Сегодня товарищ, пытаясь поставить кряк словил вирус, который не пускает в систему и требует отправить смс. В безопасном режиме та же фигня. Проблему решил следующим образом. При выключении системы окошко "отправьте смс" закрывается чуть раньше выключения самих виндов, в этот момент он тормозит систему зажав Esc, благодоря чему та становится доступной, и далее вручную ищет и удаляет все созданные сегодня файлы. Удалил порядка 60-70 файлов, в том числе и безвредные попались под горячую руку, т.к. Skype стал на английском языке, но система стала нормально грузиться по крайней мере. Думаю реестр тоже не помешает почистить. Так что вот так, может кому пригодится.

Всё это он расказал буквально в нескольких словах, так что возможно упустил некоторые детали, но суть думаю передана.

«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе

Цитата:

---

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

---

Словить бы этого мудозвона и по щам настучать. Номер же есть, думаю, определённым структурам было бы несложно проследить обналичку денег.

Загрузись в безопасном режиме с командной строкой, введи explorer.exe и поубивай все подозрительное в автозагрузке.

zhe
никому это не нужно и поэтому никто этим не занимается...а очень жаль!

В моей конторе это был lsaass.exe.
LiveCD в помощь...

помню друг рассказывал про такую фигню, а я говорю:"поди вылетело окошко скачать драйвера для проигрывания этого видеофайла ", я знал, что такое имеет место, он меня не услышал, а потом говорит:"я хотел ролик про нового риддика посмотреть, а там дров не хватает, пришлось установить, а потом вирус при загрузке вылез"

Коды разблокировки компьютера от банера вымогателя смс
http://kav-2010-kis.narod.ru/code.html
Методы борьбы с банером вымогателем смс
http://kav-2010-kis.narod.ru/virus_sms.html

TAPAH55 и другим новичкам:
тэг {url} используйте для СКРЫТИЯ полной ссылки под комментарием к ней, как это описано в Помощь. Если комментария нет, то ссылку можно оставить ОТКРЫТУЮ (без к-л оформления) и она станет КЛИКАБЕЛЬНА.

Вот на этом сайте http://softpile.ru/drweb-livecd.html скачала антивирус решивший мою проблему смс вирусом

melina
Привет, крошка . Спасибо, другу помогло . Еще вот эта программа помогает . А не подскажете как удалить этот вирус с телевизора? . Я его даже на тетрадках видел .

Для борьбы с этой гадостью существует очень хорошее средство — прога Ransomhide. Где взять не помню, на это есть поисковики

Замечательно помогает эта страничка: http://www.drweb.com/unlocker/index/?lng=ru

Все равно после этой разновидности виря нужно будет систему сносить. Он заражет все, что втыкается в комп, он не убивается в безопасном режиме, он клонирует себя постоянно. Недавно пришлось с этой сволочью возиться... замечательная страничка помогает войти в систему, но многое далее не работает.

После "раскодирования" зачистка CureIt'ом обычно помогает....

Stranger_NN
Видимо была другая разновидность... ни КюреИТ, ни НОД32 не помогли. Каспера уж пробовать не стал, думаю тоже бесполезно.

JohnnyMnemoNick, странно. Обычно, если вирус есть на страничке раскодирования, то он и в CureIt! уже прописан.

Stranger_NN
ТОчно такого скрина не было, видимо модификация. Пришлось пробовать много ключей, один подошел. После этого система нормально грузилась, но некоторые приложения работали нестабильно. Некоторые ярлыки пропали с рабочего стола и т.д.

Откат системы обычно помогает....

P!X31
Вирус-то при этом никуда не денется! Глупости не говорите...

после ввода ключа часто воруются пароли из icq/qip и наблюдается нестабильность

Цитата:

---

Все равно после этой разновидности виря нужно будет систему сносить

---

JohnnyMnemoNick
я имел в виду обычный информер который висит в браузерах и требует смс,может мы о разных вещах говорим.тогда звиняйте...

>я имел в виду обычный информер который висит в браузерах и требует смс,может мы о разных вещах говорим.тогда звиняйте...

Этот элементарно отключается через Tools->Manage Add-ons->Enable or Disable Add-ons...
Для всех остальных случаев есть LiveCD, в том числе линуксовые. Надо лишь знать, что и где искать...

Этот элементарно отключается через Tools->Manage Add-ons->Enable or Disable Add-ons...
Для всех остальных случаев есть LiveCD, в том числе линуксовые. Надо лишь знать, что и где искать...

я как раз намедни боролся с такой штукой,прописался в трех браузерах,и как раз таки в аддонах ничего не было,ессно перечитал десятки подобных советов в разных вариациях,и про java скрипты и прочее...прогнал штук шесть фриварных антитроянов и все безтолку,просто сделал откат на сутки и зараза исчезла...злоумышленники тоже не спят,и если раньше с чем то можно было справиться элементарным отключением аддона и удалением неких dll,то сейчас попадаются любопытные экземпляры,которые с наскока не удалить...

Я обычно снимаю хард и сканирую на другом компе Kaspersky или Dr.Web.
Далее надо найти dll (или *.dat или без расширения...) который подгружал троян.
После этого надо пропатчиться и проверить расширения браузеров.

Долго, но за то надёжно.

Подробная инструкция как избавится от баннера, который полностью блокирует компьютер, или пример лечения компьютера с помощью Alkid Live CD&USB.
http://indor.g-service.ru/index.php?opt ... &Itemid=73
Инструменты для борьбы с вирусами, блокирующими Windows.
http://indor.g-service.ru/index.php?opt ... &Itemid=73

Здесь все подробно и главное доступно описано. Вылечивал у себя и у друга, когда ни нод, ни др. веб не видели.

не сочтите за некропостинг, Удаление баннера с рабочего стола, разблокировка Windows | kaspersky.ru — вот эта страница тоже может быть полезна.

Master39
Ерунда,последние экземпляры вируса по этим методам не удалить и загрузочный диск нечего не находит,только время потратите впустую,помогло только снятие винта и удаление вручную подозрительных dll,записей в реестре и последующей чисткой CCleaner.

Последние гадости как правило корректируют загрузку раздела винлогона (hklm\software\microsoft\windows nt\winlogon), конкретно строки shell (значение explorer.exe) и userinit (значение userinit.exe), сами гадости в temp или tempary internet files.

MikeIS
Я тоже их так чищу, если добираюсь до редактора реестра.
Само окно отключаю чаще таким образом:
Очень быстро и много раз нажимаю кнопку Windows, тогда внизу начинает моргать Панель Задач. Когда она моргает, на панели обычно есть окно вируса. Навожу курсор к панели на вирус, нажимаю правой кнопкой, жму Закрыть. Ну, как обычную полноэкранную программу закрываю. Если добрался до рабочего стола, в дело вступают либо руки, либо AVZ.
Если винда на нажатие Windows не реагирует, подключаю жесткий диск к другому компу, подгружаю ветку Software реестра, и чищу ветки Winlogon и Run.
Еще заметил, что Windows 7 на эти вымогатели не реагирует.

Zhiza писал(а):

---

Еще заметил, что Windows 7 на эти вымогатели не реагирует.

---

Реагирует Но не на все. У меня даже был случай, когда винда писала при запуске вируса, что "Данное приложение несовместимо с этой версией Windows" и спрашивала, запустить ли его всё-равно или нет

Нашел сегодня Windows 7 x64 заблокированную трояном 89175341140.
Многократное нажатие кнопки "windows" не помогало, вызов диспетчера задач и альт-табанье тоже не помогало.
Решил проблему (вывести троян из полноэкранного режима) нажатием "Windows + кнопки влево или вправо". Тогда троянец выходит из полноэкранного и прижимается к краю экрана. Теперь можно спокойно вызвать диспетчер и срубить процесс. Троян сидел в
HKCU \Software \Microsoft \WindowsNT \CurrentVersion \Winlogon
В строке shell во временных файлах Оперы. Путь к трояну заменил на Explorer.exe
--
1. Насколько я понимаю, shell в HKCU вызывает оболочку для данного юзера. А он не конфликтует с shell'ом, который в HKLM? Может, удалить?
--
2. Можно ли после установки Windows как-нибудь заблокировать строки shell и userinit от изменения? Чтоб потом юзеры не приходили с такими проблемами?

IMHO вообще можно было удалить — сколько помню, обычно там никаких юзерских shell нет

нашел для ХР. ДУмаю, для семерки тоже пойдет.
Different Shells for Different Users