Этот развод я уже давно хотел добавить в список своего сайта. Он достаточно старый, но тем не менее иногда пользователи попадаются. Итак, одна из разновидностей блокировки windows на вашем компьютере.

При входе в систему – появляется окно с содержанием следующего вида.

Самое интересное, что этому окну совершенно без разницы – есть ли у вас лицензия или же нет. Оно просто стоит в автозагрузке.

Обычный обман – излечится можно.

- Заходим на компьютер в безопасном режиме.

- Пуск – Выполнить – набираем - regedit
- Идём по адресу [HKEY_LOCAL_MACHINESOFTWAREMicrosoftW indows NTCurrentVersionWinlogon]
ключ «Shell»=»Explorer.exe» < – если не такой а измененный, например ( …system32driversVinlogon.exe ) то это и есть наш файлик, замените на «explorer.exe»
- сканируем регистр на наличие фаила «driversVinlogon.exe». Всё что нашли – удаляем.
- Перезагружаемся, всё должно быть великолепно.

p.s. Антивирусом можете не проверять, это не вирус.

]]> http://www.ho24me.com/node/98/feed 7 http://www.ho24me.com/node/48 http://www.ho24me.com/node/48#comments Mon, 08 Jun 2009 09:59:35 +0000 admin http://www.ho24me.com/?p=48

В последнее время у многих пользователей при входе на главную страницу сайта Вконтакте появляется сообщение подобного типа:

В связи с многочисленной регистрацией анонимных анкет, и активному подъему уровня спам рассылок – теперь каждая анкета подлежит обязательной активации.
Активация происходит в автоматическом режиме, для этого необходимо отправить бесплатную sms на номер: 4460, 6008, 3354 с кодом ….

Если вы видите такое сообщение у себя в браузере. Это верный признак, что на вашем компьютере установлен вирус или же троян, в общем не знаю даже как его и правильно его назвать – вредоносное ПО.

Смс, которую нам предлагают отослать для его удаления соответственно бесплатной не является, ее цена от 100 до 1000 руб. В зависимости от номера и вашего оператора.

Но существуют иные методы борьбы с этой напастью. Итак, приступим, лечение этой беды:

а) Заходим в меню Пуск – Выполнить, в открывшемся окошке прописываем строчку %SYSTEMROOT%\system32\drivers\etc\hosts (просто скопируйте отсюда) – далее Выбор программы – выбираем Блокнот. (если не получается, пребываем проделать тоже самое в Безопасном режиме)

б) В открытом документе просматриваем, есть ли в тексте упоминание о сайте vkontakte.ru (вконтакте ру). Если есть, удаляем такие строчки.

в) Открываем поиск и водим имя фаила vkontakte.exe. Дополнительные параметры, поиск в скрытых фаилах и папках, а так же поиск в системных папках. Выполняем поиск по всем папкам и дискам компьютера. Найденный фаил vkontakte.exe – удалям.

г) Проверяем весь компьютер антивирусами, желательно скачать Dr.Web CureIt – антивирусный сканер, он точно отыщет всё лишнее.

д) Меняем входной пароль на сайт Вконтакте. И радуемся жизни.

Если на первом шаге через поиск у вас не получается найти заданной строки, то эта проблема решается, ручным поиском необходимого нам фаила. Идём по адресу, C:\WINDOWS\system32\drivers\etc\ – нажимами на фаил hosts, далее выбираем блокнот и повторяем все остальные пункты.

Если это решение вам не помогло, то возможно сделать два альтернативных варианта.

1) Удалить все записи из фаила hosts (желательно предварительно их куда нибудь скопировать, и проверить )

2) Переместить всё содержимое из папки C:\WINDOWS\system32\drivers\etc\ другую папку (любую), но именно переместить, не копировать.

Если и это не помогло, то остается только восстановление системы, на день раньше появления этого сообщения. Или соответственно полная переустановка windows.

Запускаешь программу в фоновом режиме, а она автоматически, бесплатно собирает бонусы на сайтах. За час, можно “насобирать” от двух до двадцать долларов (WMZ) – неплохо, при учёте что суммы указывают за час.

Если же рассмотреть сложившуюся ситуацию немного поближе, начинают появляться интересные факты. Как мне уже известно, такие сайты (раздающие бонусы раз в сутки) реально существуют, но платят сущие копейки и то раз в сутки. (от 5 до 20 коп.)

Другое же дело, это приток программ, которые с ловкость объединяют эти копейки в настоящие сокровища …

Я провел небольшое исследование этих самых автосборщиков. Всё они делятся на несколько категорий, как я понял, в зависимости от смекалки автора. В основном все эти горе-программы объединяет: спам по форумам, комментариям, доскам объявления, или же простой сайтик автора на бесплатном хостине narod или ucoz.
Теперь о самих сборщиках бонусов:

а) Самый верный и проверенный способ наживы. Текст примерно такой, что есть программа, но счастливый обладатель не намерен просто так отдать это чудо. Цена вопроса, 5-10 долларов. И как мне удалось узнать из комментариев, людей которым посчастливилось приобрести это чудо. Продавец программы, исчезал сразу же после перевода средств на его кошель. Так вот – программа – миф…

б) Ситуация аналогична, только здесь уже вы получаете программу, только по непонятной закономерности она одинаково “работает” как при подключенном Интернете, так и оффлайн. Причем счетчик времени и собранных денег не перестает останавливаться.
Или же вам дали программу, но тут как всегда ее нужно активировать… разновидность – вам скидывают архив на котором стоит пароль.

в) Весьма интересный вариант, программа как я понял, написана на Делфи, скачиваем бесплатно, запускаем, идёт имитация сбора. А по завершению, выскакивает сообщение “Вы собрали бонусов на сумму 10 WMZ , они хранятся на нашем сервере, для получения получить вышлете нам 3 WMZ ”. Очень выгодно, только опять несостыковочка, программа без проблем собирает бонусы и в оффлайн режиме.

г) Представляет по попросту – вредоносный фаил. Распространяется бесплатно. Вы скачиваете, сами же его активируете (запускаете). А потом с большим негодованием понимаете, что это попросту вирус, который украл у вас фаил ключей от webmoney.
В этой же программе стоял маленький клавиатурный шпион, который с лёгкостью запомнил все нажатые кнопочки на вашей клавиатуре. Пароли тоже ушли … увы, жаловаться некому … точнее даже не на кого…

Ну вот и всё что удалось отыскать в Рунете… к сожалению ничего стоящего. Лишь на одном форуме нашел упоминание о программе, которая и правда собирала по 10 копеек в день и то с одного сайта. Но как я понял наши “народные умельцы” быстро это исправили, и теперь всё что она собирает – отправляет на один кошелёк, который к сожалению – не ваш.

В заключении, или даже сказать – как итог поста, я бы хотел выставить перечень программ, которые относятся к какому-либо из пунктов представленных выше, попросту сказать эти программы – мусор… Лохотрон.

Список не полный, это лишь всё то, что мне удалось найти на день написания поста. Да и искал я не очень качественно, не люблю бродить по злачным местам …

WM bonus, G.Bonus, QuickWM, Easy wmz 1.0, egoldbonys, Rublik, Bonus 1.5, Hyper Bonus Client v3.0 , Swmzr, автосборщик бонусов Run-money, PowerWZM, earnegold, Seven, СGMoney 1.2, WebBonus 2.0, G-Bucks 1.0.3, Send Gold Pro v 2.0, CashMaker 1.0, Avtobonus, рабочий Teller 2.0,  RGstar v1.1, Picker-wmz 0.1, AllBonus v 1.9, TNS Fast money 2.0, BonusCollector 1.0, FreeMoney, BabyGold, AutoWMR, BelkinBonus, Easy Money v1.1,E-Gold Collector Classic, AutoEarn v4, Earnings 2009, nbxod 1.75.

Avast выводил сообщение: HEUR: trojan.script.iframe.

Потом страница становилась белой, с любопытной дадпесью: Handle communication error null.

Причем подобная картина продолжалась при каждой перезагрузке страницы.

Попробовал поискать в Google описание этого напастья. И вот что нашел.

«HEUR» – это означает, возможно! Т.е. объект подозревается, как опасная программа.

Хотя это утверждение не подтверждено. И бороться пока, с ним никто не собирается.

В сети можно найти несколько различных описаний этого червя. Немного просмотрев, я понял основную идею. Зловредный код добавляется в исполняемый код в виде приложения javascript (расширение .js)

Собственно пока что, никакого ущерба этот скрипт не наносит, но посмотрим что будет в дальнейшем. Возможно начнёт воровать пороли, или сжигать трафик. Посмотрим…