Вызывает фин. директор горворит мол комп заблокирован смотрю на экран надпись отправьте по смс и получите код разблокировки. И это я уже наблюдаю на 2 предприятии. Что это за вирус, а главное совершенно разные стоят антивири.

это троян, которому присвоено имя троян.винлокер

это не вирус, это новый проект от канала ТнТ

Хренли теперь делать, как его вырубить. Вообще не каким макаром не дает зайти

в яндексе такое напиши кучу ссылок получишь.вроде лечится в безопасном режиме удалением файла в моих документах, чисткой реестра и удаление процесса

не, в безопасный он тоже не пускает
грузись с лайв сд и чисть утилитой от др веба

Подцепи винт к другому компу как слейв и почисти DrWeb'ом. А вообще он вроде бы сам через пару часов удаляется...

http://news.drweb.com/show/?i=304&c=5

(3) СМС попробуйте отправить, получите код разблокировки и тут его запости ))

(6) если это старая версия, новая не удаляет, вчера сталкивался

(8) "пока живут на свете дураки"(c)

Кто знает много весит Dr.Web LiveCD

Вырубить просто! DameWare NT Utilities
Подключаетесь удаленно - убиваете сомнительные процессы, потом ставите DrWeb 5 обновляете базы и лечите

в (7) KeyGenerator от Веба, я им у себя вылечил

DameWare позволяет смотреть и управлять процессами, а главный плюс - он удаленно ставит себя на любой комп к которому есть доступ. DrWeb не пускает этот вирь. Я ловил такой на домашнем

Что самое обидное за день до появления этого вируса прошел весь винт куритом и постоянно мониторится все нодом 4ым

cбрось пароль с помощью Active Password Changer

Где то читал, что он через кодеки передается, у меня активировалься после запуска фильма

(17) А не фиг левые кодеки ставить.

(18) что характерно, я и не ставил =(

А не кто не помнит как этот процесс называется?

а приведи список

Какой то процесс визит подозрительный _Total

И остановить его не дает

Вроде бы эта хрень прописывается в реестре в качестве отладчика Windows по адресу:

HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\current version\image file execution\options\explorer.exe

В этой ветке нужно удалить парметр "debugger"

запусти CureIt

на сайте касперского опубликована даже генерилка разблокировок для этого виря, если это то, о чём я думаю. И была инструкция как вручную его вычистить. В пятницу натыкался на эту инфу

щас скину ссылку

(19) По любому ставил. Наверняка вопрос был и ты нажал да не читая.

А нет, др.веб
Вот решение:

http://news.drweb.com/show/?i=304&c=5

Доктор Веб помогает избавиться от троянца, блокирующего доступ к системе

10 апреля 2009 года

Компания Доктор Веб информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.



В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании Доктор Веб был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.


Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании <Доктор Веб> подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Компания <Доктор Веб> в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленный на компьютере Dr.Web оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами <Доктор Веб>.



Этот генератор ответных кодов активации находится на сайте по ссылке выше.

на хабре был недавно описан оригинальный способ избавления от этой заразы :)

(28) я кодеки в последний раз ставил около полугода назад, брал самый популярный с торрентов... Я все же опытный пользователь ПК =(  а можно кодеки в фильм или звуковую дорожку интегрировать?

Все всем спасибо, запустил. Пока проверяю комп.

Сволочи блин, встречу морду начищу.

А, вообще интересно где этот троян народ подцепает?

(11)
67 966 976 minDrWebLiveCD-5.0.0.iso
http://www.freedrweb.com/livecd/

Мне вот интересно - куда органы наши смотрят - смс шлют ведь на определенный адрес - вычислить организаторов этого дела просто.

один громкий процесс и эта вакханалия прекратиться.

(8) Я знаю людей которые отправляли, что-то около 800 рублей стоит это удовольствие. И вроде даже код прислали обратно, что удивительно.

(38) совсем не удивительно, а что остается делать простым пользователям, которые даже не знают, что такое безопасный режим работы венды или список процессов

(10)Ну почему сразу дураки?
У меня знакомые отправляли смс, сняли порядка 400 рубликов.
На вопрос, почему не обратились за помощью к специалистам, ответили, что неудобно, ибо порнушку эта фигня казала внизу экрана, проще уж заплатить.
Код прислали, что меня несказанно удивило, честное кидалово блин :)
Кстати специалист, взял бы за очистку компьютера от такого зверька, сумму как минимум вдвое большую, а ежели хреновый спец попадется, так еще и уйму времени отнимет.
Поэтому, я бы не стал всех отправивших смс в данном случае называть дураками.

(40) Ага - у меня тоже есть знакомые, которые отправляли смс, когда порнушный банер полэкрана браузера закрывает, после первой же смс все деньги на телефоне кончились, а взад ничего не прислали. Так что не все смс одинаково полезны.

Зло в данном слуаче не вирусы, а мутные сервисы интернет оплаты, которые существуют с попустительства властей, и под прикрытием операторов сотовой связи, ибо за эти сервисы ОПСоСы огребают денег не меньше, чем за основную свою услугу, при минимальных вложениях средств.
ОПсОс всегда отмажется, виноват предоставитель услуги, а наше дело маленькое - деньги перевести, при согласии пользователя.
Вот отсюда и копать надо, ежели позволено осуществлять денежные переводы, будь добр соответствовать, по крайней мере надежно идентифицировать лиц оказывающих данную услугу.
А сейчас короткий номер может взять любой и совершенно анонимно, были бы деньги, они перепродаются в субаренду на каждом углу в интернете, и довольно недорого кстати.