СМС за разблокировку компьютера (информеры)

J_MoToR

Тема не новая… но, все время замыливается среди других проблем.

Суть - после перезагрузки компьютера блокируется работа эксплоррера или всей системы… на экране заставка в которой вас обвиняют в нарушении авторских прав и просят отправить СМС на номер NNNN с текстом ТТТТТТТТТТ.
Раньше это был бич любителей полазить по порносайтам без антивируса…
Вчера сам словил - и за последнии несколько дней на сомнительных сайтах не был + стоит Касперский с полным обновлением + сам программер и обычно лечил чужите компы (это я к тому - что, песни про “глупых блондинок” не прокатывают)

Предлагаю тут выкладывать реальные рецепты борьбы с этой напастью.
И (или) коды разблокировок по шаблону:
номер NNNN, текст ТТТТТТТТТТ, код разблокировки КККККККККК

3649, М204112000, 3183991888
3649, М204112100, 3183991988 (Это в моем случае)

Мне повезло, я нашел похожий номер и сопоставил цифры в запросе/ответе, например 0=8, 1=9, 2=1 и т.д… подставил и банер пропал.

Очень помогает эта инфа и неплохая прога и генератор кодов.

Да, СМС вам обойдется не в 10р!!! а раз в 20-40 дороже!

Можно позвонить 8(495)3631427, добавочный 555 - это владельцы “А1Агрегатор” - распространители этого говна, но, код разблокировки дают (судя по инфе в нете)

Exception13

Жесть ! ни разу такого веселья не наблюдал у себя, только слышал про подобные штуки у знакомых.
Странно что еще кто то пользуется антивирусами 😃)))
Чтобы впредь не попадаться на подобные вещи могу порекомендовать ShadowUser + грамотно настроенный файрвол. В ShadowUser’e устанавливается блокировка раздела с виндой и все записи в этот раздел в текущую сессию будут анулированы после перезагрузки. Вирусы долго не проживут…

CARBoNEUM
J_MoToR:

Можно позвонить 8(495)3631427, добавочный 555 - это владельцы “А1Агрегатор” - распространители этого говна, но, код разблокировки дают (судя по инфе в нете)

Ааа вот где базируются наши дорогие лохотронщики, будем знать;)

NailMan

Подобные информеры убиваются руками за 3 минуты, но с предварительным сканированием онлайн-касперским(он только смотрит) и наличием Process Explorer от Русиновича.

3 минуты шаманства и никакого мошенства. После перезагрузки будет усе вылечено

V_N
J_MoToR:

это владельцы “А1Агрегатор”

A1 это не владельцы, это биллинг, клали они на всё, давно у всех в уродах.

CARBoNEUM:

будем знать;)

И что?, они любой разговор начинают только если у Вас на руках постановление суда.

J_MoToR
V_N:

A1 это не владельцы, это биллинг,

да, а “А1Агрегатор” - владельцы…

V_N:

они любой разговор начинают только если у Вас на руках постановление суда

У них на сайте есть раздел помощи, там пишут много лабуды в том числе: типа - если вы пострадали от жуликов, мы вернем вам деньги…
Судя по всему схема простая - не все “качают права”, что то остается, на том и живут.
Иначе, как объяснить, что они раздают коды деактивации и возвращают деньги, при этом не пытаясь поймать жуликов? Да и, по вашей логике, жулики странные - деньги закидывают на чужие счета…

После отключения информера работа компа полностью востановлена, хотя, сам вирусняк остался - протралил комп Dr.Web LiveCD и зачистил остатки…

NailMan:

Подобные информеры убиваются руками за 3 минуты, но с предварительным сканированием онлайн-касперским(он только смотрит) и наличием Process Explorer от Русиновича.

Эк у Вас все просто!
Поверьте, эти твари прогресируют…
Было время, когда я их грохал отключая плагины в эксплорере или исключая из автозагрузки… Сейчас был заблокирован запуск программ и подключение к инету…

RomanBuzunov

Видел версию, которая даже в сейф-моде грузилась и блокировала запуск абсолютно всех программ.

NailMan

Поверьте - все это делается очень просто - троян грузится как плагин к Эксплореру - не Инетксплореру, а к Explorer.exe. Прописывается в определенный раздел и все - все запущенные под виндой(а это именно сам Explorer.exe) будет иметь приаттаченный .DLL с трояном. Троян и перехватывает все сообщения WM_ и блокирует нужные.

Вся процедура удаления может быть простой или посложней. В нехудшем случае подгружается в мегабутсиди часть пользовательского реестра и удаляется строка запуска сего “плагина” к эсплореру, или восстанавливается предыдущий удачный реестр. В худшем случае - винт цепляется к другому компу или зрузимся с любого супермегабутсиди с WinXP PE, находим на харде физически файл трояна и прибиваем его. Ну и проверяем весь хард на вирусню соотвественно и прибиваем все его инстансы. После грузимся и прибиваем в реесте строку запуска.

Метод заражения у всех информеров одинаковый и никак не меняется почти. Варьируются только проявления. Я сталкивался и с сиськами-письками в инет-броузерах(мазилла и ИЕ) и блокировка запуска всех прог и прочего подобного запретительного и говно это прикидывалось суперGuard for Windows и предлагало скачать базы обновлений(ага губы раскатал). Удалилось тупым “Seek-and-Destroy” файла трояна *.DLL и строки в реестре.

optimist

да, а “А1Агрегатор” - владельцы…

владельцы биллинга и с ним (с биллингом) работают не только жулики. хотя да, они на многое закрывают глаза

Felar_Furlong

последние твари этой системы, которых я видел, загружались как драйвер из %sysdir%\drivers\

J_MoToR
RomanBuzunov:

Видел версию, которая даже в сейф-моде грузилась и блокировала запуск абсолютно всех программ

Именно такую и поймал…

NailMan:

После грузимся и прибиваем в реесте строку запуска.

Я тоже так раньше думал…
В предпоследнем случае (последний был у меня самого) винт почистил… и винда перестала загружаться… (висла до появления приветствия даже в сэйф моде) благо на компе ничего критичного не было - вылечил полной переустановкой.

Полазил в нете, самое простое решение - вбить код, а потом почистить…

J_MoToR
J_MoToR:

это владельцы “А1Агрегатор” - распространители этого говна, но, код разблокировки дают (судя по инфе в нете)

15го написал им письмо на rtweb.alt1.ru…
сегодня, т.е 18го пришел ответ:
--------------
Добрый день.

Это действия нашего партнера нарушителя, на данный момент по нему уже приняты
меры.

В дальнейшем, что бы предостеречь себя от подобных нарушителей, пользуйтесь
только теми сайтами в которых уверенны, не переходите по неизвестным вам
ссылкам.

Ваш код 6426334322
----------------

Если обратить внимание на код, то видна закономерность подстановки цифр и зависимость от дня недели…

maks27

Я на ночь выключил комп и все прошло!

ukrsonic
J_MoToR:

да, а “А1Агрегатор” - владельцы…

Иначе, как объяснить, что они раздают коды деактивации и возвращают деньги, при этом не пытаясь поймать жуликов? Да и, по вашей логике, жулики странные - деньги закидывают на чужие счета…

Жулики как раз все мы 😃 и на нас такие же жулики хотят поживится, если ограбить вора, вор в милицию не побежит, также и мы, как мы можем судится если юзаем условно фришную ОС 😃

V_N
ukrsonic:

Жулики как раз все мы 😃 и на нас такие же жулики хотят поживится,

Ога, т.б. хозяева этого кала имеют двойное гражданство ua_il

CARBoNEUM

roem.ru/2009/11/24/addednews12876/?c
Что то с трудом верится, или это только официальный запрет использования этими сервисами Агрегатора, и как бы принимают меры для борьбы с нарушителями😂

J_MoToR
ukrsonic:

как мы можем судится если юзаем условно фришную ОС 😃

Ну, фришную или нет - это вопрос пятый (учитывая, возросшее количество купленных компов с лицензией).
А судиться с кем?
Почитайте, что мне ответили (чуть выше)… а теперь - они еще и деньги возвращают тем кто заплатил по 200-400р. за СМС… они же в суде предстанут благодетелями (почти Робинами Гудами)…
Развод основан на том, что их реальное мошеничество нереально не то что бы доказать (это легко), проблема это к ним привязать… а из 10 лоханувшихся одному вернуть деньги - не такая уж и проблема.

Dimonoz

Hедавно словил такую штуку, по порносайтам не хожу, антивирусов уже года 3 неиспользовал. После перезагрузки вылезла эта шняга, винда реагировала только на мышку и на ввод данных в поле кода, тоже и в безопасном режиме, вылечилось форматированием и новой виндой.

ZigZag_ZZ

Надысь атаковали офис Сучки ру 8 компов разом, просили две смски по 380 рублёв за код , пришёл адимн, вошёл в БИОСе на день взад и сохранённой дате, погрозил всем пальчиком, плюнул, и попивая СВОЁ кофе ушёл в астрал!

norok

а тут плиииз поподробнее.
Биос и на день взад ? -

MWW
Dimonoz:

вылечилось форматированием и новой виндой.

А чего так слабо-???😈 Надо было винт под пресс, которым вторчермет прессуют… Регулярно обращаются клиенты, в основном любители “клубнички”, и еще ни разу винды не переставлял

norok:

Биос и на день взад ? -

А смысл? Может Вы имели в виду откат системы на день назад?

Dimonoz
MWW:

А чего так слабо-???😈 Надо было винт под пресс, которым вторчермет прессуют… Регулярно обращаются клиенты, в основном любители “клубнички”, и еще ни разу винды не переставлял

Лень было разбираться, да и давно хотел поставить винду семерку. Форматировал только диск C, у меня там только система, поэтому ничего нужного не потерял.

КА-04

сложность не найти файл этого процесса а удалить его, так как он всегда занят приложением. Я просто загрузился с другого рабочего винта в безопасном режиме и грохнул нужный файлик (у меня он кстати недалеко прописался -C:\windows\system32\drivers\, а нашел я его просто поиском по названию). После перезагрузки запустил торян ремувер и нод 4 и вычистил остатки вирусяков.

Tofick

Есть замечательная утилитка, Unlocker, инсталица и живёт в системе. Если нужно удалить файлик, который используется другим приложением, то правой кнопкой по файлику и на менюшку анлокера, и выбираем чё мы хотим сотворить с файликом =)
Так-же есть для лечения системы и приведения её в божеский вид мега утилитка ComboFix, не раз выручала. Разблокирует настройки системы/диспетчер задач и т.п. вобщем очень много полезного делает.

J_MoToR

Откат системы, а уж тем более перестановка времени - это прошлый век… т.е. вы умудрись очень древнюю версию этой каки выхватить…

Унлокер - это хорошо… чуть выше почитайте про то, что ничего запустить низя…

Винт присобачить к другой машине… а если ее нет под рукой? Или комп только с магазина и на нем, тупо - пломбочки стоят?