Программа-вымогатель и последствия после борьбы с ней

Всем привет!

Уже два дня не могу разобраться со своим компом. Вчера на одном из сайтов с видеороликами поймал очень неприятного вируса. Вернее, программку вымогателя. Дело было так:

Решил поднять себе настроение и посмотреть видео приколы. Вбил в Google «Видео приколы» и стал посещать наиболее интересные, на мой взгляд, сайты. Но, радости от просмотра смешных видюшек я так и не получил. Зато, получил кучу проблем и не работающий Webmoney Keeper Classic.

В общем кликаю на понравившуюся видюшку, она начинает грузиться и вылазит сообщение, что у меня установлена старая версия Adobe Flash Player. Тут же предложение обновить до 10 версии. Я подумал, почему бы и нет, почему бы и не обновить. Кликнул на обновление, началась загрузка файлика, и тут же он установился на компьютер.

И после его установки началось самое веселое ужасное!

Посреди экрана появился красный порно-баннер, а снизу описание. В описании говорилось, что баннер провесит 30 дней, и, если я хочу убрать его сейчас, то нужно отправить СМС на номер 5121 с текстом (текст не важен, не помню уже. Набор цифр). Стоимость смс около 300 рублей.

Ниже ссылка «условия». Кликаю на ее и вижу, что после первого смс нужно отправить повторное смс для того ,чтобы удостовериться, что мне уже есть 18 лет (логики вообще не увидел в написанном).

Сначала решил бороться с мошенниками. Хотел просто отключить баннер через диспетчер задач, но не тут-то было. Он был заблокирован программой.

Стал искать исполняющие файлы. Благодаря большому монитору, место вокруг беннера свободное оставалось. Ах да, забыл сказать, что баннер располагался поверх всех окон, его нельзя было свернуть и переместить.

Исполняющие файлы нашел, но ничего это не решило. Удалить их не представлялось возможным. Пробовал удалить Unlocker-ом, но тут расстроился окончательно. Программа заблокировала все EXE приложения. Не работало ничего. Ни опера, ни эксплорер, даже интернет и аська были заблокированы.

Под рукой был айфон, зашел с него в сеть, начал искать свою проблему. Нашел очень много тем, везде давались различные рекомендации. Большинство сводилось к тому, что нужно удалить исполняющие файлы. Они советовали разные программы, но все это было в моем случае бесполезно, так как кроме включения компьютера, я не мог произвести никаких действий.

Я совсем отчаился, даже хотел уже отправить СМСки, но решил не делать этого, так как знаю, что если говорят 300 рублей смс, то на деле она будет стоить намного больше. А вдруг речь идет о тысячах рублей?

Нет, такого счастья мне не нужно.

Решил все банальным способом — переустановкой винды. Было жалко, все работало как часы, но выхода не было. Да и нервы дороже!

Снес, переустановил, баннер исчез, поставил Dr.Web CureIt (по советам, найденным в сети), которая отлично борется с подобными программами-вымогателями и при этом распространяется бесплатно (скачать можно на сайте доктора Вэба).

Дошло дело до установки всего необходимого. Сначала возникли проблемы с аськой, но их довольно быстро удалось разрешить.

Подошла очередь для самой важной прграммки на моем компьютере — Webmoney Kepper Classic, и вот тут меня ждал очень неприятный сюрприз. Я ввел WMID, пароль, программа попросила файл ключей, я указал путь к фалу ключей, но в ответ получил сообщение:

«Указанные вами файл не является файлом ключей»

Представьте мою реакцию! Я был в шоке. Никогда не было проблем с Webmoney. А тут такое.

Написал в службу поддержки, но получил очень интересный ответ. Сначала они попросили меня выслать файл ключей, я нашел на компьютере два файла, один 2008, другой 2009 года. оба их отправил на проверку.

Получил ответ:

Данный файл не является файлом ключей для вашего WMID.

Вот такие пироги!

Решил воспользоваться процедурой восстановления контроля над WMID. Зарегистрировал еще один WMID, и с помощью него начал процедуру восстановления. Указал все данные того кошелька, над которым потерян контроль, заполнил необходимые поля. Отправил заявку.

Теперь сижу и жду, что будет. Вроде бы на исполнение процедуры восстановления может потребоваться до 20 рабочих дней. И это самая главная платежная электронная система! Мне кажется, побыстрее работать должны ,все таки работают с деньгами.

Ну ничего другого, кроме как ждать, не остается. Буду надеяться, что все обойдется.

Напоследок дам несколько советов:

1. Никогда не ходите по не проверенным сайтам. Старайтесь качать программы на официальных сайтах или в проверенных хранилищах;

2. Храните файлы ключей во всех доступных местах, но только не на жестком диске компьютера;

3.  Установите утилиту Dr.Web CureIt. Она работает совместно с вашим антивирусом, но в некоторых случаях превосходит его;

4 И последнее — не держите деньги на кошельке, чтобы не сидеть и не переживать, как я сейчас!

Вот так вот, маленькая вредная программка наделал столько проблем и потрепала нервишки изрядно :sad:

На этом все! Спасибо за внимание!  :biggrin:

К записи "Программа-вымогатель и последствия после борьбы с ней" оставлено 29 коммент.
  1. Все гораздо проще с такими локерами. Недавно у меня подруга зацепила такую заразу на мой ноут. Все решилось перезагрузкой в безопасном режиме, просмотром автозагрузки и удалением найденного экзешника.
    Школьников, которые пишут такие «вирусы» надо вычислять по смс агрегаторам и подавать жалобу в милицию. Пусть служители народа пошевелятся

  2. Как я вас понимаю)) В январе решил переустановить систему, ибо бывшая совсем заглохла. По неопыту файлы ключей и потер вместе со всем. В итоге месяц мне восстанавливали, но восстановили.

    PS: теперь купил флешку, на которой резервная копия всего наиболее ценного, в том числе и ключи вм. :smile:

  3. Кирилл:

    Я сам чуть было не попался на такую уловку, но вовремя одумался))) :biggrin:
    Мда, до чего же люди изобретательны! Желаю скорейшего восстановления WM Кипера. Удачи!

  4. Олег Маркарьян:

    sMiles, тут все гораздо сложнее. Эта гадость блокирует все, даже в безопасном режиме. я довольно опытный пользователь пк и инета, но тут был бессилен.

    Эта хрень даже пуск заблокировала, я еле смог скопировать нужные файлы на флэшку :smile:

    Sergeev, да уж, с вебмани жестко. Самое обидное, что файлы ключей ведь были у меня, на компе и на двух флэшках. А толку….. :cwy:

    Кирилл, спасибо! Надеюсь, данный пост хоть кому-то поможет не попасться в руки мошенников. :smile:

  5. Самое лучшее, не жлобить на лицензионный антивирус :)

  6. У каспера в разделе Секьюрити есть спец сервис, вводишь туда номер и код который нужно отправить и он тебе показывает код который нужно ввести, после чего программка самоудаляется.

  7. Амирханов Ленар, антивирус тут не поможет. Т.к. ты сам, по собственно воле скачиваешь эту прогу. Она не является трояном или ещё чем-то, что может быть расценено как вирус. Поэтому её все и хватают.

  8. Олег Маркарьян:

    foxer-dance, спасибо за советы. Может кому-то помогут:)

    Ленар, в том и дело — лицензия каспер стоял, а толку….

    Сергей Токарев, Пробовал подобрать код на сайте каспера — толку ноль!

  9. Вот Ленар высказал самую правильную мысль, на мой взгляд. Не жалейте деньги на лицензионное ПО.

    У меня обновления важных программ происходит автоматически без необходимости реагировать на какие-то всплывающие на сайтах сообщения типа «Ваша версия устарела, установите обновление…» (и Вашему компу будет пипец).

    Более того, у меня у самого есть подозрения, что подобные вирусы запускают сами разработчики лицензионного ПО, чтобы таким образом стимулировать спрос :smile:

    Это как шиноремонтная мастерская в округе 1-2 км разбрасывает на дорогах шипы, гвозди, болты и т.д. :smile:

    А тебе, Олег, желаю больше на такие фишки не попадаться.

  10. Тоже удивился, что была переустановлена Винда. У тестя на компе была такая же прелесть. Решилось всё очисткой реестра от этого дерьма при помощи Антивирусной утилиты AVZ + Утилиты HiJackThis с Вирусинфо и последующей чисткой файлов обычным антивирусом (НОД32 в моем случае).

  11. Такая беда со мною происходит и происходит часто. Но путь верный — sMiles предложил. Я также поступаю сейчас, хотя сначала и не допер до этого, переустанавливал Windows. Годы идут и мы становимся умнее.
    Самое главное — не отправляйте смс! :devil:

  12. Олег Маркарьян:

    Денис Каплунов, спасибо! :smile:

    petrenko, говорю же, не все так просто. Не запускалась ни одна программа, просто не было возможности не удалить, не проверить, не установить что-то. Раньше сталкивался с подобным, но все удавалось решить, а тут какой-то супер вирус вымогатель. :devil:

    Вовка, опять же повторюсь, не было возможности произвести данные действия, я полдня вчера потратил на все это :tongue:

  13. У меня почти так же было, только на другом компьютере, к счастью я там вебмани не устанавливал. Сейчас не жалею денег на лицензионные антивирусы и получив деньги сразу перевожу на кредитку.

  14. Erho:

    братан, действительно подобные неприятности приносят много отрицательных эммоций. Структура Веб мани, вообще усолжнена до неузнаваемости.
    И самое главное не соглашусь с одним твоим советом: «1. Никогда не ходите по не проверенным сайтам. Старайтесь качать программы на официальных сайтах или в проверенных хранилищах;»
    Иногда на проверенных сайтах тоже можно впоймать вирусы…

  15. Олег Маркарьян:

    Ovsyannikoff, вот про вывод денег на кредитку — это ты верно подметил, теперь буду чаще выводить.

    Erho, но все же на проверенных сайтах шансов поймать трояна намного меньше:)

  16. Стандартна и не приятная ситуация. Вот вычислить бы таких делков и надавать им))))

  17. Олег Маркарьян:

    Сергей, да, желающих надавать думаю нашлось бы много! :ninja:

  18. «Теперь сижу и жду, что будет. Вроде бы на исполнение процедуры восстановления может потребоваться до 20 рабочих дней. И это самая главная платежная электронная система! Мне кажется, побыстрее работать должны ,все таки работают с деньгами.»
    Сделай перевод рублей на 200 через платежную систему «Контакт» (или другие, есть на сайте вебмани) на свой кошелек. По приходу денег автоматом получишь начальный аттестат и все WMID сразу же присоединятся.

    P.S. А у меня недюжинный опыт борьбы с блокираторами компов. Ни разу ещё не переустанавливал винду. Всё время решал проблему)

  19. Олег Маркарьян:

    Илья, это как то ускорит процесс восстановления моего WMID?

    Объясни, плизз, вот это подробнее:

    «Сделай перевод рублей на 200 через платежную систему «Контакт» (или другие, есть на сайте вебмани) на свой кошелек. По приходу денег автоматом получишь начальный аттестат и все WMID сразу же присоединятся.»

    Спасибо :smile:

  20. На сайте DrWeb есть подробные описания проблемы и все решения,все пароли.А так-уголовное наказание ля разработчиков и соучастников(сотовых операторов,агрегатора)-наилучшее решение проблемы.

  21. Слава:

    Лучше искать надо было код )
    Мой заработок основан на адалте и в поиске нового контента я регулярно такое цепляю, нарыл программку от веба — весит мало, но этот вирус лечит если версия вира новая, то с бука захожу и код ищю

  22. Кстати, как вариант (родилось сегодня) — берёшь загрузочную флешку с какой-то Убунтой и уже из неё — чистишь все файлы. На практике никода не пробовал :)

  23. Александр:

    Да, а ведь у меня была такая фигня! Тоже никакие программы не удалось запускать. Даже если захожу в безопасном режиме. Однако при заходе в другую учётную запись (WinXP) вымогатель не запускался, и я быстро смогу удалить его файлы.

  24. tu 160:

    вариантов борьбы с вымогателями много
    в стационарном можно и с флэшки свою винду поставить и с лайв диска или даже с другого винта — а потом лечить куреитом или каспером
    можно вбить нужные цифры разблокировки со сторонних сайтов (например на том же вебе и каспере и других)

  25. tu 160:

    и конечно никогда никому ничего не нужно платить
    денег потеряете гораздо больше 300 рублей ( скорее всего всё что есть на счёте) а ключ разблокировки можете и не получить
    самое правильное в отдел К обратиться — только хлопотно и возни много — не все так делают
    а по телефону вымогателя прилетит ему статья уголовного кодекса в чистом виде :biggrin:

  26. Сергей:

    Да, проблема насущная, но до последнего времени мне удавалось ее решать при помощи отката системы в безопасом режиме к более раннему рабочему состоянию, плюс в антивирусе Avast! имеется возможность запуска компа с проверки файлов до того как они станут исполняемыми, другими словами сначала проверяются файлы на дисках а уж потом запуск винды, от данной проверки можно отказаться при помощи Esc…
    Всем походов в инете без вирусов :biggrin:

  27. Роман:

    Грузимся в безопасном режиме. После того, как нажали кнопку включения, нажимаем на клавиатуре клавишу F8. Затем, Вам будет предложен выбор вариантов загрузки.

    С помощью стрелок на клавиатуре выбираем пункт «Безопасный режим с поддержкой всех сетевых драйверов». Далее запускаем реестр Windows

    И открываем ветку реестра, кликая дважды по папкам:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    Здесь, в правой части окна нас интересуют два параметра:

    Shell;
    Userinit.

    Проверьте оба параметра вплоть до буквы, они должны быть именно такими как указано выше. В параметре Shell должно быть только одно значение – explorer.exe и ничего больше, все остальное нужно удалить. Дальше смотрим параметр Userinit, тут тоже оставляем только одно значение:

    И ВСЁ!!!!

  28. This inrcdoutes a pleasingly rational point of view.

Оставить свой комментарий

Поиск по сайту
Email-рассылка блога

Введите свой email адрес:

Статистика

© 2020    Focus Point    //    Войти   //    Вверх