eKav antivirus – борьба, профилактика, последствия

Большой интерес, вызванный моей статьей “Вирус со всплывающим окном. “eKAV антивирус” – программа-вымогатель eKav antivirus. СМС на короткий номер”, опубликованной 3 января 2010 г., стимулировал читателей публиковать свои способы разблокировки вредоносной программы-вымогателя “eKav antivirus” и многих ей подобных. Но сначала напомним о чем идет речь.

Суть дела

В последнее время, а особенно в конце 2009, начале 2010 годов активизировали свою позорную деятельность программы-вымогатели типа “eKav antivirus”. Появились программы такого типа, программы агрегаторы в апреле 2009 года, а к его концу получили устрашающее распространение. Загружаются программы-агрегаторы на компьютер пользователя принудительно и незаметно с помощью специального скрипта, кроящегося в исходном коде какого-нибудь сайта, на который пользователь заманивается обманным путем. Как правило заманить пользователя на подобного рода сайт можно, взломав аккаунт его друга в крупной социальной сети, например Вконтакте или Одноклассники, и написав от его имени сообщение типа “ты не видел его полжизни, а я его нашел, заходи на сайт…” и далее следует адрес, очень похожий на основной сайт, но отличающийся от него одним или двумя символами. Например odnoklasniki.ru или vkontqkte.ru

Загрузившись на компьютер пользователя, программа типа “eKav antivirus” “ждет” перезагрузки компьютера и запускается самостоятельно, не давая открывать никакие приложения и имитируя “бурную деятельность”, например, сканирование машины на предмет обнаружения троянов и вирусов. Перезагрузка компьютера, как правило, ничего не дает и приводит к новому запуску “eKav antivirus” и к новому “сканированию”. На баннере, который открывает программа, пишется “Внимание EKav Antivirus обнаружил вредоносное по на вашем компьютере” и далее предлагается отправить СМС на короткий четырехзначный номер, с текстом, например “К204414900”, чтобы полностью удалить найденные вирусы. Причем “создатели” “eKav antivirus”, утверждают, что это СМС обойдется пользователю всего в 10 рублей. На самом деле, код, приходящий в ответном СМС, если оно, конечно, приходит, оказывается нерабочим и СМС приходится отправлять еще и еще раз. И стоит каждое из таких сообщений далеко не 10 рублей, а намного дороже. В результате оказывается, что с телефонного счета жертвы мошенников снимается кругленькая сумма. Мне написали несколько моих читателей и сообщили, что с их телефонных аккаунтов было снято от 500 до 1500 рублей. Все зависело от того, когда человек понимал, что он обманут и в какой момент переставал посылать СМСки.

Борьба с “eKav antivirus”. Разблокировка.

В статье от 3 января 2010 г. , которая находится тут, я опубликовал способы разблокировки “eKav antivirus”, но мои читатели любезно предоставили мне еще несколько, и я спешу поделиться ими с теми, кто все еще находится в западне программы-вымогателя.

  1. Очень многие сообщают, что им очень помог сервис команды антивируса Dr.WEB, находящийся здесь. Сервис бесплатный. Надо выбрать скриншот программы, которая атакует ваш компьютер, ввести текст сообщения, которое предлагается отправить по СМС и получить бесплатный код разблокировки программы-вымогателя. База данных этого сервиса постоянно пополняется. Безусловно то, что манипуляции с этим сервисом придется делать с чужого компьютера, так как на машине с работающим “eKav antivirus”, браузер запустить не удастся. Несомненно и то, что после разблокировки программы-агрегатора необходимо провести полную очистку системы и деинсталляцию самой программы-вымогателя, благо, что это можно сделать стандартными методами с помощью программ для деинсталляции приложений.
  2. Огромное количество читателей сообщают способы самостоятельного подбора кода для разблокировки “eKav antivirus” и подобных ей программ. Евгений предлагает простой, но действенный способ вычисления кода. К каждой цифре сообщения надо добавить одинаковое число из ряда от 1 до 9, а букву К заменить на первое число кода. Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 345678912, а вместо К подставьте первую цифру получившегося кода, то есть 3. Если код не подходит, пытайтесь прибавить 3, потом 4 и так далее до 9.  Если в результате сложения получается двузначное число, скажем, 12, то обе его цифры тоже следует сложить, в нашем случае получится 3.  Этот способ помог очень многим и этому есть свидетели.
  3. Читатель fdgd предложил таблицу для подбора кода для разблокировки программ-вымогателей, подобных “eKav antivirus”. “eKav antivirus” таблица подбора кода разблокировки В этой таблице все просто. В первом столбце выбирается цифра кода сообщения и заменяется на соответствующую цифру из любого из цветных столбцов. Для одного кода используются цифры только из одного цветного столбца. Если не помог первый столбец, переходите к следующему, один из девяти столбиков должен обязательно помочь.
  4. Роман Лихневский из Киева, квалифицированный IT-шник и просто хороший человек предложил свой способ разблокировки. Он написал программу-генератор кода разблокировки на основании исходного кода программы-вымогателя. Отзывы об этом генераторе поступают положительные, поэтому я публикую ссылку на файлообменник, на который Роман выложил его.
    Скачать генератор кода разблокировки “eKav antivirus” и подобных ему программ можно тут.
  5. Последний способ более кардинален, нежели предыдущие. Если ничего не получилось, переустановите ОС с полным форматированием системного диска. Но сначала попробуйте пп. 1-4 еще и еще раз!!!

Профилактика заражения “eKav antivirus” и другими подобными программами.

  1. Пользуйтесь Файерволом. Он хотя бы предупредит вас о попадании в систему вредоносного ПО. Файерволов много. Есть платные и бесплатные, я предпочитаю бесплатный Comodo Firewall, качайте его тут.
  2. С помощью программы Acronis (загружать тут) всегда держать “под рукой” образ работоспособной версии своей ОС, из которой можно в любой момент восстановить свою операционку со всеми установленными программами и их настройками и данными.
  3. Не переходить по сомнительным ссылкам, а особенно тем, которые были получены на крупных социальных сетях.
  4. При попадании на сайт со всплывающими окнами (технология PopUp), сразу же покинуть его, во избежании заражения компьютера вредоносными программами.
  5. Постоянно сканировать систему с помощью программ для поиска вредоносного ПО, например Lavasoft Ad-Ware (тут)

Если Вы попали на деньги!

Если все же доверились мошенникам и отправили одно или несколько СМС и с вашего телефонного счета сняли несколько сотен рублей, вам необходимо пойти в районную прокуратуру по месту жительства и подать заявление примерно следующего содержания:

Прокурору Деникинского района г. Царицына
Иванова Сергея Моисеевича, проживающего
по адресу: г. Царицын, ул. Колчака, д.19, кв. 18,
тел. 1917—1918-10, моб. +7-918-ХХ-ХХХ-10,
паспорт 5703 № 000000, выдан УВД Деникинского
района г. Царицына 7 ноября 1997 г.

заявление

Я, Иванов Сергей Моисеевич, настоящим сообщаю, что 10.01.10 я был подвергнут мошенническим действиям со стороны неизвестных мне лиц, путем вымогательства у меня с помощью компьютерной программы “eKav antivirus”, которая была установлена на мой компьютер через компьютерную сеть Интернет без  моего ведома. Названная программа полностью блокировала мой компьютер и не давала возможности запустить ни одно компьютерное приложение. Для разблокировки компьютера программа предложила мне отправить сообщение СМС с моего мобильного телефона на номер 4561 с текстом К123456789. Это СМС сообщение было мною отослано, в результате чего с моего счета было снято 900 рублей, а код присланный мне в ответном СМС сообщении не разблокировал программу “eKav antivirus”.
Прошу Вас привлечь к уголовной ответственности производителей этой программы и за их счет возместить мне материальный вред в размере 900 рублей и моральный вред  в размере 18’000 рублей.

Дата
Подпись

  1. NomadUA

    Мдя... серьезная дрянь походу этот троян. Вот кого не люблю, так это авторов вирусов и спаммеров 🙁 Вот лучше бы наше правительства в первую очередь против них воевали а не за эфемерные авторские права...

    1. eavasi

      @NomadUA, это уж точно, что они эфемерные.

      Ну а против хакеров и спамеров надо самим заявления писать, если их будет много, то у многих и желание пропадет этим заниматься. Главное насоздавать кучу прецедентов.

  2. NomadUA

    Мдя... серьезная дрянь походу этот троян. Вот кого не люблю, так это авторов вирусов и спаммеров 🙁 Вот лучше бы наше правительства в первую очередь против них воевали а не за эфемерные авторские права...

    1. eavasi Автор записи

      @NomadUA, это уж точно, что они эфемерные.

      Ну а против хакеров и спамеров надо самим заявления писать, если их будет много, то у многих и желание пропадет этим заниматься. Главное насоздавать кучу прецедентов.

  3. Наблюдатель

    О, Dr.Eavasi! Жень, не дай бог, конечно, эту дрянь подцепить. Но, это точно, как и в жизни — не суйся, куда попало — здоровее будешь 😀

    А серьёзно, то работу ты проделал по сбору и обработке информации просто огромнейшую и помощь твоя реально неоценима. Респект и уважуха!!!

    1. eavasi

      @Наблюдатель, потому и времени нет наладить звук и поговорить с тобою. Целый день этими вирусописателями занимаюсь. 😯

  4. Наблюдатель

    О, Dr.Eavasi! Жень, не дай бог, конечно, эту дрянь подцепить. Но, это точно, как и в жизни — не суйся, куда попало — здоровее будешь 😀

    А серьёзно, то работу ты проделал по сбору и обработке информации просто огромнейшую и помощь твоя реально неоценима. Респект и уважуха!!!

    1. eavasi Автор записи

      @Наблюдатель, потому и времени нет наладить звук и поговорить с тобою. Целый день этими вирусописателями занимаюсь. 😯

  5. amon67

    Проблема возникла в том, что вирус заблокировал вазможности админа, сам вирус удален, а последствия остались. Отключен броузер, запрет на вход в реестр, запрет на установку удаление программ, как с этим после Кава бороться?

      1. amon67

        @eavasi, Спасибо! Удалил DLL вручную. Запустил msconfig, был в папки windows, информер исчез. RegistryFix по ссылке не работает.Работал с avz4, реестр восстановил, дополнительных вирусов не нашел.ProcessExplorer ничего не нашел. Удалил папки реестра по совету выше. Последнюю проблему не победил-интернета нет, модем удален, не переустанавливается, выдает ошибку при установке. В Звере последнем появилась прога по проверке флешек. Занимательная. Определяет программы-паразиты. На своей, после проверки вебом, нашел три авторуна, маскировка под корзину, два вида. Удачи.

        1. eavasi

          @amon67, поздравляю с удачей!!!

          Последнего Зверя скачал только вчера. Очень жаль, что перед последним крахом ОС у меня его не было. Читал тысячи хвалебных отзывов об этой сборке. Сейчас буду искать повод установить ее. Как бы перенести все уже установленные программы? Может Вы знаете способ. Если бы таковой был, то переустановил бы прямо завтра же!

          Спасибо, еще раз.

          Заходите. Жду.

          1. amon67

            @eavasi, Доброго времени суток. Переустановить зверя проще простого. Ставить в ручном режиме до обнаружения операционной системы на компьютере. После этого выбрать раздел жесткого диска, где она стоит, и выбрать функцию R, восстановить. Будет произведена замена системы без изменения установленных программ и настроек системы. (Стоит обратить внимание, что функция восстановления системы будет предложена и до обнаружения операционной системы, на нее не обращать внимания и продолжать ставить).

            По большему счету — зверь система хорошая, но проблемная. Я предпочитаю XTreme_CD_v30_12_9, со зверя беру только сборку для установки программ.

          2. eavasi

            @amon67, спасибо за быстрый ответ. 😛

            Честно говоря, впервые слышу да и сам не ощущал на себе (пользуюсь уже 1,5 года) никаких проблем со Зверем. Если вас не затруднит, напишите, что за проблемы Вы имеете в виду. Может быть они есть и у меня, а я принимаю их как должное и помыслить себе не могу о том, что этого можно избежать.

            Хотя нет, вру, после установки первого моего Зверя (июнь 2008) у меня перестало определяться звуковое оборудование, интегрированное в материнку GA-8I915P DUO, пришлось приобрести отдельную звуковую карту, чтобы получить хоть какой-то звук. Я далек от той мысли, что это трабл на аппаратном уровне, скорее всего что-то с драйверами.

            А вот со сборкой от NNM Club у меня начались неприятности сразу же после установки, пришлось снесте ее через неделю.

            Еще раз спасибо за инструкцию. Большое спасибо. Воспльзуюсь ею и вдобавок скачаю названную Вами сборку. 😛 😆

          3. amon67

            @eavasi, Спасибо за внимание ко мне. Основной проблемой зверя был райд-контроллер, обойти его никак не получалось, а в оборудовании проблемы показывал. Клиентам это не нравилось. Не позволял восстанавливать систему без полной переустановки, сейчас эту проблему решили. С некоторыми видеокартами система работать отказывалась (драйвера на карту ставил родные), при сложной графике видеоигр или не было изображения, или не менялись «тона неба». На другой системе эти проблемы уходили.

          4. eavasi

            @amon67, это не просто внимание, а элементарная дань уважения к грамотному и вежливому человеку.

            Еще раз большое спасибо за то, что удостоили нас своим присутствием. Заходите чаще!!! 😆

  6. amon67

    Проблема возникла в том, что вирус заблокировал вазможности админа, сам вирус удален, а последствия остались. Отключен броузер, запрет на вход в реестр, запрет на установку удаление программ, как с этим после Кава бороться?

      1. amon67

        @eavasi, Спасибо! Удалил DLL вручную. Запустил msconfig, был в папки windows, информер исчез. RegistryFix по ссылке не работает.Работал с avz4, реестр восстановил, дополнительных вирусов не нашел.ProcessExplorer ничего не нашел. Удалил папки реестра по совету выше. Последнюю проблему не победил-интернета нет, модем удален, не переустанавливается, выдает ошибку при установке. В Звере последнем появилась прога по проверке флешек. Занимательная. Определяет программы-паразиты. На своей, после проверки вебом, нашел три авторуна, маскировка под корзину, два вида. Удачи.

        1. eavasi

          @amon67, поздравляю с удачей!!!

          Последнего Зверя скачал только вчера. Очень жаль, что перед последним крахом ОС у меня его не было. Читал тысячи хвалебных отзывов об этой сборке. Сейчас буду искать повод установить ее. Как бы перенести все уже установленные программы? Может Вы знаете способ. Если бы таковой был, то переустановил бы прямо завтра же!

          Спасибо, еще раз.

          Заходите. Жду.

          1. amon67

            @eavasi, Доброго времени суток. Переустановить зверя проще простого. Ставить в ручном режиме до обнаружения операционной системы на компьютере. После этого выбрать раздел жесткого диска, где она стоит, и выбрать функцию R, восстановить. Будет произведена замена системы без изменения установленных программ и настроек системы. (Стоит обратить внимание, что функция восстановления системы будет предложена и до обнаружения операционной системы, на нее не обращать внимания и продолжать ставить).

            По большему счету — зверь система хорошая, но проблемная. Я предпочитаю XTreme_CD_v30_12_9, со зверя беру только сборку для установки программ.

          2. eavasi

            @amon67, спасибо за быстрый ответ. 😛

            Честно говоря, впервые слышу да и сам не ощущал на себе (пользуюсь уже 1,5 года) никаких проблем со Зверем. Если вас не затруднит, напишите, что за проблемы Вы имеете в виду. Может быть они есть и у меня, а я принимаю их как должное и помыслить себе не могу о том, что этого можно избежать.

            Хотя нет, вру, после установки первого моего Зверя (июнь 2008) у меня перестало определяться звуковое оборудование, интегрированное в материнку GA-8I915P DUO, пришлось приобрести отдельную звуковую карту, чтобы получить хоть какой-то звук. Я далек от той мысли, что это трабл на аппаратном уровне, скорее всего что-то с драйверами.

            А вот со сборкой от NNM Club у меня начались неприятности сразу же после установки, пришлось снесте ее через неделю.

            Еще раз спасибо за инструкцию. Большое спасибо. Воспльзуюсь ею и вдобавок скачаю названную Вами сборку. 😛 😆

          3. amon67

            @eavasi, Спасибо за внимание ко мне. Основной проблемой зверя был райд-контроллер, обойти его никак не получалось, а в оборудовании проблемы показывал. Клиентам это не нравилось. Не позволял восстанавливать систему без полной переустановки, сейчас эту проблему решили. С некоторыми видеокартами система работать отказывалась (драйвера на карту ставил родные), при сложной графике видеоигр или не было изображения, или не менялись «тона неба». На другой системе эти проблемы уходили.

          4. eavasi Автор записи

            @amon67, это не просто внимание, а элементарная дань уважения к грамотному и вежливому человеку.

            Еще раз большое спасибо за то, что удостоили нас своим присутствием. Заходите чаще!!! 😆

  7. columbus2

    Спасибо за рекомендации. Меня пока сия чаша миновала, хотя если честно даже не помню, когда последний раз на домашнем писюке что-то находил. Маленький вопрос по Вашим рекомендациям, Вы пишите, что firewall предупредит о попытке проникновения данной заразы. А как это должно выглядеть? Вот я уже не первый год использую OutPost Firewall Pro, как он должен предупредить? Какие порты использует вымогатель и т.д., спасибо.

  8. columbus2

    Спасибо за рекомендации. Меня пока сия чаша миновала, хотя если честно даже не помню, когда последний раз на домашнем писюке что-то находил. Маленький вопрос по Вашим рекомендациям, Вы пишите, что firewall предупредит о попытке проникновения данной заразы. А как это должно выглядеть? Вот я уже не первый год использую OutPost Firewall Pro, как он должен предупредить? Какие порты использует вымогатель и т.д., спасибо.

  9. Мамай

    5-го числа подцепил OutPost Firewall Pro (OutPost Firewall Pro и Аваст!- не помогли). С помощю таблицы разблокировал- спасибо! Переустановил аваст(OutPost не смог удалить, потому программа касперского не установилась).Сегодня идентичная проблемма, но вместо Ekav-INTERNET SEQYRITY-удалить не могу(код и телефон тот же)

  10. Мамай

    5-го числа подцепил OutPost Firewall Pro (OutPost Firewall Pro и Аваст!- не помогли). С помощю таблицы разблокировал- спасибо! Переустановил аваст(OutPost не смог удалить, потому программа касперского не установилась).Сегодня идентичная проблемма, но вместо Ekav-INTERNET SEQYRITY-удалить не могу(код и телефон тот же)

  11. Drew

    У меня было K 205014200 получилось с прибавленной восьмеркой, то есть 1184893188. Подскажите, кто-нибудь после снятия блокировки пробовал деинсталлировать eKav — как он там называется?

  12. Drew

    У меня было K 205014200 получилось с прибавленной восьмеркой, то есть 1184893188. Подскажите, кто-нибудь после снятия блокировки пробовал деинсталлировать eKav — как он там называется?

  13. Уведомление: На смену eKav antivirus приходит вымогатель - Internet Security | БЕЛАЯ ШЛЯПА

  14. Алеся

    ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!

    прибавила 1 к коду и все сработало) у меня сегодня вылез интернет секъюрити!!! госпади, какие уроды это делают(

    1. eavasi

      @Алеся, очень рад что и вам тоже помогли мои советы.

      Не сердитесь на них, они убогие.

  15. Алеся

    ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!

    прибавила 1 к коду и все сработало) у меня сегодня вылез интернет секъюрити!!! госпади, какие уроды это делают(

    1. eavasi Автор записи

      @Алеся, очень рад что и вам тоже помогли мои советы.

      Не сердитесь на них, они убогие.

  16. sergun

    Завтра, вооружившись вашими советами отправляюсь на борьбу с этой гадостью, поразившей комп моей тетушки. Я думал, что обойдусь своими знаниями, но ущербные и алчные товарищи вирусописЦЫ времени не теряли...Большое спасибо вам, Евгений, за столь полное изучение и обобщение этой полезнейшей темы, потому как на просторах рунета всё это есть, но уж больно разрозненно(не знаешь что пробовать сначала), а у вас все по теме!! Спасибо еще раз! Удачи во всех начинаниях!

    1. eavasi

      Сережа, большое спасибо за добрые слова и удачи Вам в этой работе, думаю, что все пройдет легко и без запинок.

      Мне пишут, что мало кто испытывает трудности как с удалением, так и с разблокировкой вирусов подобного рода.

      Бог в помощь. ❗ 😆

  17. sergun

    Завтра, вооружившись вашими советами отправляюсь на борьбу с этой гадостью, поразившей комп моей тетушки. Я думал, что обойдусь своими знаниями, но ущербные и алчные товарищи вирусописЦЫ времени не теряли...Большое спасибо вам, Евгений, за столь полное изучение и обобщение этой полезнейшей темы, потому как на просторах рунета всё это есть, но уж больно разрозненно(не знаешь что пробовать сначала), а у вас все по теме!! Спасибо еще раз! Удачи во всех начинаниях!

    1. eavasi

      Сережа, большое спасибо за добрые слова и удачи Вам в этой работе, думаю, что все пройдет легко и без запинок.

      Мне пишут, что мало кто испытывает трудности как с удалением, так и с разблокировкой вирусов подобного рода.

      Бог в помощь. ❗ 😆

  18. Уведомление: Как убрать (удалить, разблокировать) порно баннер | БЕЛАЯ ШЛЯПА

  19. Уведомление: Блог болтливого учителя » eKAV антивирус

  20. Nikita78

    Подцепил эту дрянь.

    Начал подбирать коды из Вашей таблицы. Три первых не прошли, подошёл код по правилу из 4 столбца. Комп ушёл в ребут, после которого пропало всплывающее окно и разблокировался запуск программ и менеджера задач. Реестр остался заблокированным. далее установил «Kaspersky Virus Removal Tool» прошерстил систему. Прибито около 200 левых .DLL В папке System 32. Для гарантии ещё прошёлся пакетом AVZ. Сейчас всё работает нормально.

    Большое человеческое спасибо за Вашу работу! 😉

    1. eavasi

      @Nikita78, спасибо Вам за то, что написали как все прошло.

      Добро пожаловать на Белую Шляпу еще много раз.

  21. Nikita78

    Подцепил эту дрянь.

    Начал подбирать коды из Вашей таблицы. Три первых не прошли, подошёл код по правилу из 4 столбца. Комп ушёл в ребут, после которого пропало всплывающее окно и разблокировался запуск программ и менеджера задач. Реестр остался заблокированным. далее установил «Kaspersky Virus Removal Tool» прошерстил систему. Прибито около 200 левых .DLL В папке System 32. Для гарантии ещё прошёлся пакетом AVZ. Сейчас всё работает нормально.

    Большое человеческое спасибо за Вашу работу! 😉

    1. eavasi Автор записи

      @Nikita78, спасибо Вам за то, что написали как все прошло.

      Добро пожаловать на Белую Шляпу еще много раз.

  22. Ra

    😀

    привет. по методу читателя fdgd третьего пункта разблокировал творенье чертов-вымогателей, гореть им в антивируснике. Благодарю администрацию данного сайта

    1. eavasi

      @Ra, администрация сайта в лице Евгения Васильева выносит Вам встречную благодарность за теплые слова и за то, что воспользовались советами. Заходите чаще. Ждем всегда. Каждый читатель блога — огромная ценность для нас!

  23. Ra

    😀

    привет. по методу читателя fdgd третьего пункта разблокировал творенье чертов-вымогателей, гореть им в антивируснике. Благодарю администрацию данного сайта

    1. eavasi Автор записи

      @Ra, администрация сайта в лице Евгения Васильева выносит Вам встречную благодарность за теплые слова и за то, что воспользовались советами. Заходите чаще. Ждем всегда. Каждый читатель блога — огромная ценность для нас!

  24. Evgeniy

    Привет!

    Спасибо за информацию о данной напасти.

    У меня такая вот просьба — можно поподробнее рассказать о механизме заражения? Вы пишите, что заражение происходит через браузер с помощью некоторого скрипта на «левом» сайте. Но ведь, насколько мне известно, у javascript нет возможности сохранить что-то на машине клиента (за исключением cookies) и выполнить на ней произвольный код (который мог бы что-то добавить в автозагрузку).

    Было бы очень интересно услышать подробности, чтобы осознанно принять меры по защите системы.

    1. eavasi

      @Evgeniy, ОК, спасибо за совет, напишу о механизме заражения отдельно. Там хватит информации на отдельную статью, выхода которой ждите к концу этой недели.

      Благодарю еще раз. Заходите сюда чаще!

      1. Evgeniy

        @eavasi, А статья ещё не готова? Почитал бы с удовольствием.

        1. eavasi

          @Evgeniy, запланирована на конец этой или начало той недели, я обязательно сообщу Вам лично!!!

          Спасибо за терпение!

  25. Evgeniy

    Привет!

    Спасибо за информацию о данной напасти.

    У меня такая вот просьба — можно поподробнее рассказать о механизме заражения? Вы пишите, что заражение происходит через браузер с помощью некоторого скрипта на «левом» сайте. Но ведь, насколько мне известно, у javascript нет возможности сохранить что-то на машине клиента (за исключением cookies) и выполнить на ней произвольный код (который мог бы что-то добавить в автозагрузку).

    Было бы очень интересно услышать подробности, чтобы осознанно принять меры по защите системы.

    1. eavasi Автор записи

      @Evgeniy, ОК, спасибо за совет, напишу о механизме заражения отдельно. Там хватит информации на отдельную статью, выхода которой ждите к концу этой недели.

      Благодарю еще раз. Заходите сюда чаще!

      1. Evgeniy

        @eavasi, А статья ещё не готова? Почитал бы с удовольствием.

        1. eavasi Автор записи

          @Evgeniy, запланирована на конец этой или начало той недели, я обязательно сообщу Вам лично!!!

          Спасибо за терпение!

    1. eavasi

      @серж, вы перепробовали все спосбы? Один из всех здесь описанных должен обязательно помочь. Пробуйте, отрицательных отзывов еще ни одного не было.

    1. eavasi Автор записи

      @серж, вы перепробовали все спосбы? Один из всех здесь описанных должен обязательно помочь. Пробуйте, отрицательных отзывов еще ни одного не было.

  26. Игорь

    Тоже на днях удалял такой вирус, правда без подбора кода, так как там еще десяток сидел. Описал у себя сайте. И дополнение по поводу образа. Рекомендую пользователям не хранить свои данные на системном диске (диске С:). Тогда процесс восстановления из образа будет гораздо быстрее и почти без потерь. И еще. Если уж так хочется полазить по порносайтам или социалкам, используйте для этого виртуальную машину с линуксом. Так будет еще безопаснее.

    1. eavasi

      @Игорь, полезнейшее замечание, которое я упустил, что данные надо держать на другом разделе, а еще лучше другом диске.

      Чем больше образ, тем дольше восстановление будет длиться.

      Спасибо.

  27. Игорь

    Тоже на днях удалял такой вирус, правда без подбора кода, так как там еще десяток сидел. Описал у себя сайте. И дополнение по поводу образа. Рекомендую пользователям не хранить свои данные на системном диске (диске С:). Тогда процесс восстановления из образа будет гораздо быстрее и почти без потерь. И еще. Если уж так хочется полазить по порносайтам или социалкам, используйте для этого виртуальную машину с линуксом. Так будет еще безопаснее.

    1. eavasi Автор записи

      @Игорь, полезнейшее замечание, которое я упустил, что данные надо держать на другом разделе, а еще лучше другом диске.

      Чем больше образ, тем дольше восстановление будет длиться.

      Спасибо.

  28. GeorgeRu

    В статье небольшая ошибка!

    В тексте:

    Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 245678912, а вместо К подставьте первую цифру получившегося кода, то есть 2.

    Правильно будет так:

    Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 345678912, а вместо К подставьте первую цифру получившегося кода, то есть 3.

    1. eavasi

      @GeorgeRu, большое спасибо. Исправлено. Это моя рассеянность. Извиняюсь. Странно, что никто раньше этого не заметил.

  29. GeorgeRu

    В статье небольшая ошибка!

    В тексте:

    Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 245678912, а вместо К подставьте первую цифру получившегося кода, то есть 2.

    Правильно будет так:

    Например, вам предлагается выслать СМС с текстом К123456789, прибавьте к каждому из этих цифр, предположим 2, получится 345678912, а вместо К подставьте первую цифру получившегося кода, то есть 3.

    1. eavasi Автор записи

      @GeorgeRu, большое спасибо. Исправлено. Это моя рассеянность. Извиняюсь. Странно, что никто раньше этого не заметил.

  30. visp

    (((( 861287854 номер 1350

    все попробовал не помогает.

    делал проверку CureIt в безопасном режиме, что то нашел, удалил его. но после перезагрузки окно всплыло снова.

      1. visp

        @eavasi,

        решил проблему. нарвался на Flash Video Decoder — Get Access. скачал на плагин для видео. Решение:

        1) Перезагрузить комп, в BIOS откатить дату на год...

        2) Интернет заработал, скачал Uninstall Gold

        3) Через нее нашел Flash Video Decoder — Get Access

        4) Снес гада и дал согласие на чистку реестра...

        Ах да, сидел он:

        .globalrootsystemrootsystem32

        Реестр:

        HKEY_LOCAL_MACHINESOFTWAREMICROSOFTCurrentVersionApp ManagementARPCache{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

        1. eavasi

          @visp, спасибо большое и за эту методику.

          Приятно, что справились. Поздравляю.

  31. visp

    (((( 861287854 номер 1350

    все попробовал не помогает.

    делал проверку CureIt в безопасном режиме, что то нашел, удалил его. но после перезагрузки окно всплыло снова.

      1. visp

        @eavasi,

        решил проблему. нарвался на Flash Video Decoder — Get Access. скачал на плагин для видео. Решение:

        1) Перезагрузить комп, в BIOS откатить дату на год...

        2) Интернет заработал, скачал Uninstall Gold

        3) Через нее нашел Flash Video Decoder — Get Access

        4) Снес гада и дал согласие на чистку реестра...

        Ах да, сидел он:

        \.globalrootsystemrootsystem32

        Реестр:

        HKEY_LOCAL_MACHINESOFTWAREMICROSOFTCurrentVersionApp ManagementARPCache{аааааааа-F03B-4b4) -A3D0-F62E04DD1C09}

        1. eavasi Автор записи

          @visp, спасибо большое и за эту методику.

          Приятно, что справились. Поздравляю.

  32. благодарю

    СПАСИБО ОГРОМНЕЙШЕЕ!! генератор кода помог! выйти в инет было невозможно,вирусняки не работали, откат системы не сделать!! Уже надежду потеряли!

    теперь все почистим, вирусы удалим!

    СПАСИБО!

    1. eavasi

      @благодарю, отлично, что справились. Спасибо, что написали об этом.

      Заходите почаще. 😛

  33. благодарю

    СПАСИБО ОГРОМНЕЙШЕЕ!! генератор кода помог! выйти в инет было невозможно,вирусняки не работали, откат системы не сделать!! Уже надежду потеряли!

    теперь все почистим, вирусы удалим!

    СПАСИБО!

    1. eavasi

      @благодарю, отлично, что справились. Спасибо, что написали об этом.

      Заходите почаще. 😛

  34. Admin shtoff

    😀 😉 столкнулся с тойже траблой только интернет секюрити ( на компе небыло антивира просто недавно установил винду заново) заюзал кей ген и с третьего ключа все заработало!спасибо большое подпишусь на вашу рассылку потому что такие бояны у меня довольно частые приходиться скачивать сборки серверов и MYsql баз а времени на вирусы проверять просто нет =)

    1. eavasi

      @Admin shtoff, ОК, прекрасно, что все так хорошо разрешилось и обошлось. А расскажите, с какого компа открывали доступ к этому сайту, ваш-то ведь заблокированный был?

  35. Admin shtoff

    😀 😉 столкнулся с тойже траблой только интернет секюрити ( на компе небыло антивира просто недавно установил винду заново) заюзал кей ген и с третьего ключа все заработало!спасибо большое подпишусь на вашу рассылку потому что такие бояны у меня довольно частые приходиться скачивать сборки серверов и MYsql баз а времени на вирусы проверять просто нет =)

    1. eavasi Автор записи

      @Admin shtoff, ОК, прекрасно, что все так хорошо разрешилось и обошлось. А расскажите, с какого компа открывали доступ к этому сайту, ваш-то ведь заблокированный был?

  36. Evgeniy

    Очень нужное дело!Хотя меня сия чаша и меновала ( win7+kis2010),но комне часто обращаются знакомые.Что то получается, а что то нет — теперь с ВАШЕЙ помощью будет гораздо эффективней!Огромное ВАМ спасибо!!!

    1. eavasi

      @Evgeniy, такое же огромное Вам пожалуйста и не менее огромное спасибо за добрые слова и за то, что отписались, что помогает, и за то, что захОдите.

      Рад видеть вас еще и еще раз.

      Приходите, адрес известен и прост — eavasi.ru 😛

  37. Evgeniy

    Очень нужное дело!Хотя меня сия чаша и меновала ( win7+kis2010),но комне часто обращаются знакомые.Что то получается, а что то нет — теперь с ВАШЕЙ помощью будет гораздо эффективней!Огромное ВАМ спасибо!!!

    1. eavasi

      @Evgeniy, такое же огромное Вам пожалуйста и не менее огромное спасибо за добрые слова и за то, что отписались, что помогает, и за то, что захОдите.

      Рад видеть вас еще и еще раз.

      Приходите, адрес известен и прост — eavasi.ru 😛

  38. Уведомление: Программы-вымогатели. Классификация. Способы лечения | БЕЛАЯ ШЛЯПА

  39. NoLog

    улыбнуло про моральный ущерб в размере 18 000 р =)))

    1. eavasi

      @NoLog, в смысле много или мало, или совсем не надо было упоминать?

      Честно говоря, должно было улыбнуть название населенного пункта, Царицын, Деникинский район.

      Спасибо, что обратили внимание.

      Заходите почаще. Жду.

  40. NoLog

    улыбнуло про моральный ущерб в размере 18 000 р =)))

    1. eavasi Автор записи

      @NoLog, в смысле много или мало, или совсем не надо было упоминать?

      Честно говоря, должно было улыбнуть название населенного пункта, Царицын, Деникинский район.

      Спасибо, что обратили внимание.

      Заходите почаще. Жду.

  41. Уведомление: Программы вымогатели. Психологическая атака | БЕЛАЯ ШЛЯПА

  42. SW©

    Ещё один способ.

    Если у вас есть под рукой установочный диск Windows — запустите программу установки и попробуйте «Восстановить» установленную версию Windows.

    После завершения процесса установки просканируйте свой компьютер антивирусом со свежими базами (для удаления оставшихся файлов вируса).

    Возможно прийдётся разблокировать антивирусное ПО. Для этого удалите ветку рееастра:

    HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths

    Примечание:

    1. Перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon проверьте значения таких параметров:

    а. Shell=Explorer.exe

    б. UIHost=logonui.exe

    в. Userinit=E:WINDOWSsystem32userinit.exe, (ОБЯЗАТЕЛЬНО с запятой!!!)

    2. В ветках связанных с автозапуском (например HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun и подобных) удалите все параметры содержащие записи «Explorer.exe program.exe», «Explorer.exe program.dll», «Explorer.exe userini.exe», «rundll32.exe program.exe», «rundll32.exe program.dll». Где , «program.exe» или , «program.dll» произвольные имена файла-вируса.

  43. SW©

    Ещё один способ.

    Если у вас есть под рукой установочный диск Windows — запустите программу установки и попробуйте «Восстановить» установленную версию Windows.

    После завершения процесса установки просканируйте свой компьютер антивирусом со свежими базами (для удаления оставшихся файлов вируса).

    Возможно прийдётся разблокировать антивирусное ПО. Для этого удалите ветку рееастра:

    HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSaferCodeIdentifiersPaths

    Примечание:

    1. Перейдите в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon проверьте значения таких параметров:

    а. Shell=Explorer.exe

    б. UIHost=logonui.exe

    в. Userinit=E:WINDOWSsystem32userinit.exe, (ОБЯЗАТЕЛЬНО с запятой!!!)

    2. В ветках связанных с автозапуском (например HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun и подобных) удалите все параметры содержащие записи «Explorer.exe program.exe», «Explorer.exe program.dll», «Explorer.exe userini.exe», «rundll32.exe program.exe», «rundll32.exe program.dll». Где , «program.exe» или , «program.dll» произвольные имена файла-вируса.

  44. dimon

    Sms virus с текстом a504815000 на номер 4460

    код 9244767443

    Ответ дали в тех. службе по тел. 8 800 555 01 02 ждать 5-10 минут.

    P.s. У них генератор от самого вируса 🙂

    1. eavasi

      @dimon, прекрасно, что появилась такая служба. После разблокировки надо почистить реестр и все! Тогда будет действительно все. 😛

      Благодарю за комментарий с полезным номером телефона. 😆

  45. dimon

    Sms virus с текстом a504815000 на номер 4460

    код 9244767443

    Ответ дали в тех. службе по тел. 8 800 555 01 02 ждать 5-10 минут.

    P.s. У них генератор от самого вируса 🙂

    1. eavasi

      @dimon, прекрасно, что появилась такая служба. После разблокировки надо почистить реестр и все! Тогда будет действительно все. 😛

      Благодарю за комментарий с полезным номером телефона. 😆

  46. Евгений

    могу посоветовать еще один способ по мимо переустановки системы.

    ведь у многих включено восстановление системы вы что про него забыли просто восстановить по точке сохранения до даты появления баннера

    1. eavasi

      @Евгений, спасибо за этот способ. Но, мне кажется, он не всегда срабатывает, просто блокируется доступ к любой функции администрирования локальной машины.

      1. Евгений

        @eavasi, Забыл добавить у я это в безопасном режиме делал

  47. Евгений

    могу посоветовать еще один способ по мимо переустановки системы.

    ведь у многих включено восстановление системы вы что про него забыли просто восстановить по точке сохранения до даты появления баннера

    1. eavasi

      @Евгений, спасибо за этот способ. Но, мне кажется, он не всегда срабатывает, просто блокируется доступ к любой функции администрирования локальной машины.

      1. Евгений

        @eavasi, Забыл добавить у я это в безопасном режиме делал

  48. Уведомление: Награда за творчество | Блог Берёза Владимира

  49. Уведомление: Программы Вымогатели. Рецепты читателей. Лечение и Удаление | БЕЛАЯ ШЛЯПА

  50. TAPAH55

    Часто вирусы блокируют антивирусные сайты, становится не доступным сервис по подбору кода для разблокировки вируса вымогателя СМС и скачка бесплатных утилит.

    ya-darom.pochta.ru/code.html

    Здесь регулярно собираю коды разблокировки и выкладываю для скачки бесплатные утилиты.

  51. TAPAH55

    Часто вирусы блокируют антивирусные сайты, становится не доступным сервис по подбору кода для разблокировки вируса вымогателя СМС и скачка бесплатных утилит.

    ya-darom.pochta.ru/code.html

    Здесь регулярно собираю коды разблокировки и выкладываю для скачки бесплатные утилиты.

  52. Denzy

    спасибо за помощь . Нам помог сайт Dr. WEb'a

    1. eavasi

      @Denzy, отлично, что нашли решение. Радуюсь вместе с вами!!!

  53. Denzy

    спасибо за помощь . Нам помог сайт Dr. WEb'a

    1. eavasi

      @Denzy, отлично, что нашли решение. Радуюсь вместе с вами!!!

  54. Shutich

    У знакомых была проблема. Помогла бесплатная утилита от Dr.Web.

    Теперь знакомые юзают Avast.

    1. eavasi

      @Shutich, отлично, что помогло. Уже не первый раз слышу об этом.

        1. eavasi

          @Shutich, ага спасибо, я писал про нее в последней статье. Но повторение не помешает. Заходите, всегда рад!

          1. Shutich

            @eavasi, я зашёл по совету одного блогера, и прочитал последний пост. А так я передуйщий пост не читал. Но сейчас посмотрел несколько постов, и мне интересно стало. Добро пожаловать в мой ридер 🙂

          2. eavasi

            @Shutich, обязательно приду к вам.

            Приятно, что меня советуют почитать. Очень приятно!

          3. eavasi

            @Shutich, я буду стараться оправдать Ваши ожидания. Спасибо.

  55. Shutich

    У знакомых была проблема. Помогла бесплатная утилита от Dr.Web.

    Теперь знакомые юзают Avast.

    1. eavasi

      @Shutich, отлично, что помогло. Уже не первый раз слышу об этом.

        1. eavasi

          @Shutich, ага спасибо, я писал про нее в последней статье. Но повторение не помешает. Заходите, всегда рад!

          1. Shutich

            @eavasi, я зашёл по совету одного блогера, и прочитал последний пост. А так я передуйщий пост не читал. Но сейчас посмотрел несколько постов, и мне интересно стало. Добро пожаловать в мой ридер 🙂

          2. eavasi Автор записи

            @Shutich, обязательно приду к вам.

            Приятно, что меня советуют почитать. Очень приятно!

          3. eavasi

            @Shutich, я буду стараться оправдать Ваши ожидания. Спасибо.

  56. Уведомление: Встретим кибер вымогателей 100% защищенными | БЕЛАЯ ШЛЯПА

  57. Юрий

    Все это конечно интересно, но дело в том, что выше приведенные советы все меньше помогают, эти вирусописатели тоже не дураки, читают подобные

    статьи и делают соответствующие выводы. Нужно

    как-то централизованно все делать, я все собираюсь на

    мэйлру общество создать по борьбе с этой хренью,

    все собираюсь :- (

  58. Юрий

    Все это конечно интересно, но дело в том, что выше приведенные советы все меньше помогают, эти вирусописатели тоже не дураки, читают подобные

    статьи и делают соответствующие выводы. Нужно

    как-то централизованно все делать, я все собираюсь на

    мэйлру общество создать по борьбе с этой хренью,

    все собираюсь :- (

  59. Уведомление: мобильный сканер, мобильный сканер правда или обман, скачать мобильный сканер бесплатно, мобильный сканер развод, мобильный сканер лохотр

  60. Уведомление: СМС на номер 9800. Разблокировка порно баннера | БЕЛАЯ ШЛЯПА

  61. Уведомление: Сайты от команды 4632! » Blog Archive » Как убрать порно-баннер

  62. игорь

    ещё хрень какая-то появилась-мой компьютер наз-ся.всё имитирует ос вин хр.лечить предлогает чуть не повёлся.вспомнил у меня же виста

    1. eavasi

      @игорь, извините, я не очень понял содержание вашего комментария

      1. игорь

        @eavasi, при посещении инета неожиданно появляется окно во весь экран. типа сообщение от антивируса-компьютер подвергается опасности идет как бы скан-ние компа и находит оч много вирусов.и предлагает лечить.так вот это окно стилизованно под виндос хр. а у меня виста .будте внимательней

  63. игорь

    ещё хрень какая-то появилась-мой компьютер наз-ся.всё имитирует ос вин хр.лечить предлогает чуть не повёлся.вспомнил у меня же виста

    1. eavasi Автор записи

      @игорь, извините, я не очень понял содержание вашего комментария

      1. игорь

        @eavasi, при посещении инета неожиданно появляется окно во весь экран. типа сообщение от антивируса-компьютер подвергается опасности идет как бы скан-ние компа и находит оч много вирусов.и предлагает лечить.так вот это окно стилизованно под виндос хр. а у меня виста .будте внимательней

    1. eavasi

      Отлично, что помогло. Вчера этими же методами лечил рабочий компьютер, тоже помогло.

    1. eavasi

      Отлично, что помогло. Вчера этими же методами лечил рабочий компьютер, тоже помогло.

  64. Stiler

    Считаете этот антивирус хорошим решением для безопасности ПК?

    Лично я пользуюсь NOD32 — всем устраивает.

    1. eavasi

      Я счтаю хорошим тот антивирусник, который справляется с этими и со всеми другими проблемами. Недавно на рабочем компе очень помог Доктор ВЕБ, кто-то лечится Каспером и очень доволен им. Однозначно дать оценку какому-то продукту сложно. Ситуации бывают разные и пути выхода из них тоже совсем разные.

      Спасибо Вам за комментарий. Заходите почаще, всегда рад вам.

  65. Stiler

    Считаете этот антивирус хорошим решением для безопасности ПК?

    Лично я пользуюсь NOD32 — всем устраивает.

    1. eavasi Автор записи

      Я счтаю хорошим тот антивирусник, который справляется с этими и со всеми другими проблемами. Недавно на рабочем компе очень помог Доктор ВЕБ, кто-то лечится Каспером и очень доволен им. Однозначно дать оценку какому-то продукту сложно. Ситуации бывают разные и пути выхода из них тоже совсем разные.

      Спасибо Вам за комментарий. Заходите почаще, всегда рад вам.

Обсуждение закрыто.