СМС за разблокировку компьютера (информеры)
Тема не новая… но, все время замыливается среди других проблем.
Суть - после перезагрузки компьютера блокируется работа эксплоррера или всей системы… на экране заставка в которой вас обвиняют в нарушении авторских прав и просят отправить СМС на номер NNNN с текстом ТТТТТТТТТТ.
Раньше это был бич любителей полазить по порносайтам без антивируса…
Вчера сам словил - и за последнии несколько дней на сомнительных сайтах не был + стоит Касперский с полным обновлением + сам программер и обычно лечил чужите компы (это я к тому - что, песни про “глупых блондинок” не прокатывают)
Предлагаю тут выкладывать реальные рецепты борьбы с этой напастью.
И (или) коды разблокировок по шаблону:
номер NNNN, текст ТТТТТТТТТТ, код разблокировки КККККККККК
3649, М204112000, 3183991888
3649, М204112100, 3183991988 (Это в моем случае)
Мне повезло, я нашел похожий номер и сопоставил цифры в запросе/ответе, например 0=8, 1=9, 2=1 и т.д… подставил и банер пропал.
Очень помогает эта инфа и неплохая прога и генератор кодов.
Да, СМС вам обойдется не в 10р!!! а раз в 20-40 дороже!
Можно позвонить 8(495)3631427, добавочный 555 - это владельцы “А1Агрегатор” - распространители этого говна, но, код разблокировки дают (судя по инфе в нете)
Жесть ! ни разу такого веселья не наблюдал у себя, только слышал про подобные штуки у знакомых.
Странно что еще кто то пользуется антивирусами 😃)))
Чтобы впредь не попадаться на подобные вещи могу порекомендовать ShadowUser + грамотно настроенный файрвол. В ShadowUser’e устанавливается блокировка раздела с виндой и все записи в этот раздел в текущую сессию будут анулированы после перезагрузки. Вирусы долго не проживут…
Можно позвонить 8(495)3631427, добавочный 555 - это владельцы “А1Агрегатор” - распространители этого говна, но, код разблокировки дают (судя по инфе в нете)
Ааа вот где базируются наши дорогие лохотронщики, будем знать;)
Подобные информеры убиваются руками за 3 минуты, но с предварительным сканированием онлайн-касперским(он только смотрит) и наличием Process Explorer от Русиновича.
3 минуты шаманства и никакого мошенства. После перезагрузки будет усе вылечено
это владельцы “А1Агрегатор”
A1 это не владельцы, это биллинг, клали они на всё, давно у всех в уродах.
будем знать;)
И что?, они любой разговор начинают только если у Вас на руках постановление суда.
A1 это не владельцы, это биллинг,
да, а “А1Агрегатор” - владельцы…
они любой разговор начинают только если у Вас на руках постановление суда
У них на сайте есть раздел помощи, там пишут много лабуды в том числе: типа - если вы пострадали от жуликов, мы вернем вам деньги…
Судя по всему схема простая - не все “качают права”, что то остается, на том и живут.
Иначе, как объяснить, что они раздают коды деактивации и возвращают деньги, при этом не пытаясь поймать жуликов? Да и, по вашей логике, жулики странные - деньги закидывают на чужие счета…
После отключения информера работа компа полностью востановлена, хотя, сам вирусняк остался - протралил комп Dr.Web LiveCD и зачистил остатки…
Подобные информеры убиваются руками за 3 минуты, но с предварительным сканированием онлайн-касперским(он только смотрит) и наличием Process Explorer от Русиновича.
Эк у Вас все просто!
Поверьте, эти твари прогресируют…
Было время, когда я их грохал отключая плагины в эксплорере или исключая из автозагрузки… Сейчас был заблокирован запуск программ и подключение к инету…
Видел версию, которая даже в сейф-моде грузилась и блокировала запуск абсолютно всех программ.
Поверьте - все это делается очень просто - троян грузится как плагин к Эксплореру - не Инетксплореру, а к Explorer.exe. Прописывается в определенный раздел и все - все запущенные под виндой(а это именно сам Explorer.exe) будет иметь приаттаченный .DLL с трояном. Троян и перехватывает все сообщения WM_ и блокирует нужные.
Вся процедура удаления может быть простой или посложней. В нехудшем случае подгружается в мегабутсиди часть пользовательского реестра и удаляется строка запуска сего “плагина” к эсплореру, или восстанавливается предыдущий удачный реестр. В худшем случае - винт цепляется к другому компу или зрузимся с любого супермегабутсиди с WinXP PE, находим на харде физически файл трояна и прибиваем его. Ну и проверяем весь хард на вирусню соотвественно и прибиваем все его инстансы. После грузимся и прибиваем в реесте строку запуска.
Метод заражения у всех информеров одинаковый и никак не меняется почти. Варьируются только проявления. Я сталкивался и с сиськами-письками в инет-броузерах(мазилла и ИЕ) и блокировка запуска всех прог и прочего подобного запретительного и говно это прикидывалось суперGuard for Windows и предлагало скачать базы обновлений(ага губы раскатал). Удалилось тупым “Seek-and-Destroy” файла трояна *.DLL и строки в реестре.
да, а “А1Агрегатор” - владельцы…
владельцы биллинга и с ним (с биллингом) работают не только жулики. хотя да, они на многое закрывают глаза
последние твари этой системы, которых я видел, загружались как драйвер из %sysdir%\drivers\
Видел версию, которая даже в сейф-моде грузилась и блокировала запуск абсолютно всех программ
Именно такую и поймал…
После грузимся и прибиваем в реесте строку запуска.
Я тоже так раньше думал…
В предпоследнем случае (последний был у меня самого) винт почистил… и винда перестала загружаться… (висла до появления приветствия даже в сэйф моде) благо на компе ничего критичного не было - вылечил полной переустановкой.
Полазил в нете, самое простое решение - вбить код, а потом почистить…
это владельцы “А1Агрегатор” - распространители этого говна, но, код разблокировки дают (судя по инфе в нете)
15го написал им письмо на rtweb.alt1.ru…
сегодня, т.е 18го пришел ответ:
--------------
Добрый день.
Это действия нашего партнера нарушителя, на данный момент по нему уже приняты
меры.
В дальнейшем, что бы предостеречь себя от подобных нарушителей, пользуйтесь
только теми сайтами в которых уверенны, не переходите по неизвестным вам
ссылкам.
Ваш код 6426334322
----------------
Если обратить внимание на код, то видна закономерность подстановки цифр и зависимость от дня недели…
Я на ночь выключил комп и все прошло!
да, а “А1Агрегатор” - владельцы…
…
Иначе, как объяснить, что они раздают коды деактивации и возвращают деньги, при этом не пытаясь поймать жуликов? Да и, по вашей логике, жулики странные - деньги закидывают на чужие счета…
Жулики как раз все мы 😃 и на нас такие же жулики хотят поживится, если ограбить вора, вор в милицию не побежит, также и мы, как мы можем судится если юзаем условно фришную ОС 😃
Жулики как раз все мы 😃 и на нас такие же жулики хотят поживится,
Ога, т.б. хозяева этого кала имеют двойное гражданство ua_il
roem.ru/2009/11/24/addednews12876/?c
Что то с трудом верится, или это только официальный запрет использования этими сервисами Агрегатора, и как бы принимают меры для борьбы с нарушителями😂
как мы можем судится если юзаем условно фришную ОС 😃
Ну, фришную или нет - это вопрос пятый (учитывая, возросшее количество купленных компов с лицензией).
А судиться с кем?
Почитайте, что мне ответили (чуть выше)… а теперь - они еще и деньги возвращают тем кто заплатил по 200-400р. за СМС… они же в суде предстанут благодетелями (почти Робинами Гудами)…
Развод основан на том, что их реальное мошеничество нереально не то что бы доказать (это легко), проблема это к ним привязать… а из 10 лоханувшихся одному вернуть деньги - не такая уж и проблема.
Hедавно словил такую штуку, по порносайтам не хожу, антивирусов уже года 3 неиспользовал. После перезагрузки вылезла эта шняга, винда реагировала только на мышку и на ввод данных в поле кода, тоже и в безопасном режиме, вылечилось форматированием и новой виндой.
Надысь атаковали офис Сучки ру 8 компов разом, просили две смски по 380 рублёв за код , пришёл адимн, вошёл в БИОСе на день взад и сохранённой дате, погрозил всем пальчиком, плюнул, и попивая СВОЁ кофе ушёл в астрал!
а тут плиииз поподробнее.
Биос и на день взад ? -
вылечилось форматированием и новой виндой.
А чего так слабо-???😈 Надо было винт под пресс, которым вторчермет прессуют… Регулярно обращаются клиенты, в основном любители “клубнички”, и еще ни разу винды не переставлял☕…
Биос и на день взад ? -
А смысл? Может Вы имели в виду откат системы на день назад?
А чего так слабо-???😈 Надо было винт под пресс, которым вторчермет прессуют… Регулярно обращаются клиенты, в основном любители “клубнички”, и еще ни разу винды не переставлял☕…
Лень было разбираться, да и давно хотел поставить винду семерку. Форматировал только диск C, у меня там только система, поэтому ничего нужного не потерял.
сложность не найти файл этого процесса а удалить его, так как он всегда занят приложением. Я просто загрузился с другого рабочего винта в безопасном режиме и грохнул нужный файлик (у меня он кстати недалеко прописался -C:\windows\system32\drivers\, а нашел я его просто поиском по названию). После перезагрузки запустил торян ремувер и нод 4 и вычистил остатки вирусяков.
Есть замечательная утилитка, Unlocker, инсталица и живёт в системе. Если нужно удалить файлик, который используется другим приложением, то правой кнопкой по файлику и на менюшку анлокера, и выбираем чё мы хотим сотворить с файликом =)
Так-же есть для лечения системы и приведения её в божеский вид мега утилитка ComboFix, не раз выручала. Разблокирует настройки системы/диспетчер задач и т.п. вобщем очень много полезного делает.
Откат системы, а уж тем более перестановка времени - это прошлый век… т.е. вы умудрись очень древнюю версию этой каки выхватить…
Унлокер - это хорошо… чуть выше почитайте про то, что ничего запустить низя…
Винт присобачить к другой машине… а если ее нет под рукой? Или комп только с магазина и на нем, тупо - пломбочки стоят?