За последнюю неделю от совершенно разных людей по работе слышал, что у них накрывается винда. Выскакивает окошко по центру экрана, причем остальная часть экрана становится черно-белой и неактивной (как при нажатии alt+f4 на рабочем столе, когда выскакивает окно - ждущий режим, выключение, перезагрузка).
На экране написано что-то в духе:
Для активации виндоус отправьте смс с кодом *бла-бла-бла* на номер ****.

Смотрел такие компы. Находил на них черви (хотя, учитывая "любознательность" владельцев, которые сидят в инете без фаерволов и брандмауэров, это не удивительно). Но хулиганские софтинки, коды и прочее на этих компах, что по предположению могло бы вызывать такое окно с активацией, отличались друг от друга. То есть ничего общего между ними не было найдено.

Поэтому возникает вопрос - как же все-таки ОНО попадает в комп, что конкретно делает (т.к. иногда не запускается при включении компа/перезагрузке, или просто может появиться после часа-двух работы за компом), как избавиться от этой напасти?
Смотрел процессы, службы... ничего нового/подозрительного нет.
Вредоносные проги, черви и тп вылавливал NOD32 с последними базами.
Заранее спасибо.

На делфи можно такую штучку написать, будет выскакивать окно и ничего нельзя сделать, если не введешь правильного пароля то оно не изчезнит, можно сделать что бы оно прописалось в автозагрузку, и запускалось каждый n- часа. Можно склеить эту штучку с любым файлом и все, антивирус не спалит

Самое интересное что при этом человек написавший этот вирус практически не чего не нарушает!

Ну насчет этого я не знаю.. Он можно сказать вымагает деньги, т.е. нарушает..

Вариант конечно веселый, но... даже, предположив, что она написана на делфи/чем угодно, как можно решить этот вопрос?
И к чему можно прикрепить?
Если я не ошибаюсь, должен быть какой то упаковщик "хороший", чтобы не определился антивирусом. Или определяются только древние "пинчи/ксинчи"?)

Программы написаны на делфи антивирусом не палятся, а прекрепить эту прогу можно к картинке или любому .exe файлу

То есть, чтобы снять такую гадость, нужно найти разработчика?

Мм.. Попробуй загрузится в безопасном режиме, посмотри автозагрузку в реестре, ещё раз пересмотри процесы, если ничего не выйдет сноси винду.
П.С: сам с такой проблемой не сталкивался, так что точно как боротся с ней не знаю..

Не, бывает, что можно загрузиться, и эта хрень не выскакивает. Есть мнение, что она привязана к учетке пользователя. Бо, когда включали комп и учетка не прогрузилась пока что (в диспетчире на вкладке - процессы - в колонке "имя пользователя" ничего проставлено не было), эта табличка не появлялась.
Подскажи пжста, где в реестре найти автозагрузку.

сегодня я так свой дедик убил
парсил файлообменик и скачал вот этот файл http://webfile.ru/3324224
после запуска появляется окно с текстом для смс и номером 9099
в диспетчере задач появился новый процесс, но его не отключить тк дисп. задач закрывается через 1-2 сек

ТС попробуй чтоле абузу агрегатору отправить

http://habrahabr.ru/blogs/i_am_clever/56923/

Наипростейший для понимания способ.
Я так и диктовал по телефону)

У меня такая же хрень была... один раз..... и теперь не знаю когда вылезет в след раз(((
Сканил систему с помощью NOD32, но тот ничего не обнаружил(((( думаю попробовать поставить Каспера, т.к. у моего друга аналогичная проблема была, и каспер её решил....

В реестре, и в автозагрузке, в и процессах вроде все норм (просматривал вручную)... поэтому зашел в тупик...... как поставлю каспера - отпишусь

Вот-вот. О том и говорю, что проблема актуальная. И набирает обороты "не по дням, а по часам"...

http://habrahabr.ru/blogs/i_am_clever/56923/

Наипростейший для понимания способ.
Я так и диктовал по телефону)
Прикольный способ, но у меня при появлении справки от принтера (да и вообще) нет пункта - файл-правка...
Win XP SP3, скрин могу приложить

Программы написаны на делфи антивирусом не палятся, а прекрепить эту прогу можно к картинке или любому .exe файлу
правда ? как ниожиданно.. :D

Была недавно такая проблема. Только мне даже каспера не удавалось поставить. Вирус блокировал его установку. В процессах через безопасный режим нашел левый процесс bloker.exe кажется называется его удалил. Потом запустил Dr.Web LiveCD нашлось куча вирусов. И эта табличка пропала. Но все настройки сети тоже пропали после чего запустил WinsockXPFix и все теперь норм работает. Этой таблички больше нет.

сегодня я так свой дедик убил
парсил файлообменик и скачал вот этот файл http://webfile.ru/3324224

Запустил файл..надпись порадовала :)

А как такие "смс-сервисы"вообще создают?Неужели никакого контроля за ними нету?

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Тут автозагрузка.
Можно попробывать взять винт и подключить к другому кампу, и с того кампа просмотреть автозагрузку на зараженем винте.

правда ? как ниожиданно..
Ну есть люди которые не знают, я просто пытаюсь помочь, если не можешь ничего по теме написать, лучше промолчи

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Тут автозагрузка.
Можно попробывать взять винт и подключить к другому кампу, и с того кампа просмотреть автозагрузку на зараженем винте.

Спасибо, сейчас попробую поискать. Сегодня снова на работу принесли комп. На нем нет никаких blocker-ов (ни в автозагрузке, ни в процессах, и как потом оказалось, на жестком диске вообще). Табличка приобрела теперь черный фон, закрывает всю область экрана... и белым, более крупным шрифтом написана все та же лабуда...

В автозагрузке находится только файл ctfmon. Проделал то же самое с local_machine, но ничего, кроме стандартного софта не нашел. =(
НОД32 удалил каких то червей, и через пару перезагрузок сразу после загрузки винды и экрана "приветствие" стало раз через раз выскакивать окошко "был завершен процесс бла-бла-бла, автоматическое отключение винды через 1 мин", и таймер с обратным отсчетом.
Причем там даже не название процесса, а чтото просто заглавными буквами написано, незнакомое что-то)

Елки-моталки... сегодня под конец рабочего дня ещё один комп, С такой же точно хренотенью. Прилетел, по словам сотрудницы фирмы, с файлом установки НЕРО с каким то странным значком файла...
Описанным вначале темы способом (открыл настройки принтера, там использовал команду ФАЙЛ в окне справки), но так и не смог найти blocker.exe или *.bin. Где он вообще должен располагаться?

короче надо нажть шифт на 8 сек,и через справку выйти на дики...потом найти файл bloker.exe и такой же файл тоько в другом расширении...и все проблема решина.сам такого поймал.или еще бывает помогает просто вытащить сетевой кабель,окно сворачивается и ты ищешь спокойно эти файлы

bloker.exe смотри в диспетчере задач. И вообще посмотри что там лишнего запущено с подобными названиями. Там же и путь к файлу и его удали.

Подскажи, где это в диспетчере задач указывается пусть к процессам? Не Виста ли у тебя случаем, Фокс?

Самое интересное что при этом человек написавший этот вирус практически не чего не нарушает!
http://www.d-sign.ru/uk/28.htm

bloker.exe смотри в диспетчере задач. И вообще посмотри что там лишнего запущено с подобными названиями. Там же и путь к файлу и его удали.
а как ты откроешь диспечер задач.если окно блокировано?

интересно - ГДЕ ЭТОТ ФАЙЛ находится?
проводник открыть получилось через справку для принтера, а вот дальше - хз

c:\docume~1\All Users\Application Data\

В реестре прописан в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit называется тоже bloker.exe

Просто у меня аська когда загружалась окно пропадало и можно было нормально работать и искать причины. Подожди несколько минут может тоже окошко пропадет.

http://www.d-sign.ru/uk/28.htm
Ну я думаю ты считаешь что это 273 ст. ? так вот информация не заблокирована! к ней остается доступ, но в данном случаи он просто ограничен а этого пункта нет в статье!

Бля, нехер качать всякую херню от кого попало и не будет подобных тем. На таких лохах спамеры и рулят. Ппц...) А этот способ, спама префами, оч. ввостребован.)

Бля, нехер качать всякую херню от кого попало и не будет подобных тем. На таких лохах спамеры и рулят. Ппц...) А этот способ, спама префами, оч. ввостребован.)
+1
И в дополнение к предыдущему посту видео..смотрите,бойтесь и никогда так не поступайте :)
http://depositfiles.com/files/a7tfzzkf6
P.S Спасибо X-Venom за ссылку на вирус.!)

Бля, нехер качать всякую херню от кого попало и не будет подобных тем. На таких лохах спамеры и рулят. Ппц...) А этот способ, спама префами, оч. ввостребован.)
Дуракчтоле?
Перечитай начало темы. Я работаю с компами, занимаюсь их ремонтом и обслуживанием. У меня такого нет (хотя, может это временно), но юзаю аутпост залоченный (режим блокировки), да и антивирь обновляется ежедневно.
На всех этих хернях в духе "отправь траляля и будет тебе бабло на трубку" и прочую изощренную (и извращенную) херню не ведусь, поэтому пока и цел).

Нехорошо лохом обзываться.