Только немножко иначе и местами хуже. Притворяется антивирусом, говорит, что "компьютер заражён" (и не врёт, сволочь ) предлагает "полечить" за смску. Блокирует запуск процессов, кроме нескольких (FF и IE разрешает, но закрывает их при попытке искать по номеру смски). Грузится в том числе и в сейфмоде. Зарубил мою Авиру при помощи политик. Ну и ещё по мелочам. Варианты решения из сети не подошли, будем сносить.
Наглость с номером СМС кажется мне настолько вопиющей, что хочется завести на ребят уголовное дело. Благо по номеру их должно быть несложно вычислить.
Чего не хочется:
— отдавать кому-либо свой винт
— и вообще пускать кого-либо на мой компьютер. У меня винда нелицензионная и вообще не прибрано.
Мне кажется, тут можно было бы разобраться и без моего участия. Товарищи из Др.Веба или Касперского могли бы предоставить код вируса и примеры его распространения. Автор/участник ищется по номеру (если это не фантастическая подстава, конечно ) В общем, вроде не сложно.
Здравствуйте, SergH, Вы писали:
... SH>Какие тут перспективы?
Должен быть потерпевший. Иначе действия другой стороны вреда не принесли.
Сообщение заговорено потомственным колдуном, целителем и магом в девятом поколении!
Модерирование или минусование сообщения ведет к половому бессилию, венерическим заболеваниям, венцу безбрачия и диарее!
Здравствуйте, Кондраций, Вы писали:
К>Должен быть потерпевший. Иначе действия другой стороны вреда не принесли.
Т.е. пока я смску не отправлю, ничего не получится? А потом будет мошенничество с ущербом в 300 рублей?
Мне кажется, это очень странно. Бывает же покушение на убийство, когда все живы остались. Или там позвонить и сказать, что школу заминировал.
Мне кажется, что это вымогательство + [не удавшееся] мошенничество (притворяется антивирусом, врёт о стоимости смски).
К>Здравствуйте, SergH, Вы писали: К>... SH>>Какие тут перспективы? К>Должен быть потерпевший. Иначе действия другой стороны вреда не принесли.
Статья 273 УК РФ. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
Про потерпевших ниче нету. Про вред тоже. Впрочем:
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, — наказываются лишением свободы на срок от трех до семи лет.
То есть просто — без тяжких последствий.
Как много веселых ребят, и все делают велосипед...
Здравствуйте, SergH, Вы писали:
SH>У кого-нибудь есть опыт обращения к ним?
По слухам, обращаться надо не к ним, а в РОВД или че там у вас по месту жительства. А менты уже сами меж собой решат, "К" это или там "Э". Тока они птицы гордые, не пнешь — не полетят.
SH>Какие тут перспективы?
Мошенничество/вымогательство IMHO без мазы — ущерба нет, а был бы — так слишком мал. А вот статья 272 — "неправомерный доступ к компьютерной информации", 273 — "создание, использование и распространение вредоносных программ для ЭВМ" думаю вполне могут прокатить.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, SergH, Вы писали:
SH>Здравствуйте, Кондраций, Вы писали:
К>>Должен быть потерпевший. Иначе действия другой стороны вреда не принесли.
SH>Т.е. пока я смску не отправлю, ничего не получится? А потом будет мошенничество с ущербом в 300 рублей?
SH>Мне кажется, это очень странно. Бывает же покушение на убийство, когда все живы остались. Или там позвонить и сказать, что школу заминировал. SH>Мне кажется, что это вымогательство + [не удавшееся] мошенничество (притворяется антивирусом, врёт о стоимости смски).
Я к тому, что не давать винт может не получится. Это может рассматриваться как вещдок.
Сообщение заговорено потомственным колдуном, целителем и магом в девятом поколении!
Модерирование или минусование сообщения ведет к половому бессилию, венерическим заболеваниям, венцу безбрачия и диарее!
Здравствуйте, Кондраций, Вы писали:
К>Здравствуйте, SergH, Вы писали: К>... SH>>Какие тут перспективы? К>Должен быть потерпевший. Иначе действия другой стороны вреда не принесли.
Здравствуйте, SergH, Вы писали:
SH>Какие тут перспективы?
Практически никаких, к сожалению. Короткий номер принадлежит не злоумышленникам, а аггрегатору, который перепродает его третьим лицам. Перепродает он его, особо не заморачиваясь на паспортный контроль, можешь мне поверить (за что регулярно отгребает, но ничему не учится, ибо бабло). Следовательно, единственной зацепкой является счет в какой-нибудь платежной системе, куда уходит процент вирусописателю. Это счет регулярно меняется, реальные персональные данные там, разумеется, не светятся.
Сообщить в органы стоит, но рассчитывать на успешный исход дела вряд ли имеет смысл, в свете вышесказанного
По делу: вот тут http://v-martyanov.livejournal.com/ практически мой коллега регулярно постит результаты реверсинга всякой нечисти, в т.ч. и коды/алгоритмы разблокировки. Я думаю, тебе стоит связаться с ним, может сможет чем-то помочь.
Тоже всегда возмущают такие наглые дела и удивляет, почему их не крутят в бараний рог. Ведь по идее все средства, поступившие на этот номер — явно результат мошенничества. Всем все пофиг — мвд; оператор связи чаще всего их покрывает, не возвращая средства. Партнер — контент-провайдер, епт.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Практически никаких, к сожалению. Короткий номер принадлежит не злоумышленникам, а аггрегатору, который перепродает его третьим лицам. Перепродает он его, особо не заморачиваясь на паспортный контроль, можешь мне поверить (за что регулярно отгребает, но ничему не учится, ибо бабло). Следовательно, единственной зацепкой является счет в какой-нибудь платежной системе, куда уходит процент вирусописателю. Это счет регулярно меняется, реальные персональные данные там, разумеется, не светятся.
Спасибо, понятно, всё непросто. А то я уж удивлялся, неужели дураки так подставляются. Посмотрим. Может хоть аггрегатора пнём.
KV>По делу: вот тут http://v-martyanov.livejournal.com/ практически мой коллега регулярно постит результаты реверсинга всякой нечисти, в т.ч. и коды/алгоритмы разблокировки. Я думаю, тебе стоит связаться с ним, может сможет чем-то помочь.
Спрошу на всякий случай.
Но вообще вряд ли. Он мне слишком мало инструментов оставил. Скорее всего, если загрузиться в командной строке, вирус не подгрузится и не будет контролировать систему, но и сделать там что-то осмысленное мне будет очень сложно. Т.е. скорее всего быстрее будет переставить ОС.
В A1агрегатор я, кстати, звонил, это их номер. Их вариант "кода активации" тоже не прокатил. Предложили оставить заявку и связаться со мной в течении трёх рабочих дней. Но я решил что как-нибудь сам...
Здравствуйте, SergH, Вы писали:
SH>В A1агрегатор я, кстати, звонил, это их номер. Их вариант "кода активации" тоже не прокатил. Предложили оставить заявку и связаться со мной в течении трёх рабочих дней. Но я решил что как-нибудь сам...
Хм. А ведь это хороший вариант, на самом деле. Они могут сыммитировать отправку сообщения и переслать тебе полученный код. Другое дело, что вирусняк у тебя на машине может вообще не принимать никакие коды, а предложение отправить сообщение — просто развод, не дающий возможности разблокироваться.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Хм. А ведь это хороший вариант, на самом деле. Они могут сыммитировать отправку сообщения и переслать тебе полученный код. Другое дело, что вирусняк у тебя на машине может вообще не принимать никакие коды, а предложение отправить сообщение — просто развод, не дающий возможности разблокироваться.
Как пишут в интернетах, посылка смски правильный код не даёт. Во всяком случае раньше так было. Но такие коды существуют (опять же -- раньше существовали). Есть несколько способов подбора, есть генератор кодов на страничке у Касперского, есть классификатор аналогичных тварей у Веба. Мне ничего не подошло
Последним в списке действия был совет позвонить в A1агрегатор и попросить код у них.
Они дали один из кодов, который я уже пробовал, и он тоже, конечно, не подошёл.
Я как-то недавно тоже подцепил похожую штуку. Оно мне заблокировало CTRL+SHIFT+ESC и убрало возможность выйти на диспетчер задач. Как потом выяснилось, сделано это было через реестр(там есть параметр). Вылетало в синий экран при попытке проверки антивирусом. Тоже грузилось в безопасном режиме.
Я поставил альтернативный менеджер процессов. Воспользовался Tuneup Utilities.
Обнаружил 2 левых процесса. Когда убивал один из них, то оставшийся порождал другой. По имени процесса посмотрел имя файла, который у меня запускается. С удивлением обнаружил что-то вроде "c:\users\admin...\rtyop.tmp". Потом посканил реестр с этим именем и нашел как он загружался. Конечно же это был не LOCAL_MACHINE\...\Run. Потёр ключ, перезагрузился и всё ОК. Хуже было бы, если б вирус мониторил состояние того ключа в реестре. Тогда, я думаю, в Win 7 и Vista помог бы максимальный контроль вносимых изменений. Известный также как UAC.
Здравствуйте, Yuki-no Tenshi, Вы писали:
YNT>Я поставил альтернативный менеджер процессов. ...
Мой гад ловит создание новых процессов и убивает их все сразу. process explorer не запустить, regedit не запустить, даже cmd не запустить. Всякие антивирусные утилитки тоже. Некоторые процессы разрешает -- IE и FF, но тоже контролирует их.
Подозреваю, что технически он всё же ловит создание окон, но мне это не сильно помогает.
Здравствуйте, SergH, Вы писали:
SH>Привет!
SH>У кого-нибудь есть опыт обращения к ним?
SH>Ситуация: сегодня утром обнаружил у себя дома гадость типа такого http://www.cforum.ru/t4/forum/uqn8pm?goto=141593
SH>Только немножко иначе и местами хуже. Притворяется антивирусом, говорит, что "компьютер заражён" (и не врёт, сволочь ) предлагает "полечить" за смску. Блокирует запуск процессов, кроме нескольких (FF и IE разрешает, но закрывает их при попытке искать по номеру смски). Грузится в том числе и в сейфмоде. Зарубил мою Авиру при помощи политик. Ну и ещё по мелочам. Варианты решения из сети не подошли, будем сносить.
Нафига сносить-то? Любой Live CD и грохни все ненужное из системных папок, вот и вся любовь.
Можно еще с редактором реестра извратиться(если вирь прописал себя в SubSystems).
Здравствуйте, StandAlone, Вы писали:
SA>Нафига сносить-то? Любой Live CD и грохни все ненужное из системных папок, вот и вся любовь. SA>Можно еще с редактором реестра извратиться(если вирь прописал себя в SubSystems).
Не очень просто найти всё ненужное. В глаза сразу ничего не бросилось, к сожалению.
Здравствуйте, SergH, Вы писали:
SH>Здравствуйте, StandAlone, Вы писали:
SA>>Нафига сносить-то? Любой Live CD и грохни все ненужное из системных папок, вот и вся любовь. SA>>Можно еще с редактором реестра извратиться(если вирь прописал себя в SubSystems).
SH>Не очень просто найти всё ненужное. В глаза сразу ничего не бросилось, к сожалению.
Ненужные файлы видно по датам.
Еще обычно Live CD идет с редактором реестра, можно вычистить всю ветку HKLM\System\CurrentControlSet\Control\SafeBoot.
Там он сидит, больше негде. Системные папки, локальный профиль пользователя да Temporary Internet Files, самые популярные места скопления вирей.
если, конечно, не заразил какой-нибудь csrss.exe. Но заражение исполняемых файлов сейчас малопопулярный метод, винда малость научилась с ним бороться.
Еще можно тупо заменить все файлы в папке Windows их оригиналами, сохранив реестр.
Здравствуйте, StandAlone, Вы писали:
SA>Ненужные файлы видно по датам.
ну, это если они совсем дураки
SA>Еще обычно Live CD идет с редактором реестра, можно вычистить всю ветку HKLM\System\CurrentControlSet\Control\SafeBoot. SA>Там он сидит, больше негде. Системные папки, локальный профиль пользователя да Temporary Internet Files, самые популярные места скопления вирей. SA>если, конечно, не заразил какой-нибудь csrss.exe. Но заражение исполняемых файлов сейчас малопопулярный метод, винда малость научилась с ним бороться.
Если бы это делал я, это была бы dll-ка, которую грузит эксплорер (или кто-то из системных, благо способов зарегистрировать такую dll десяток). Лучше несколькими способами. Называлась бы неброско, версионинфо какое-нибудь разумное, дата была бы нормальная (например, можно взять даты с файла explorer.exe).
Если концов несколько, а не один, такое даже перебором не вычислить.
Но я, конечно, потычусь сначала. Вдруг повезёт.
SA>Еще можно тупо заменить все файлы в папке Windows их оригиналами, сохранив реестр.
А потом переустановить всё ПО, которое почему-то перестало работать
Увы, боюсь что это решение более трудоёмко, чем поставить заново.
Здравствуйте, SergH, Вы писали:
SH>Если бы это делал я, это была бы dll-ка, которую грузит эксплорер (или кто-то из системных, благо способов зарегистрировать такую dll десяток). Лучше несколькими способами. Называлась бы неброско, версионинфо какое-нибудь разумное, дата была бы нормальная (например, можно взять даты с файла explorer.exe).
Если б это делал я, я бы вообще в отдельный поток записался
Можно фаром найти разницу в наборе файлов эталонной винды(из мемори-диска лайв сиди) и рабочей, а потом из свойств каждого файла попытаться понять, чей он и зачем.
SA>>Еще можно тупо заменить все файлы в папке Windows их оригиналами, сохранив реестр.
SH>А потом переустановить всё ПО, которое почему-то перестало работать
Дак после переустановки всё ПО перестанет работать, вообще. Ну, почти SH>Увы, боюсь что это решение более трудоёмко, чем поставить заново.
Можно еще поставить винду рядом и из-под неё вычистить диск свежим CureIT!-ом.
Не уверен, можно ли это сделать из Live CD.
...индустрии обычно развиваются из-за более-менее “серых” (т.е. не нелегальных, но находящихся на грани) практик. Государство и регулирующие органы обычно опаздывают с установлением правил игры лет на 5-10, но всегда наступает момент, когда количество пользовательских жалоб доходит до критической массы, и тогда волей-неволей кому-то приходится вмешиваться, чтобы установить иллюзию зыбкого баланса.
Я на практике знаком с подобными трендами в американской и австралийской мобильной индустрии (плюс с европейскими практиками, но меньше), когда операторы и их партнёры пытаются чинить произвол (абсолютно легально!), а клиенты сопротивляются. Но если отдать решение проблемы операторам, то они с радостью пообещают разобраться, а на практике будут поддерживать партнёров, которые зарабатывают им деньги, а вполне конкретным лицам в компании – бонусы. Иначе и быть не может: партнёров “сливают” только тогда, когда оператору грозит огромный штраф...
Размышления выглядят здраво. Поэтому складывается ощущение, что вероятность добиться приемлемого результата не очень велика.
Здравствуйте, StandAlone, Вы писали:
SH>>Увы, боюсь что это решение более трудоёмко, чем поставить заново. SA>Можно еще поставить винду рядом и из-под неё вычистить диск свежим CureIT!-ом. SA>Не уверен, можно ли это сделать из Live CD.
SH>Наглость с номером СМС кажется мне настолько вопиющей, что хочется завести на ребят уголовное дело. Благо по номеру их должно быть несложно вычислить.
Если очень хочется то может вам сюда
Здравствуйте, SergH, Вы писали:
SH>Здравствуйте, Yuki-no Tenshi, Вы писали:
YNT>>Я поставил альтернативный менеджер процессов. ...
SH>Мой гад ловит создание новых процессов и убивает их все сразу. process explorer не запустить, regedit не запустить, даже cmd не запустить. Всякие антивирусные утилитки тоже. Некоторые процессы разрешает -- IE и FF, но тоже контролирует их.
SH>Подозреваю, что технически он всё же ловит создание окон, но мне это не сильно помогает.
А что, если попробовать просканировать поиском системные или временные файлы на предмет наличия в них текста iexplore.exe, firefox.exe и т.д. Ведь откуда-то вирус знает можно убивать процесс или нет.
Здравствуйте, Dog, Вы писали:
SH>>Наглость с номером СМС кажется мне настолько вопиющей, что хочется завести на ребят уголовное дело. Благо по номеру их должно быть несложно вычислить. Dog>Если очень хочется то может вам сюда
Я вот примерно об этом и думаю, спасибо.
Есть, правда, несколько тонких моментов: не факт, что код в смске подойдёт, плёночного фотоаппарата у меня нет, вообще с доказательной базой плохо. Мало ли я сам написал эту программу. Адвоката ещё привлекать, хм...
Здравствуйте, SergH, Вы писали:
SH>Ситуация: сегодня утром обнаружил у себя дома гадость типа такого http://www.cforum.ru/t4/forum/uqn8pm?goto=141593
SH>Только немножко иначе и местами хуже. Притворяется антивирусом, говорит, что "компьютер заражён" (и не врёт, сволочь ) предлагает "полечить" за смску. Блокирует запуск процессов, кроме нескольких (FF и IE разрешает, но закрывает их при попытке искать по номеру смски). Грузится в том числе и в сейфмоде. Зарубил мою Авиру при помощи политик. Ну и ещё по мелочам. Варианты решения из сети не подошли, будем сносить.
Тоже на выходных подцепил этот вирус. AVZ помог легко его снести. Процессы вирус убивает по открытым окнам, соответственно если окон не открывать можно многое с ним сделать.
ЗЫ вирусный код был встроен в файл шрифтов и на них стоял вызов как на DLL при старте системы.
Здравствуйте, vb-develop, Вы писали:
VD>Тоже на выходных подцепил этот вирус. AVZ помог легко его снести. Процессы вирус убивает по открытым окнам, соответственно если окон не открывать можно многое с ним сделать.
Здравствуйте, SergH, Вы писали:
Как там у вас дела?
вы не пробовали такую простую вещь как восстановление системы ? можно запуситить и в безопасном режиме
может это банально, но другу помогло.
Еще если он подгружается скажем к эксплореру не ие, по Ф8 выбрать безопасный режим с поддержкой командной строки
там набрать restore/rstrui.exe и выполнить само восстановление на более раннюю дату.
Здравствуйте, dynamic, Вы писали:
D>Как там у вас дела?
Прекрасно, спасибо
Вот начнутся выходные, займусь компом. Пока как-то никак.
D>вы не пробовали такую простую вещь как восстановление системы ? можно запуситить и в безопасном режиме
В безопасном режиме та же фигня, что и в обычном. Так что начну с др-вёбовского Live CD (ТК выше упоминал).
Здравствуйте, dynamic, Вы писали:
D>может это банально, но другу помогло. D>Еще если он подгружается скажем к эксплореру не ие, по Ф8 выбрать безопасный режим с поддержкой командной строки D>там набрать restore/rstrui.exe и выполнить само восстановление на более раннюю дату.
Если я правильно понимаю, что делает эта штука, это надо было сильно раньше делать
Там же ранние даты не с потолка, а предыдущие успешные загрузки. Точно не помню, с какого момента загрузка считается успешной, вроде бы после появления приглашения Ctrl-Alt-Del, но до логина пользователя. Последних загрузок хранится примерно три. Нужное количество перезагрузок у меня прошло. Я как-то понадеялся, что справлюсь сам...
В свете описанной проблемы, установка Линукса в качестве второй системы выглядит довольно разумным решением.
P.S. А в качестве основной системы — ещё более разумным.
N>В свете описанной проблемы, установка Линукса в качестве второй системы выглядит довольно разумным решением. N>P.S. А в качестве основной системы — ещё более разумным.
Напомнило классику:
Мастер Мурамаса делал самурайские мечи как разящее оружие. Мастер Масамунэ — как оружие, которым защищают свою жизнь. Чтобы сравнить их клинки вонзили в дно ручья. По течению плыли опавшие листья. Все листья, что прикасались к мечу Мурамаса, оказывались рассеченными на две части. Листья оплывали меч Масамунэ, не касаясь его.
Петр Данилович Нортон делал антивирусы, грозные, как разящее отмщение ангела. Евгений Валентинович Касперский делал антивирусы, твердые, как железобетонный забор. Чтобы сравнить, их антивирусы поставили на Microsoft Windows XP Professional в локальной сети, по которой постоянно распространялись вирусы. Все вирусы, что попадались антивирусу Нортона, оказались уничтоженными. А машину с антивирусом Касперского вирусы попросту обходили стороной, ведь при 100% загрузке CPU сетевой адаптер не успевает общаться с сетью.
V>Скорее, какая связь между загрузкой ЦП и взаимодействием сетевого адаптера и сети?
Hint: процессор обрабатывает прерывания и управляет передачей данных в ОЗУ, без этих двух ключевых моментов данные попасть в комп не могут. А вообще задавать серьезные вопросы по содержанию анекдотов — занудство. Правда отвечать на занудство занудством еще большее занудство.
TC>Hint: процессор обрабатывает прерывания и управляет передачей данных в ОЗУ, без этих двух ключевых моментов данные попасть в комп не могут.
Хинт. DMA еще никто не отменял. Но вообще-то в анекдоте говорилось о адаптере и сети, а не попадании данных в компьютер.
TC>А вообще задавать серьезные вопросы по содержанию анекдотов — занудство. Правда отвечать на занудство занудством еще большее занудство.
Ну мы же все-таки на айтишном форуме. Вроде как понимаем что к чему.
Здравствуйте, TarasCo, Вы писали:
TC>Напомнило классику: TC> TC>Казалось бы, при чем тут Нортон?
Всё меняется. Сравнение современного Нортона с Касперским уже выглядит по-другому. Линукс тоже изменился. "Добро пожаловать в реальный мир, Нео" (Морфиус).
V>Хинт. DMA еще никто не отменял. Но вообще-то в анекдоте говорилось о адаптере и сети, а не попадании данных в компьютер.
Хинт: DMA не случается само по себе. Сначала драйвер выделяет буфер, потом обрабатывает прерывание, потом настраивает DMA транзакцию. Домашнее задание: узнай, какое отношение к этим операциям имеет CPU.
) предлагает "полечить" за смску. Блокирует запуск процессов, кроме нескольких (FF и IE разрешает, но закрывает их при попытке искать по номеру смски). Грузится в том числе и в сейфмоде. Зарубил мою Авиру при помощи политик. Ну и ещё по мелочам. Варианты решения из сети не подошли, будем сносить. 
