http://slil.ru/28434578
http://slil.ru/28434580

Ни чем не могу убить.
Доктор Вебер не помогает и ничего не находит, AVZ запустить не могу, система перегружается (но если винт подключить к другой машине то ничего не находит), Касперский ничего не находит. Полная ж.па!
Темы про СМС не помогают.
AnVir Task Manager запустить не могу не в Безопасном не в обычном, msconfig не всё видет.
Что за хрень? Как убить?
Или только систему переустанавливать?

Dr.Web® LiveCD тоже проверял, нет ничего.
НО КАК НЕТ (?) если эта хрень у меня перед глазами! :(

Было че то подобное, вылечил формат С и переустановка виндов. )

(1) Придется скорей всего так и сделать, четвёртый час вожусь, надоело!
С такой еще фигнёй не встречался.

На какой операционке живешь?
выключи машину зайди в безопасном режими
востанови на дату двухнедельной давности.
Снова в безопасном режими и  запускай "собак"

На  http://habrahabr.ru/  была тема
Вирусы (и антивирусы) ? Сервис разблокировки (деактивации) SMS-вымогателей от «Лаборатории Касперского»
"Лаборатория Касперского" и портал VirusInfo представляют бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер.

http://virusinfo.info/deblocker/

(3) На ХР.
Не даёт восстановить, пробовал.

Вирус выдает окно типа "отправьте смс"
пост 65

Покормите же оленей, емае.

Вирусописатели не дураки, восстановление винды заражают прежде всего. Либо как в (6). Либо с лайв СД (или винт к другой машине) и проверять чем-то заведомо чистым. На такое зверье антивирус не поставите. Мне всегда аваст помогал, но у многих почему-то от него отторжение.
P.S. а копии винды лучше делать чем-то сторонним и держать на ДВД

(4) Не помогает, Касперский дает ответный код буквенный и цифры, а эта фигня воспринимает только цифры. Не катит.
(6) Счас попробую.

на сайте DrWeb.ru где-то есть ответные коды на такие хрени

(8) К другой подключал...

(7) Это и всё?

(10) Не подходят, пробовал. Касперского правда сейчас попробовал.

сто двадцатым будеш, как же утомил этот вирус (((

У меня знакомая натурально СМС отправила. Женщина причем весьма и весьма бедная. Как ни странно, помогло, на время терроризм прекратился. Где то на месяц. Потом по новой. ) Ну, про -1000 на телефоне можно и не говорить.

(14) а сейчас какая-то эпидемия... у нас большая половина клиентов это словила, а часть из них СМС-таки отправила :)

(15) ЭХ НИФИГА СЕБЕ! Это за 1 СМС 1000 руб?

(3) на ранних вариантах прокатывало, на позних, увы, безопасный режим не спасает

пора на правительственный уровень выходить, пусть надавят на сотовых операторов,чтобы те придушили этих эсемесников

(14) Меня тоже, но блин, нет же 100% лечения?! Каждый раз по разному. :)

Почему это вирус?
Есть же адрес владельца сообщения и вполне законный. Это не вирус, это мзда тем, кто закрыл глаза.

(11) Вчера лечил. Сначала CureIt, потом аваст... Тогда сочувствую. Завтра еще к одному пойду.
Кстати, с одной стороны вирь то прикольный, на пивко заработать можно

поменяй расширение у AVZ и запускай

(21)Интересно, как скоро начнется ли судебное преследование производителей антивирусов, мешающих защищать интеллектуальную собственность? Ведь действительно ничего незаконного эти "вирусы" не совершают, скорее наоборот - именно антивирусы нарушают закон, помогая увильнуть от выполнения принятых на себя обязательств.

(20) вово, значит много денег капает, раз хватает на профессионалиных хацкеров...

(24) Как ты думаешь сколько раз DrWeb получил файлик этого вируса?

(26)Файлики они получают все время разные, так как и конторы это разыне и версии этих "вирусов" разные. Потому и не лечит от них веб, что штампуются они десятками в день и по участкам кода они непохожи ничуть.

+(27)Да и взять этих вирусописателй за вымя нельзя совершенно.

(0)Только вчера такую же хрень лечил у брата на компе, кстати он отправил смс, сняли 300 рублей:)
Вот что я перепробовал:
1. Все эти вирусы почти одинаковы, отличаются лишь номером текста, который нужно отправить в смс. Есть сервис у Лаборатории Касперского который якобы по номерам телефонов выдает тебе код активации. Но это все брехня, сам испробовал.
2. Тестирование в безопасном режиме утилитой CureIt ничего не дает, также запускался с помощью LifeCD ни один раз, посреди сканирования утилита просто закрывается и никакое проиложение запустить нельзя.
3. Прочитал множество сообщений на форумах Веба и Каспера, одмины тупо ничего сделать не могут, просят лишь выслать им логи, да подозрительные файлы на анализ.
4. На форумах есть парочка индивидов, которые смогли сами убить вирус: там описан список dllлек которые надо удалить(у них одинаковый размер), и параметры реестра, но сначала нужно разблокировать редактор реестра, что у меня тоже не получилось.
5. Исходя из всего вышенаписанного могу посоветовать тебе написать на форуме доктора веба, может помогут, хотя всем тупо советуют отправить логи;
Мне же надоело плясать с бубном,я тупо отформатировал только системный диск и за 20 минут поставил Винду, что и тебе советую

(29) regedit то вирус заблокировать может, но реестр можно подправить любой сторонним редактором реестра, и тут уже ничего вирус не сделает.

(30)Наивный, думаешь ты один такой умный

А давайте сообщать какой сервис-пак у зараженной винды, чем мне с 3им ни одного компа не попалось.

(23) Не помогает, завершение работы и комп выключается.
(30) Ничего стороннего запустить не могу, даже тотал.

(33) ЛайвСД не работает?

(29) по пункту номер 1 - не прав, сервис работает, но не на всех вариантах этого червяка, по второму- безопасный режим УЖЕ не спасает, по четвертому: убил уже не один десяток, правда последний раз снес чегото лишнего ))) пришлось переставить систему

У ВЭБа такой номер есть, но текст смс не подходит
может попробуешь те тексты которые у них там есть?

(32)Да, кстати, тоже настоятельно советую SP3 и IE >= 7, даже еси не пользуйтесь и еще убрать у пользователя права Администратора.

На зараженном компе был SP2

(34) Работает, но ничего не находит.

Попробуйте создать файлик с расширением .reg и запустить его.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"DisableLocalMachineRun"=dword:00000001
"DisableLocalMachineRunOnce"=dword:00000001
"DisableCurrentUserRun"=dword:00000001
"DisableCurrentUserRunOnce"=dword:00000001

После этого перегрузиться. Эти ключи запрещают полностью автозагрузку из реестра. Обычно мне это помогает в борьбе с вирусами.

(37) Статистики не хватает, но похоже это не в самлаб пишется (по этому и антивирусы не ищут).

Запустил AVZ, грубая перезагрузка, вирус клинонуло и получилось запустить AVZ. Сканирует.

(39) Если нет прав на редактирование реестра, то и на reg файлов тоже отключен скорее всего. )

(42) неее, вроде правами этот вирус рулить еще не научился

(39)Не прокатит, вирус ставит запрет на добавление параметров в реестр

На ХР временно отключать этот вирус элементарно, надо только небольшую ловкость рук. Нажимаешь одновременно Ctrl-Alt-Del и держишь, начинает мигать диспетчер. В этот время надо не отпуская этих трех клавиш завершить мышкой процесс вируса, он как правило один в окне приложений. Я так целую неделю спокойно жил с этим вирусом, пытаясь вылечить...

(44) И такое даже возможно? ни разу не слышал...

Вот еще выдержка:

Редактор реестра отключен администратором. И опять работа вируса. Есть несколько способов вернуть запуск редактора реестра.
1.    Самое простое попробовать воспользоваться оснасткой "Групповая политика". Для этого делаем следующее: Пуск - Выполнить - gpedit.msc - Ок. Далее находим Конфигурация пользователя - Административные шаблоны - Система. В правом окне находим "Сделать недоступными средства редактирования реестра". Открываем Свойства политики или два раза кликаем мышкой. Выбираем параметр "Отключен" - Применить - Ок.
2.    Можно воспользоваться альтернативным редактором реестра и в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerson\Policies\System найти параметр DWORD DisableRegistryTools и поменять значение на "0".
3.    Еще один вариант - это создать bat-файл и прописать в нем такие строки - reg.exe add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f pause После запуска Bat-файла система в консоли выдаст сообщение о запуске редактора реестр.
4.    Создать reg-файл с таким содержанием
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System] "DisableRegistryTools"=dword:00000000

Для этого открываем блокнот, копируем эти строки, сохраняем. Теперь меняем расширение этого файла с txt на reg. Осталось только запустить этот файл, чтобы изменения были внесены в реестр.

(42) Где то читал, что правами на реестр вирусы не рулят, они только редактор реестра выключают

(12) на уровне админов компклубов такими вопросами рулят. Им где-то по 15 лет.)

Этот вирус нетрудно побороть на NTFS. Надо только удалить альтернативные файловые потоки.

Удивительно, сегодня один на работе тоже эту гадость словил. При этом ДрВеб ентерпрайз даже не шевельнулся :(
Диспетчер задач заблокирован. ПроцессЭксплорером смог прибить левый процесс из файла C:\ProrammFiles\Plugin.exe
После удаления файла и чистки реестра последствий не заметил пока.

(47)а что мешает внедрить такую функцию?

У этих поганых СМС-ников и замысел поганый. Приносят тебе банку дерьма и говорят - ешь. Ах ты не хочешь? Тогда плати за отказ, мы же тебе принесли!
А, ты щука, не хочешь и за отказ плать, тогда нюхай пока не заплатишь.

Дважды, ловил. Раз ручками удалил. Но эти гады совершенствуются. Второй ну никак. Винт форматнул.

(41) после сканирования запусти на AVZ восстановление системы, чтобы поправить реестр

ПОБЕДИЛ AVZ!!!

(49) как думаешь? стоит сообщать чё такое "альтернативные файловые потоки"??? и как с ними работать?

Спасибо Всем!!!

(53) Сейчас всё буду делать. Спасибо.

(56) ты Зайцеву спасибо скажи за его авезе )

Есть софт, и о нем можно серьезно подумать, позволяющий работать не с самой виндой, а как б с её копией. Сдерживающий фактор: не бесплатность.

Шадоуюзер?

Вот рецепт по удалению ekav. На NTFS вирус использует альтернативные  файловые потоки для хранения своего тела. Удалив потоки, вы обезвредите его. Дальше можно будет применить стандартные антивирусные средства, которые заблокированы, пока вирус активен. Для удаления потоков потребуется утилита streams. Скачать ее можно тут www.sysinternals.com. Нужно загрузиться с Live CD. Оттуда запустить утилиту с параметрами рекрусивного удаления потоков. Кажется ключи /r /e.  Альтернативные файловые потоки - это потоки файловой системы NTFS, которые хранят не данные файлов, а какую-то дополнительную информацию. Они принадлежат определенному файлу (записи о файле). Есть стандартные. В которых хранится служебная информация о файле. А в остальных все что угодно. В данном случае "тело" вируса.

"...Я решил обратиться в службу поддержки своего сотового оператора и узнать, какова же реалная стоимость SMS на номер 4460, встречающийся среди мошеннических объявлений.
В Билайне мне ответили, что стоимость сообщения на этот номер 300 рублей, но номер не принадлежит им и блокировать его они не могут, зато предоставили мне информацию о владельце: A1agregator.
Получив контакты я позвонил по номеру 8(495)3631427 Добавочный 555 и состоялся следующий диалог:
-Здравствуйте.
-Здравствуйте.
-Номер 4460 принадлежит вам?
-Да. У вас компьютер заблокирован? Назовите код смс.
-K706113200
-Код активации 2796113299
-Почему мошенническая услуга все еще предоставляется?
-Это не мы, это наш партнер нарушил правила партнерского соглашения, мы ему уже отказали в услугах и бесплатно раздаем коды активации.
-Раз этот номер принадлежит вам, то я на ваше имя могу писать претензии в прокуратуру?
-Пишите, это ваше право.

Вывод- пострадавшие могут обратиться по указанному номеру, или уточнить у своего оператора ответственных по другим коротким номерам, и получить код бесплатно..."

http://mreporter.ru/ReporterMessages!viewReport.do?reportid=26118

Погуглил, но так и не понял, только WinXP заражается или Win7 тоже?
Лицензионные или нет вроде разницы нет - заражаются одинаково.

это надстройка )))

Судя по тому, как эта программа функционирует, разработчики подумали о возможных проблемах с законом.

(64) Что значит надстройка?

(63)Vista без сервис паков заражается. С сервис паками не знаю.

А если в винде работать под ограниченной учетной записью эта зараза сможет поселится в системе? (сам с собою)

(68)Думаю, что нет. Даже если заразиться, можно очень легко убрать будет. Надо только "тряхануть".
Чтобы завершать процессы администратора нужны права не ниже администратора или системы, это раз. Антивирус работает как службы с правами учетной записи "SYSTEM". Ее нельзя завершить с правами ниже, чем администратор или система. Так построена система безопасности Windows на уровне процессов.

Кстати, это хрень называется Trojan-Downloader.Win32.Piker.bar.

(69)Хотя конечно может существовать лазейка в том, что когда будешь запускать от имени администратора стандартную программу, то вирус сможет прописать себя как часть ее. Но есть она или нет, это вопрос к Microsoft. А вообще, почти невозможно.

Мд-да.... Безопасный режим..., потоки файловой системы..., точки восстановления..., (1) ваще форматнул. Ну вы блин даете бу-га-га.
А прибить процесс виря с командной строки не судьба? На крайняк FAR`ом воспользуйтесь.

сам столкнулся с порно-банером "отправь смс на 9800".
диспетчер задач не давался запускаться
куре ит скачать на гпрс не получилось, чего то рвалось соединение в разных местах
скачал Spyware Process Detector, запустил и начал килять запущенные процессы, обнаружил с.ку и в безопасном режиме убил.

(73)как определил именно этот процесс ?

(74) пошел по списку сверху вниз :)

(75)бггг... в названии по русски было написано "вирус тут" ?  О_О

Прикидываю сколько дерьма на вентилятор было бы, если бы это был линукс..

Не верьте никому!!! только формат Ц!!!!

http://support.kaspersky.ru/viruses/deblocker

ах было..

(72)Этот вирь все блокирует: FAR, Total Commander, cmd.exe, AVZ, Avast, DrWeb Curit, все пути содержащие вышеназванные имена или имена типа "antivirus", консоль MMC, диспетчер задач, редактор реестра. Вирь работает и в безопасном режиме. Возможно и другие известные антивирусники блокирует. Переименование exe-файла ничего не дает. Похоже он считывает информацию о программе из заголовка окна, либо необходимо переименовывать также все пути вспомогательных файлов антивирусного средства, что невозможно.

(79)мне это не помогло

А под Win7 эта хрень работает? И как ее подхватить? Порносайты?
У меня антивирь даже не стоит :( Дома Мак, на рабочем ноуте Вин7...

(81) я из FAR~а прибил...

пора к мисте прикручивать новую фищку - прилепленные темы для долбоё**бов, которые не умеют пользоваться поиском. За последние 7 дней, по-моему, 5 раз эта тема понимается...
ИЧСХ, ответ всегда один - AVZ...

http://tinyurl.com/y97ty92

(85)немного разные это вирусы в разных темах обсасываются.

Очень был похожий. У двоих было недавно.
Вылечил вводом пароля с сайта www.drweb.ru вроде 9 любых цифр.
А потом лечением дрвебом.

Другую тачку пролечил подключив к ПК с касперским.
live cd dr web вирусов не видел.

Представляете сколько эти вымогатели уже бабла срубили?

(89) много наверное)
у знакомых ребенок с телефонов родителей смски посылал)

Была такая фигня, два кода ввел и усе, коды на докторе вебе лежат, там под каждый номер своя смс.

Почти от всех подобных штук вот эта вещь хорошо помогает:

http://www.malwarebytes.org/

(92) Что это и как его есть?

ERD Commander и с него DrWeb Curit, запускается и все лечится .

Безопасный режим с поддержкой командной строки.
Потом редактор реестра и смотрим, что там поменялось.
(Для интереса можно сохранить ветки Run и WinLogon).
P.S. последние "твари" ставят на отладку процесс Explorer.exe - очень интересное решение.
P.P.S. если вирус что-то не даёт запустить, то файл можно переименовать (особенно это касается редактора реестра).
Удачи.

UAC спасет человечество :)

Есть у меня такая заметка, цитирую:

...

Первое, что нужно сделать, так это загрузится с обычной загрузочной дискеты или зайти в систему, как самый обычный пользователь, если это возможно. Затем нужно в каталоге WINDOWS (каталог, где установлен windows может быть и другой ) зайти в папку SYSTEM32 и найти файл LOGON.SCR и СMD.EXE. Теперь делаем резервную копию файла LOGON.SCR (на всякий случай), а файл СMD.EXE переименовываем в LOGON.SCR. Всё.

Теперь перезагружаемся и ждём, пока не появится окно для ввода логина и пароля. Сейчас начинается самое главное, ничего не трогаем и ожидаем минут 15. По замыслу Microsoft должен запустится хранитель экрана, но мы то его заменили на файл СMD.EXE. Если всё сделали правильно, то откроется окно командной строки. В открывшемся окне набираем EXPLORER. И о чудо мы входим в систему на уровне самой виндовс с полными правами администратора. Ну, а дальше всё как по маслу, делаем всё что только хотим и меняем пароль администратору, выходим из системы и входим уже с новым паролем.

...

Не пробовал ни разу, но вдруг спасет в борьбе с вирусами...

(97) Не запустится хранитель экрана.. по идее.

(97) прав на SYSTEM32 у обычного юзера нет

100

(97) Пробовал не по причине борьбы с вирусом, а просто ради интереса, или просто чтоб инфу вытащить. получается.
Но потом в системе начинаются ппц глюки. Винду приходилось переставлять всегда.

(97)опять приходим к explorer.exe. А в нем все заблокировано.

ОФФ: Сейчас вообще интересную машину принесли. При загрузки винды выскакивает "СМС-ка" синяя на весь экран, ничего не работает, безопасник не включается.
Я дурею, где они эту гадость находят!
:) :(

Почему мошенническая услуга все еще предоставляется?
-Это не мы, это наш партнер нарушил правила партнерского соглашения, мы ему уже отказали в услугах и бесплатно раздаем коды активации.


Возникает вопрос - если не они мошенники, откуда они берут код активации?

переставляй винду. проще всего. я так долго бился над всем этим что пожалел 10 раз. потом в итоге переставил виндос и стало всё чисто. А заодно образ диска сделать хороший. со всеми драйверами и установленными программами. если потом такая жора случится, просто перезаливаешь образ на компьютер и всё

Кажется, заражаешсься необязательно через порносайты.
Похоже клюнул на ускоритель для броузера, дальше под видом этого ускорителя добровольно получил и запустил exe, тем самым получив эту гадость.
Не запомнил сайт откуда скачивал, т.к искал гуглем, а там их навалом.

(103)передвинь в биосе дату вперед ... потом спокойно лечи

(106) Никогда нельзя скачивать что-то с незнакомых сайтов - это всё равно, что пропускать в ворота троянского коня.

http://www.freedrweb.com/cureit/
Лечащая утилита Dr.Web CureIt!®

(108) Что понимается под незнакомым сайтом? Я например всегда качаю с сайтов, которые мне незнакомы, и их авторов я лично не знаю.

Мне пару раз помогала програмка "Malwarebytes" не помню где скачивал, Google покажет. Можно без регистрации. Еще помогло как-то, загрузившись с какого-нибудь LiveCD, перенес папку пользователя, потом осторожно восстанавливал.

(107) Не подумал, а точнее не знал, сделал:
запустил на восстановление, загрузился и запустил AVZ.

ЗЫ: Чувствую это не последняя такая фигня, надо будет попробовать как в (107), надеюсь это быстрей.
Спасибо! :)

(109) Это понятно, но чтобы запустить нужна хотябы командная строка, но этого ничего нет - недоступно! :)

(113)Чет пропустил. У тебя на каком этапе окно с требованием СМС появляется?

(114) При загрузки, и рабочего стола нет, нет кнопки пуск, нет панели задач, а на весь экран - СМС. :)

+(115) Диспечер задач отключен.

+(115) Безопасный не работает.

(117) У меня так было...см 45

(117)ПП. У меня хоть 1\4 - я экрана видна была, а тут вообще... Видно гады равиваются.
Так ты и не сказал, сдвиг даты назад тебе что-нибудь дал?

(118)Что там у тебя 45 см... в длину что-ли?

(118) Диспетчер задач вообще не появляется, он отключен.
(119) Дату не менял, т.к. уже к этому моменту сделал (112).

(121)Жалко что сделал, повторить не желаете? :))

(122) Второй день подрят приносят такие машины, так что скоро придется повторить. :)

(123) У тебя хорошо получается объяснять. Записывай подробно что делал. Потом систематизируешь. На память не надейся, вариантов тьма в жизни не вспомнишь.

3 минуты на излечение без авирей

Побил такого зверя недавно. Есть внешние утилиты которые позволяют редактировать реестр и делать восстановление системы с контрольных точек (если были конечно). Название известное просто на память не помню (сейчас не дома).

(125) колись что ли ужо..
:)

+127 при условии, что всё заблокировано..

http://news.drweb.com/show/?i=304&c=5

если не поможет-CureIT в помощь.

(126)+ ERD Commander мне помог.

Снес в ручную, без всяких примочек и т.п.:
нашел файлы, убил процесс, поиском очистил реестр.
Никаких восстановлений не делал.

Продолжил работу как ни в чем не бывало.
Для проверки перегрузился... Всё.

После этого поднял файрвол Outpost и забыл об этих проблемах вообще. (система WinXP)

(125) рассказывыай ...или это самопиар такой? ;)

(126) И как ты внешнюю утилиту запустить смог?
У нас на одном компе седня такое чудо вылезло.
Пока танцы с бубном ни к чему не приводят.
Он вобще не позваляет никакие приложения запускать.

(131) Чем процесс убил? Я вобще никакое приложение там запустить не могу.

(130) Качаю как раз это...

(134) безопасный режим не помагает?
и ProcessExplorer - как-то так называется вроде.

Вчера боролся.
Симптомы.
1. Диспечер , реестр заблокированы.
2. Ни одна прога не запускается даже cmd.
3. Точки востановления стерты.
4. В безопасном тожесамое.

Че сделал. Загрузился с лайв сиди от др веба . последняя версия . ничего не нашло . Вынул винт подключил к рабочему компу с шестым каспером и последними базами . Запустил скан . Нашо 1820 зараженных dll в system32 . Очистил . Подключил винт обратно . загрузился открылась cmd, оттуда открыл и диспечер и реестр.

ЗЫ. Это самый серьезный смссочник который попадался.

(133) ERD Commander мне помог. Эта она(я назвал утитилитой) и есть. Помещается на СD (в нете можно найти ISO файл), загружаешься с него, видишь диски, реестр, можно восстановить систему с контрольных точек. Там много еще чего.

(136) Не помогает. не дает запустить никакое приложение. т.е. приложение запускается и тут же он его рубит.

(138) Да. я уже увидел ниже ты писал. Качаю...

(137) у меня не было такого
все было немного проще :)

около 2000 зараженных файлов
не удивительно, что система умерла.

безопасный режим там не "безопасный режим" вовсе  ...подделка

Абрахамс, гри решение!

ERD Commander и с него DrWeb Curit, запускается и все лечится .емае  написал ж

в (129) картинки прикольные одна из них у меня на столе ГлБуха была с девочкой ,я долго смеялся :-)

(143) это не 3-х минутное решение "без авирей"

(145) 5 - 7 минут у меня заняло.

(146)+ ну конечно не считая подготовки СD с ERD Commander.

(146) да ну ???
скачать 2 образа, залить на болванку, ждать хрен знает сколько, пока erd грузанётся + DrWeb Curit просканит ?
Сказочник..

ЗЫ: + это не 3-х минутное решение "без авирей"

(148)сам ты Сказочник. см (147). Я никакого DrWeb Curit не запускал, я восстановил контрольную точку. Процесс занял не более 10 минут. Секундомер не ставил.

(149) ау.. их нету.. контрольных точек.

(149) Видимо тебе попался слабенький ))) таких достаточно вырубить автозапуск , удалить сам файл и темп винды.

(143) разве в ERD Commander-е есть Curit?
и если записывать их на один диск, разве ERD Commander не перестанет быть загрузочным?

(152) Гы.. Научить добавлять автозагрузочный образ что угодно ?
:)

да, научи пожалуйста

(153) - 154 - без шуток ...не умею

(154) любым средством для создания образа..ultraiso, например

разве что делать свою сборку

(156) т.е. разархивируем ISO-образ ERD Commander-а, добавляем что нужно и создаем новый образ?

(158) да не надо ничего распаковывать.. просто в готовый образ от erd добавляем всё что угодно..

+159 тупо открываешь образ и добавляешь в него что хочешь/удаляешь..
как в обычный архив.. всё собственно. Потом заливаешь на болванку.

(151) Вовик, О чём ты это?

(160) ща попробую

(161) см. (137) у меня было тоже самое..
А на другой тачке был попроще.. его тупо руками "прибил"

(163) спасибо, все получилось. правда  лицензия на ultraiso ограниченная 300-ми мб...

(164) ну...это же не единственный софт
:)
да и ломанного вагон

(161) это самые первые вирусы , их этой серии были . они даже диспечер не блокировали.

Акак вы, например drweb с этого диска запускали?
у меня не запускается ничего кроме встроенных программ.

дак уже писал решение для хомы несколько сложнее (или скопировать taskkill), но при наличии установочного решается из консоли восстановления частично

решение тупое - убиваем все процессы текущего усера и ищем лишний дривер.

если эта гадость на весь экран - т.е. нету вообще експлорера - то в консоли меняем в виндир\систем32\конфиг файл систем и систем.сав, так же точно софтвары
и переименовываем нтусер.дат в профиле
(но это все уже не 3 минуты конечно и для случая отсутствия точек восстановления)

(166) не знаю первые или нет. У меня были симптомы:
1. При входе в винду (после ввода пароля пользователя винды) вижу "пустой" экран (сначала бало СМС, потм что -то удалил- см. ниже и стал пустой экран).
2. Диспечер (CTR+ALT+DEL) выдает что блокирован администратором.
3. Безопасный режим не запускается.
4. Восстановление не запускается.

У меня на компе стоит 2 Ос XP. Заходил во 2-ю, запускал разные антивирусы, в том числе и DrWeb Curit- не помагало (только убралось окно с СМС).
Запустил ERD Commander- нашел контрольные точки и восстановил.
Вот как было.

(169) решение тупое - убиваем все процессы текущего усера и ищем лишний дривер
Как убить процессы. если не запускается никакие приложения.
невозможно запустить диспетчер задач, ни родной ни сторонний.

(170) Консолька тоже не запускалась ?
На счет безопасного, это последствия других вирей , СмсСочники такое не делают. Чтобы безопасный заработала надо востановить ветку
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot .

(172) да не запускалась. Для того чтобы поправить  реестр нужно в него попасть, вот я и запустил ERD Commander.

(173) ERD commander у тебя сата диски увидел? (Вывел список установленных ОС)?

(174) Да увидел, у меня как раз "больная" Ос на сата, и вывел список установленных ОС.

+(174) единственное- буквы дисков в списке Ос не совпадают с реальными.

У меня при загрузке спрашивает, установить ли реальные буквы дисков?
потом начинает список ОС искать. ничего не находит и говорит подгрузите драйвера САТА.
после загрузки проводник винт видит. но вот реестр и точки восстановления недоступны.

дай ссылку, плиз, на твой коммандер.

(177) У меня диск с ERD commander сейчас не сомной, но сколько я помню, у меня  не самый свежий, по-моему 2007 года.

понятно. у меня какой-то 6.5

(171) а ты прочти еще раз

(180)  >> если эта гадость на весь экран - т.е. нету вообще експлорера
Не во весь экран. эксплорер есть.
Но совт никакой не запускается. т.е. запускается на 1-2 сек и тут же закрывается.

(181) переименуй в .COM

сейчас привезут нетбук с таким же делом, к тому же там хома
нету сиди, решение тащу с флехой тасккилл - копирую через пуск - выполнить, там без полной подмены експлорера - если бы было на весь то хуже? yj htibvj

но решимо

у тебя похоже не такой вирус. с обычными смс выманивателями всегда без проблем справлялся. а тут какая-то хитрая гадасть.

(182) пробовал. и в pif пробовал

eKAV Antivirus назывется.
Смотри фото в (0) у меня такая же зараза.

(183)  фотку выложиш экрана  с бука ?

(186) тогда читай (169) и делай аккуратно

самая то жесть тут
http://virusinfo.info/deblocker/

и тут
http://support.kaspersky.ru/viruses/deblocker

Код разблокировки: 4298
5739

Ветка как раз кстати, вчера жена реферат скачала, и такую же хрень словила, вобще ниче запустить не дает, в безопасном режиме комп не грузится, буду пробовать AVZ, раз помогло уже людям

(189) - (190) Это в первую очередь попробовал.
По форумам пошарил. пока только с помощью ERD commander народ восстанавливался.
А у меня он САТА не видит. другую версию ищу

(193) только что подобное удалили с нетбука, все как описывал выше
версия windows xp home - на флешке потребовалось перенести taskkill.exe

(194) Через консоль файлы подменил?

(195) добавил файл taskkill.exe с расширением taskkill.com
выполнил в пуск - выполнить (не глядя набирал)
command.com /c taskkill.com /fi "username eq %username%"
потом запустил експлорер через Win+U - справка - печать - печатать в файл - обзор - нашел експлорер (*.exe) и пкм - открыть
далее в устройствах - скрытые устройства нашел дриверы без описания - в реестре нашел их пути (оказалось в профиле)
дриверы могут по разному зваться
выполнил
sc stop nxxxxx & sc stop nxxx15
и
sc delete nxxxxx & sc sdelete nxxx15

nxxxxx и nxxx15 - это найденые дриверы

в реестре исправил отрубание диспетчера и в Winlogon убрал запуск этой хрени
все
(далее уже антивирусом можно шерстить при желании)

читай все внимательно и по порядку

времени заняло (без шерстения последуещего авирем) минут 10 не более

можно еще удаленно зайти на бибику с компа, на котором моник "поширше" - "баннер"
будет не во всё окно...

(196) Ок. спасиб. после выходных попробую.

(198) В моем случае не на все окно. от этого не легче.
Разве что без проблем бухше файлы с этого компа вытащил.

для вируса типа eKAV:
"Баннер убил вводом ключа( Вирус можно загасить подбором кода активации. Предположим, вас просят прислать сообщение с текстом: К205414200 код активации, у меня был следующим: 4427636422. Обратите внимание, к каждой цифре, +2. Подбором, вы сможете вбить код активации и для своего вируса, это может быть +1, +2, +3 и т.д. к каждой цифре. Внимание, если у вас +7, например, и получаются десятичные, округляйте до простых путем сложения. Например: 5+7=12, далее 1+2=3. Искомое число 3. Вместо буквы K ставим первое число из получившегося ключа) После этого система перезагрузилась и стало все работать..."

проверил лично, работает.

зашел в интернет, специально накачал себе всеможных вирусов и смспорноинформеров, специально запустил их все на компе. Все вырубились с диспечера, которые рубили диспетчер ушли после перезагрузки. Что я не так делаю?

(200)Спасибо друг, твой совет действительно оказался самым полезным. Я за два дня все почти перепробовал, кроме форматирования диска. Ужасно не хотелось форматировать, потому как ни разу еще винду не переставлял на ноутбуке, боялся что дрова кикие-нить потом придеться искать.

(202) В перестановке винды на ноуте нет ничего сложного, заранее все дрова находишь и переставляешь. На торрентах обычно валяются. Потом их на будущее на Диск Д закидываешь на случай еще одной перестановки.

Вот варианты лечения
1. Запускаешься с ERD comander и прочищаешь папки TEMP, Temporaly internet files, Documents and Settings\Root\Local Settings\Temp
2. Удаляешь из system32 sdra64.exe, если его не удалил каперский, залезаешь в реестр, правишь userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit его надо изменить так, чтобы там осталось только (C:\WINDOWS\system32\userinit.exe,) именно с запятой в конце (если система установлена на диске С.
3.HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Найдите в правой части параметр AppInit_DLLs и все в нем удалите.

Проверенно на 5 машинах с разными модификациями вируса

Я грохнул следующим образом. Защел в безопасном режиме под другим пользователем, убил невесть откуда появившееся задание планировщика, предварительно посмотрев чего он запускает. Вирь лежал в темпе пользователя, который его запустил - почитил там все и готово.

(206) новые модификации зловреда поражают всех пользователей

(201) не те вирусы качал. На форумах касперского на вчерашний день не смогли предложить ничего лучше чем генератор ключей

Вообще с этими вирусами парадоксальная ситуация. Можно абсолютно бесплатно дозвониться до якобы невинных владельцев короткого номера, которые якобы сами страдают от сложившийся ситуации, но которые почемуто СООБЩАЮТ КОД АКТИВАЦИИ, кроме того, при большом желании потерпевшего могут вернуть деньги за СМС.
Инфа отсюда:
http://virusinfo.info/showthread.php?t=62966&page=4
Ссылка на деблокер от касперсикх:
http://support.kaspersky.ru/viruses/deblocker

(203) Конечно не сложно только геморойно очень.

(210) Я знакомому ставил ноут. Все дрова закинул на диск Д, потом еще образ сделал диска С. Когда у него крякнулся МБР, причем конкретно, я Р студио просто все восстановил, а образ диска С развернул за 20 минут потом.

(200) Спасибо, реально помогло.
Правда у меня была модификация c текстом не "eKAV", а "Internet Security". Текст для отправки был K206014300 на 4460. Подошел код с +9 т.е.  2296914399.

На компе стоит WinXP SP2. Ничего не мог поделать с этим вирусом. Диспетчер задач заблокировался, альтернативный Process Manager не мог открыться. Даже броузер закрывался когда в гугле начинал искать что нибудь со словами "вирус, смс".

Думал уже винду переставлять, а тут наткнулся на этот форум, попробовал алгоритм, код прокатил, и после перезагрузки вируса какбудто и небыло, даже антивирусник стабильно заработал...

Кстати в этой статье http://www.eavasi.ru/ekav-antivirus-fight/ нашел табличку этого алгоритма и ссылку на програмку http://fileshare.in.ua/3089327 которая генерирует коды по этому алгоритму.

http://www.izone.ru/sys/utilities/inqsoft-window-scanner.htm

Программа позволяет просматривать большое количество параметров открытых окон, таких, как: размеры, видимость, текст и имя класса окна, а также позволяет изменять многие из этих параметров. Кроме того, программа способна строить дерево окон, просматривать главное меню окон, управлять потоками и процессами, включать отключенные пункты меню и многое другое. InqSoft Window Scanner включает в себя инструменты для решения некоторых специфических задач, таких, как: захват содержимого окон с экрана, захват цвета нужного пикселя, принудительное извлечение данных из окон, редактирование памяти процесса и многое другое.

перезаливал.

(213) Не старовата программка? И что-то сайт не открывается...

(215) Самое то. Ищи по InqSoft Window Scanner
А она умеет искать главное окно и прибивать процесс. Этого достаточно.

без вариантов - самый верный от шм ахарбы - остальное от лукавого

остальные постеры "недоумки"

(209) а1агрегатор это известный (вроде даже самый крупный) телефонный смс-биллинг, у них практически любой человек может арендовать короткий номер для приема платежей, просто почитайте про услуги и тарифы на их сайте.

естественно у них куча левых "клиентов" есть которые пытаются на чем то нечестном зашибить денежку, а поскольку не надо быть юр.лицом и выплаты получать можно в вебмани - такие были, есть и будут.

а код они могут сказать т.к. клиент продающий услуги через смс должен предоставить им либо список кодов, либо алгоритм который генерит высылаемый в ответной смске код - все просто.

писец развели на третью сотню выеденое яйцо - пох на держателей смс и прочих операторов

(218) Без вариантов: Сам Себя Заценил.
(220) Без вариантов: Чего Нервный Такой?! Обидел кто или бабло пульнул наивно?!

все не читал. Где смотреть правильный ответ?

(222) см (200)

У меня Касперский справился с баннером, был вирус Sality.q. Запустил полную проверку, он удалял вирусы под баннером. Потом перегрузил комп кнопкой включения, потому что Пуск-Завершить работу не работала, после перезагрузки баннера не было еще раз все проверил и все. На компе стояла 2000 винда.

После проверки прошелся SocketFix'ом.

(219) Клиент продающий услуги берет от создателей вредоносных программ коды активации, прокачивает через себя деньги за вымогательство, не блокирует противозаконную деятельность....однако

от вируса избавился(удалил dll), но все ограничения которые были им установлены остались.
Не запускается диспетчер задач, exe некотрые - система пишет ограничения политики безопасности.
Кто как боролся?!

(227)
диспечер и регистр из командной строки вот так

reg delete
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr

reg delete
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools

(223) т.е. решение - это тупо подбирание пароля на удачу? Мда..

опередили ))

+ позырить .exe и exefile в реестре

(229) читай внимательно ветку

(228) спасибо!

было что-то похожее. переименовал учетку на компе. эта фигня вылазила только под одним пользователем.

(226) ну а что делать - деньги же не пахнут :(
до тех пор пока не будет реальных уголовных дер - врядли что то изменится.
хоть кто то кто отправлял смс за такие вирусы - жаловался потом в прокуратуру или еще какие то органы? скорее всего нет... ну и?...

Вот утилита, генерирующая коды активации. Мне помогла. выдает 8 вариантов. http://www.fileshare.in.ua/3089327

упс, было уже

генератор кодов
http://mips.narod.ru/sms.html

БЛИН! Опять та тетка, про которую я рассказывал этот вирус словила!

(238) Похоже ты ее забыл обучить.
Не забывай про обучение!!!!!!!!!!

(0) у меня сестра сделала откат системы назад, и всё ок)) это надстройка какая то)

(240) бывает не помогает, с каждым разом все искуснее иискуснее пишут бякушки...

(239) У нее че то легонькое, она даже аську смогла запустить.

Лень все читать рассказываю как я победил:
1. Нужна вторая винда либо подключаешь диск к незараженному компу, либо ставишь вторую временно на этот же диск в другую папку.
2. Загружаешься в незараженной. Заходишь в зараженную в \Documents and Settings\ИмяВашегоПользователя\Local Settings\temp там будет скрытый файл библиотека вируса с случайным названием типа 8g7kl.dll там сразу понятно будет.
3. Смотрим размер этого файла.
4. Находим все dll с этим размером удаляем(перемещаем), может попасть и нормальная дллка т.ч. осторожней.
5. Перезагружаемся.
6. Запускаем AVZ вычищаем блокировки реестра, диспетчера задач и проч.

(242) Если права выставил пользовательские, а не админские, то даже если она намеренно нажмет установить смс вымогатель в виде драйвера или проигрывателя, то все будет легонькое.

Седня показали новую вариацию с смс-вымогателем:
Выходит сообщение от "интернет секьюрити" что нашел вирус и предлагает лечить/удалить его, когда нажимают на лечить или удалить то выходит сообщение, что время пробной версии прошло, надо активизировать реальную и дальше стандартно "шлите смс с текстом таким-то на такой-то короткий номер"

(243) Вот именно таких советов не надо давать.
Собственно данный вирус легко побеждается с помощью лайфсиди с редактором реестра.
Просто запрещаешь автозапуск большинства. Разрешаешь безопасный режим, восстановление системы и редактор реестра.
После чего уже можно зайти в систему и запускать различные утилиты.
Проще всего создать другого пользователя и зайти под ним.
зы А насчет удалять...

(1) +1000 то-же самое пришлось проделать, вроде ничем не лечится..

(0) ты это.. пока что-то видно на мониторе, скопируй, что поценнее на другой винт, и, не сомневаясь, установи заново винду, с формат-с обязательно!
вроде на другие диски эта дрянь не размножается..

лечил без лив-сд и второй чистой винды
единственный промах таких вирусописателей - они не закрывают доступ в нет :)
скачал софтину, какой то аналог таск-менеджера, только расширенный, просмотрел запущенные процессы и файлы, их запускающие, далее совсем просто - перезапуск в защищенном режиме и удаление файлов, потом запуск в обычном режиме и антивирем вычищаем остатки.
на все про все - пол-часа максимум

+248 или вру, может с пом avz искал файло...

пипец - решение 10 минут без ничего

(250) я как нуб пол-часа возился :)

(248) разновидностей уже полно, есть которые блокируют

(246)+1
разве что посоветовал бы ERD для таких дел:
- грузишься как бы с лив-сиди, но имеешь доступ к настройкам реестра, учеткам и т.п.
- сразу стыкаешь до загрузки флэшку с последним куреитом и сразу же сканишь - вирус ничего не сделает

еще на сайте вебера, по-моему, есть код, который снимет на время блокировку (сам на такое наступал, что ничего его не брало), но потом все равно все вычистить нужно (особенно userinit в реестре и убить на что оно ссылается) и восстановить ветки на тему запуска таск-манагера, регедита, включения видимости скрытых файлов, HKEY_CLASSES_ROOT - здесь могут быть неверные ключи на тему запуска большинства сервисных и антивирусных программ (и, возможно, еще где-то, лучше поиском по реестру "regedit") - идут ссылки на виндовый дебаггер, т.е. при вылеченном вирусе проги не стартуют.
по ключам реестра нужным вот ссылка, может пригодится: netler.ru (искать в разделе "вирусы", там ключи на тему разрешения запуска regedit и прочее)

разновиндностей несколько, последняя - посложнее, больше портит, предыдущаяя (в системной папке файлик с названием sdra64) - попроще намного и реестр восстанавливать особо не надо (только на тему скрытых папок, редактора реестра и диспетчера задач, а также userinit, конечно)

еще после куреита посоветовал бы проверить с помощью sysclean (качается с сайта trendmicro вместе с последними базами)

+253 еще вирус вносит в список игнорируемых hjackthis свои проги - тоже проверить (это есть в реестре)

(250) хрен там. с последней и за полчаса не справишься, гарантия

(255) У меня вылезло. Утром, в 6.30. Справился за 7 минут - с двумя перезагрузками...

(0)Все не читал, убивал путем загрузки с диска и убиения dll в папке system32, они со странными именами, но все одного размера, в глаза бросаются сразу, после чего и регедит разблокировался и проги пускались и все было хорошо.

(256) в реестре много напортили? я его руками чистил - потому и долго :(

Не баян?

http://safe.cnews.ru/news/line/index.shtml?2010/01/25/377152

В России эпидемия Trojan.Winlock: заражены миллионы компьютеров
Согласно данным компании «Доктор Веб», число россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. С учетом того, что средняя стоимость SMS-сообщения – 300-600 руб., предположительные потери составляют сотни миллионов руб.

(258) msconfig запустил :-)

ДенисЧ - модер? О_О
Ну всё, нам кранты!

(261) Не обсуждаем действий модераторов :-) А то нарушения будем считать :-))

(260) значит повезло :)

По-моему, он грузится из
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="ХХХХ"

(0) У меня была подобная хрень (дизайн окна один в один, правда, требовала СМС за что-то другое), - я ее с помощью CureIt убил.

(264) может и отсюда, может из userinit

Само окно убивал через wmic и там
process where name="rundll32.exe" delete

(0)как я поборол вирус с смс. Перезагрузился в безопасном режиме без сетевых драйверов, отключил все подозрительные службы, все Run в реестре, все автозагрузки в msconfig. Отключил службы: сервер, сетевой вход в систему. запустил последнюю версию паука CureIt. И все заработало 100%. Не нужно переустанавливать ось и форматировать винт.

В безопасном убиваются дллки в папке Систем32 утилитой CureIt от Dr.Web.

CureIT пройтись, потом AVZ восстановить систему, если требуется, на сайте вирусинфо есть темка типа "что делать когда не запускается ехе" нужно переименовать avz.ехе в какое-то хитрое расширение, тогда запустиццо, включаем Гуард, запускаем курит как доверительное приложение...
ЗЫ: обязательно создайте еще 1 пользователя под паролем с правами админа например RescueMe, потом он вам жизнь спасет :)

(269)все ок, ничего не снес, все работает в норме

очередной комп с смс вымогателем. Спасла вот эта ссылка. Спасибо доктор вэбу. )
http://www.drweb.com/unlocker/index