эх, картинки нету… :(

Сделан довольно оригинально - внешне напоминает Internet Explorer с открытым сайтом .com. Однако,  если обратить внимание на стиль окон, видно, что это не совсем IE от Windows (да и с версей IE не ладится - значок от ie 6, а выглядит “под восьмерку”). И надпись - мол, мы не блокируем программы, мы не вирус :) Хотя, розовый стиль и легко одетые женщины уже порядком надоели…

Что ж… идем на сайт DrWeb и получаем код “1238396875″ (DrWeb позволяет отправлять бесплатные SMS на короткие номера???) . Конечно, вирус этот код не удалит, однако первое время работать можно будет.

Ручными поисками заниматься не стал - прогнал компьютер LiveCD со свежими базами. (вирус с бородой попался)

Нашел кучу всякой гадости типа NtRootkit в system_volume_information, Officla48 (в одном из tmp файлов и в C:\windows\srnh.lto). Последнее подгружалось в реестре (”расширенный” boot, shell  до Explorer.exe rundll32.exe srnh.lto iqfnr). Чистим до просто “Explorer”, не забываем поставить свежий антивирус.. и всё. :)

Удачи

Опубликовано Май 31, 2010 | автор: levik  |  Нет комментариев »

Вирус Winlock просит отправить СМС с текстом T701016100 на номер 3381

Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.

Порно баннер требует отправить СМС с текстом T701016100 на номер 33810

При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) :) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.

Касперский, нод и антивирусные утилиты не запускаются.

Для временной разблокировки подошел  код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.

Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)

Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)

Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.

Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.

UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042

Опубликовано Май 16, 2010 | автор: levik  |  Комментарии (15) »

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Скриншот: Internet Security просит отправить SMS

Вы не зарегистрировали вашу копию Internet Security

Установив данное ПО вы согласились с данным лиценизонным соглашением предложенного Вам для проверки системы на наличие вредоносных программ. На основании лицензии Вы должны либо удалить ПО до окончания пробного периода или оплатить лицензию на дальнейшее использование продукта

Осталось времени:

Работа системы заблокирована для предотвращения дальнейшего распространения вредоносного ПО
Для продолжения работы и очистки вашей системы от вирусов и троянов необходимо активировать Вашу копию.

Чтобы получить код активации отправьте SMS
Отправьте СМС с кодом К212015300 на номер 4460 Стоимость SMS сообщения 10 руб с учетом НДС*
Укажите полученный код активации:

И чуть ниже торчат серые буковки, однако промотать и прочитать не получается .

Очередное сообщение, блокирующее работу системы и требующее отправить SMS. DrWeb пока его не распознал (базы сегодняшние)

Здесь можно поискать код для разблокировки, однако после разблокировки, вирусы остаются в компьютере! Читать дальше про Internet security вирус

Опубликовано Январь 26, 2010 | автор: levik  |  Комментарии (3) »

Вы установили банер для доступа на наш сайт - отправьте SMS

Порно-баннер на розовом фоне в центре экрана. Закрыть не получается. Диспетчер задач не запускается (или запускается, но блокируется). Что самое интересное, баннер включается не при загрузке компьютера, а через некоторое время - минуты 3-4 удается поработать “нормально”. Касперский с последними базами “молчит”.
Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней.

Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней. Если вы хотите прекратить действие баннера раньше установленного срока, то отправьте SMS по указанному номеру и введите полученный код удаления.
Служба технической поддержки.
1. Отправьте SMS с текстом 7331691+15 на номер 9800
2. Введите полученный код

Номера (не обязательно 9800) и тексты SMS в подобных “баннерах” (не только розовых и не только для доступа на сайт - см. ссылку в конце статьи) могут изменяться.

Еще один шедевр из серии “отправь СМС и работай нормально”. А что? Наверняка, ведь кто-то отправляет СМС. Интересно, а баннер сразу удаляется? Или нужно еще парочку отправить? Или шлешь СМСки, а баннер продолжает висеть? Кстати, стоимость отправки на номер 9800 будет далеко не 3 рубля.. и даже не 10.. и даже не 100 :)

Находим этот порно-баннер для доступа и удаляем:

подробнее об удалении порно баннера

Опубликовано Январь 12, 2010 | автор: levik  |  Комментарии (11) »

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro
Для продолжения работы необходимо активировать Вашу копию!
Чтобы получить код активации - отправьте SMS
- таким сообщением порадовал компьютер.

А между строками - красный таймер с трехчасовой задержкой.. Ой, уже 2:58:12. Карааууул…
Никто не знает, где в инете на четырехзначные номера бесплатные СМС можно отправлять? :)

Как лечить?

читать об удалении uBest NetSpeed Pro

Опубликовано Декабрь 3, 2009 | автор: levik  |  Комментарии (20) »