В России набирает обороты эпидемия компьютерных вирусов семейства Trojan.Winlock. «В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов», — сообщает российский разработчик средств информационной безопасности компания «Доктор Веб». Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы

Слышал я, что Шаман попался...
Есть еще пострадавшие? Если да, то чем лечились?
Учитывая, что стоимость смс - 300...600 руб (по данным из Инета) попасть бы не хотелось

Это мои родители попались
SMS-ку отправлять не стали, вызвали дельца, который переустановил всю систему за 1200р., предварительно долго копался и ничего не смог поделать

Интересно, а м.б. между ремонтниками и трояно-рассылателями корыстная связь?...

смс-ку дешевле было послать

Ага, Джим посылал 300р. сняли, картинку не убрали

Да, дешевле, но ты будешь занесен в базу лохов, и через несколько месяцев эта атака повториться...

подцепил похожий троян у меня знакомый, пришлось повозиться с реестром, вроде выличил, а потом и сам попался... реестром дело не закончилось, пришлось переставлять систему.

Зато точно знаю откуда попалось эта штука... в обоих случаях предлагалось для просмотра ролика установить adobe flash player причем на сайтах НИКАК не связаных с индустрией для взрослых

Так что если где-то что-то у вас не проигрывается и пишет что нужна установка какого-то кодека или программы, не спешите устанавливать.

З.Ы. Adobe Flash Player абсолютно бесплатно можно скачать на официальном сайте Adobe.

к крашику

Б-г-ггг!
Подумал было, что речь пойдёт про Сумрака и Со
А тут это...
Что я тут слышу?! СМС по запросу слать??? Да вы офигели идти на поводу у этих ох... невших барыг!!!
Лучше уж реально заплатить лицам сторонним и не связанным непосредственно с этими деятелями, если уж сами разобраться не можете.

По мимо локскрина(в полный экран) сейчас еще идёт волна АД-"рекламы" не позволяющей ее убрать с экрана.


На сайтах и Каспера, Вэба и иже с ими есть масса рекомендаций по удалению.

Мой опыт.
Знакомый словил оное - я посмеялся дескать - неча по порносайтам лазить, но вскоре и сам словил. Причем в трезвом уме и твёрдой памяти я НИЧЕГО не устанавливал (хотя доступ к компьютеру не только у меня). Судя по всему червь инсталлировался в систему через явовский движок, используя скрипты с получением админовских прав (не работайте в инете под аккаунтом суперюзера).
Все как описано - блокировал диспетчер, редактор, пытался ребутить систему при попытках его выцепить. Накрутка таймера вперёд не помогла (рекламный баннер типа месяц демонстрируется), введёные кода с сайта Вэба тоже не помогли. Пришлось вырубать его руками.
Помог FAR manager (Rulez4erevr!=) Используя через него внешний модуль списка процесов вычислил, что относится к червю, и пути откуда он стартовал. Активный процесс прибить себя не давал (разумеется) - пришлось прибивать джаву, и прочие дочерние процессы. Выяснив местонахождение тела червя я его прибил (сохранив для дальнейшей вивисекции) и почистил нагенерённые им скрипты и всякий мусор во всех темповых директориях (в том числе и ССМ кэш). Он похоже написан на попсовом вижуале, и собирал себя, докачивая компоненты в несколько сеансов.
После проверка авторана в msconfig'е, чистка реестра RegEdit'ом по ключевым компонентам (основное - CurrentVersion\run, ну и там еще кое где) проверка перезагрузкой. Кстати спецом натравил Симантек на папочку с частями червя - результат 0. Следов вредоносного кода не обнаружено, хе хе. На всякий случай подложил обманку - по оригинальным путям создал пустые файлы с исходными названиями и атрибутами RO.
Локально я этого червя победил, но чувствую, что дыра не закрыта. Барузер использовался Google Chrome, но видимо это не сильно влияет на результат - знакомый юзал Мозилу.

Вобщем, никому верить нельзя!
Даже себе

з.ы.
Попович а ты случаем не из этих? Если предлагаешь идти на поводу у шантажистов и слать смс


upd (26.1.2010, 0:34):
буквально сейчас решил загнать на онлайновую проверку с сайта ВЭБа сохранённые кусочки тела червя - и оппа! Их схавал в карантин Симантек Они наконец-то занесли в вирлист сигнатуру этой заразы и обновили базы. Не прошло и недели!

upd#2:
глубокое сканирование выявило еще одну часть червя - файлик sdra64.exe
по пути %WINDIR%\system32\sdra64.exe
объявлен трояном, удалён.

Ага, у меня было такое на днях: нажал посмотреть ролик и появилось окошко с предложением установить adobe flash player, причем сообщение появилось "внутри окошка для просмотра ролика". Учитывая то, что я на днях с сайта adobe скачал последнюю версию плеера - оно не должно было появиться
Подозрительно.... Поэтому качать ничего не стал и ушел с этого сайта

Как благоразумно я сделал

ФЫР, а ты с кем сейчас разговаривал?
Где такой травы нарыл? Похоже, Эгиль, перед отъездом, с тобой поделился

Услышал про такую хрень - стал искать (ноутбук то корпоративный ), пошел на сайты для взрослых- нашел, предложили установить- установил Был в сознании действовал намеренно.
Появился баннер - предложили послать смску, в результате номерок к сожалению оказался не наш. Вирус стал неинтересен - удалил. НИКАОЙ переустановки системы и смс!!

1. Диспетчер задач запустить не позволяет.
2. Открываем вордовый файл и пишем там "хрен вам а не смс"
3. Пуск - завершение работы - ок
4. Все процессы завершаются, баннер пропадает, появляется сообщение с предложением сохранить изменения в документе.
5. Соглашаемся.
6. Запускаем что хотим чистим что хотим. (я ничего не сохранял запускал сразу, поэтому все было во временных папках, поэтому ограничился чисткой темпов)

7. Если кто то из знакомых попадется просите записывать номер и передавать его тому оператору которому он принадлежит, через абонентскую или через знакомых.