Если можно, мне тожу инфу. Тоже красное окно появилось.

имя файла вируса zrrgy.exe прописывается в автозагрузку. легко решить, удалив его из диспетчера задач, потом из автозагрузки, стерев по пути. а дальше простая проверка на вирус. окошко легко переключается альт-таб… может какая-то облегчённая версия попалась :) удачи

Появился новый вид! Вирус с синем полем пишет «Установлена нелицензионная ос windows. Отправьте OPLATA на 7122. Вам пришлют код. Впишите код в окно и номер телефона с которого отсылалось сообщение.» Ниже кнопка «Активировать» Снизу написано: » Наш робот подвердит платеж». Вот и все! Ни в коем случае не отправляйте!

в некоторых случаях диспетчер задач и гнорячие клавиши не действуют. Безопастный режим – не помогает…
как лечить:
1.грузишь с CD Windows Lite
2.ищешь поиском все файлы, появившиеся в день заражения
3.по ситуации, смориш и переименуешь все подозрительные (.exe .bat и т.п.)

модификаций много, у мене появилась типа «в связи с большим кол-вом пиратский программ ваше версия виндовс признана не совсем лицензионной…» смс на номер 6003 (по моему) с кодом win и 7-8 цифр, как лечить не знаю, но в сейф моде грузится нормально…

кнопок для активации и вообще кнопок нет

значит..я попробовала все..ни черта не помогло.
а помогло вот что?:
зачит при перезагрузке ажав f8 я выбрала загрузку в безопасном режиме..окно слава богу нне всплыло….
затем….. я вошла в пуск стандартные- служебные- восстановление системы и врубила так на недельку назад.. вуаля!!!))
пи.си. да пусть сдохнет тот кто загружает вирусы!!!аминь)
=))

РЕБЯТА,НЕ НАДО СТРАДАТЬ ЕРУНДОЙ!ПРОСТО ЗАЙДИТЕ В БИОС И ПЕРЕКЛЮЧИТЕ ВРЕМЯ НА СУТКИ ВПЕРЕД,ЕСЛИ НЕ ПОМОГАЕТ ТО НА СУТКИ НАЗАД И ЭТА ХЕРНЯ ПРОПАДЁТ….ЗАТЕМ ПРОСТО ПОМЕНЯЙТЕ ВРЕМЯ НА ПРАВИЛЬНОЕ И ВСЁ!

а я оооооофигительно избавился от подобного глюка…на одном из форумов вычитал что нужно часа 2 дать компу поработать просто так…я как послушный гражданин оставил компьютер на ночь (время было итак около 2 ночи. завёл будильник на 4 )..само собой монитор отключил чтобы не мешал. просыпаюсь в 4 смотрю комп выключен полностью ) даже из розетки ))) с утра оказалось отец ночью чё-то искал, пришёл в окмнату услышал включенный комп и спросил меня (СПЯЩЕГО) можно ли выключить. Я сказал что-то типа «Можно»..и он не долго думая выдернул кабель из розетки! ))) я с утра пошёл включил его! НИКАКИХ ПРОБЛЕМ! вот и до сих пор не знаю что помогло…)))

Спасибо за совет с БИОС – помогло и гораздо проще все выше перечисленного!

блин мне эта фигня с синим экраном приперла че делать не впонятках.

Спасибо за совет с биосом он реально работает ;-) и главное без заморочек ..

Я просто нажал и не отпускал одной рукой Ctrl+Alt+Del. На переднем фоне начинает быстро мерцать окошко диспетчера задач и курсор мышки. Подводим мышку к появившемкся непонятному приложению и сеимаем задачу – проблемма решена)))

не убирается же никак((( и биос не помогло(

) у меня друган сегодня жаловался ). типо поймал такую шляпу:)) он зделал так ))), переустоновил винду)))))))))))))))))))))

у меня вылез ни такой как у всех у меня был весь синий экран… сделал вызвал диспечер задач много раз пока окно не зависло это просто снял задачу и все… в диспечере задач вирус назывался как sound через поиск нашел прсто удалил… правда при перезагрузги выдал ошибку но звук все равно есть. поробуйте мож кому поможет мне помогло!!!!!

Комментарий от Серега [ Август 10, 2009, 09:05 ]
РЕБЯТА,НЕ НАДО СТРАДАТЬ ЕРУНДОЙ!ПРОСТО ЗАЙДИТЕ В БИОС И ПЕРЕКЛЮЧИТЕ ВРЕМЯ НА СУТКИ ВПЕРЕД,ЕСЛИ НЕ ПОМОГАЕТ ТО НА СУТКИ НАЗАД И ЭТА ХЕРНЯ ПРОПАДЁТ…ЗАТЕМ ПРОСТО ПОМЕНЯЙТЕ ВРЕМЯ НА ПРАВИЛЬНОЕ И ВСЁ!

Только этот способ реально быстро и просто помог :) Советую :)

Еще нашел интересную шнягу попробуйте набрать код
«ЗАЧИСЛЕНЫ» говорят помогает :)

Генератор ключей от этой заразы
http://news.drweb.com/show/?i=304&c=5

успел вырубить его в рабочих приложениях, до того как он загрузился, потом спокойно все потер.

ПРИВЕТ=)
ПОМОГИТЕ ПЛИЗЗ У МЯ ПРОБЛЕМА С СИСТЕМОЙ ПИШУТ ЧТО ЗАБЛОКИРОВАНА ,А ДЛЯ РАЗБЛОКИРОВАНИЯ НАДО ОТПРАВИТЬ СМС НА 3699 ТЕКСТ 212626 …ИСПРОБЫВАЛА ВСЕ ВАРИИАНТЫ АБСОЛЮТНО НИЧЕГО НЕ ПОМОГАЕТ=(((

такой же трабл как у Дианчигг, номера те же.
Все перепробовали, не пашет.
винду переставили, С нах форматнули, вебером и нодом полностью просканировали, прошли сутки – та же лажа…

народ помогите! У меня невозможно через биос загрузить ни один накопитель, тоесть винду переустановить не могу. Попробывал решить через биос (ну перевод времени), в результате получил при загрузке винды на долю секунды выскакивает синий экран (ну системная ошибка какая-то, не успеваю разглядеть) и комп перезагружается. Помогите пожалуйсто

to Дианчигг:
попробуй зайти в безопасный режим и выключи в автозагрузке winpsvc.exe и iexplorer.exe
потом удали их ручками
глянь на С в корне, там может быть locker.exe, его тоже сноси

нашему помогло)

спс огромное помог вариант свостановлением системы

А как в биосе отключить время?

Таже хня что и у Дианчегг – ничево не помогает также… биос, восстановление системы, смена времени,файлов блокер,локер и проч. пока не обнаружено, кодов на сайте др. вэб нету ((((((((((

вирус у меня уже живет кстати несколько дней(((

Смотрите что делаем! не важно какой номер и какой текст нужно отправлять смс, при запуске винди нажимаем ф8 и запускаем безопасний режим, дальше пуск – виполнить и тут прописиваєм msconfig откроется окно где в закледке автозагрузка снимаєм галку с файла cmon.exe дальше перезапускаем комп в обичном режиме и все но нужно ище будет етот файл удолить! Для етого в меню настройки вибираєм свойство папки и там в закладке вид с самого низу ставим показать скритие файли, дальше найти файли и папки вводим имя файла cmon.exe можна просто cmon заходим в прописаний адрес и удаляєм файл с помощью шифт дел и не забудьте просканировать комп! РАБОТАЙТЕ —- ПОМОГЛО!!!!!

Я на днях слушал про эту заразу по радио и вот вчера сам поймал этот синий экран. Хорошо что резервирую систему Acronis True Image Home. Вернул прежнее состояние винды за 3 минуты а потом шерстил комп AVP. Вроде пока работает.
P.S. Чаще сохраняйтесь.

пару месяцев назад мама словила такой. Версию с красным окном. Када даже ф8 не помогает. смс отправила – 300р сняли. Естественно, не помогло) Я пришел, попросил смс больше никогда никуда не слать. Сам с вирусом разобраться не смог и просто переставил винду.
Внимание, вопрос: каким образом этот вирус пролез на комп? Outpost стоит. Мама по сомнительным сайтам не лазит. Флэшеи-диски тож не пихали сомнительные.

Vse predlozhennue sposobu poproboval, i nichego ne polychilos(((( 4to, neuzheli Vindy perestavlyat nado???(

Люди спасибо вариант с биос реально помог

Откатите винду на пару дней назад… Уже на трех компьютерах помогло….

дашик,спасибо!!!После множества способов ваш помог избавиться от проблемы

Знакомая подхватила. дура.
консультировал по телефону. помог простой перевод даты на сутки вперед.
спасибо.
зы. дуры маст дай

Спасибо народ, что вы есть…
Я вчера с ура обнаружил у меня на домашнем компе такой вирус… предложили мне отправить на номер 9691 код 6005795 для разблокировки… а у меня денег столько не было на телефоне… в общем растроился.
Ничего не помогает (как было описано выше). Расстроился, но с Виндой ничего делать не стал.
Пошел на работу. Нашел в инете ваши комментарии – почитал, распечатал пути выхода из создавшейся ситуации.
С сайта DrWEB скачал сгенерированный код.
Вечером уже прихожу домой – а вируса нет. Не поверил – перезагрузил раз несколько – нет его…
Тут я вспомнил, что DrWEB писал о времени действия вируса – 2 часа, потом он себя удаляет из компа… Поэтому, если такое случилось – подождите! Не теребите комп. – может еще хуже наделаете…
Посмотрел все файлы, которые были в системе между 6 и 7 октября – остатков вируса не обнаружил.
Однако Ctrl+Alt+Del все таки не работает – Заблокировано администратором. Но тут-то я вспомнил, что у вас тут в обсуждениях наверху было решение и этой проблемы – помогло!
Вот. Сейчас вроде его (вируса) нет.
Еще раз спасибо!

с обеда до сего момента парился…

раз 30-40 перезагружался: то в обычном, то в безопасном режимах: в итоге все время заходил в безопасном режиме, чистил все временные файлы и папки, включая Temp в Doc..and…Set… – в ней постоянно exe-файлы с именем из 3 цифр и иконкой в виде ключика…

также в безопасном пускал msconfig, там в автозапуске постоянно два файла ctfmon.exe сидят: идон в c:\windows а другой в c:\windows\system32\ мля, какой из них отрубать???

опять перегружаюсь = все работает нормально до запуска IE…

надоело, и ентот коммент даже писать лень ((( надеюсь часа через 2 эта падла сама отрубится…

У меня жесткая версия попалась…
Ничего из вышеуказанного не помогло.
Перезагружайтесь в безопасном режиме с поддержкой коммандной строки, вызывайте Диспетчер задач, в вкладке Приложения выберете Новая задача, наберите msconfig, убирайте из автозагрузки ВСЕ! Перезагрузитесь, все должно заработать. После просканируйте CureItом системный диск.
У меня версия вируса WinLock.321

при загрузке операционки выскакивает сообщение от брандмауэра – пишет что версия не лицензионная, рабочий стол пропадает(ничего не работает кроме цифр, чтоб код набрать) и , типа, позвоните по стационарному городскому номеру ХХХХХХ или отправьте смс на 3649, смтоимость 50 руб,50 коп. Зашел в безопасном режиме-окно пропало, но прикол в том что ни один сайт с антивирусами не открывается ни через один браузер. В итоге поразмыслив отключаю в «панель управления -администрирование – службы» DNS – клиент. С этого момента наконец заработали все сайты с антивирусами и штатный антик тоже обновился. Я лично пробовал Avir ой ,нашел 32 вируса и решил проблему со злостным окном. У друга та же проблема была, только он умудрился отправить смс – сняли 170 руб!!

Подожду два часа(((
самое интересное, что мой вирус не дает мне открывать винду в безопасном режиме, восстановление не работает.
Через биос не знаю, как делать.
То, что на сайте доктора веба – не помогло(

Огромное спасибо, помогло через BIOS вперед. До этого ничего не запускалось и не удалялось.

пипец! А я ну полный чайник,2недели в инете,ну меня развели на200руб номер4161.ладно нашла этот сайт,теперь хоть понимаю что за тема((((((((

Ни фига не понимаю в компах,где чё прописывать не догоняю сейчас оставил на пару часов посмотрю может и вправду сам удалится,а до этого пробывал всё.

Комментарий от Серега [ Август 10, 2009, 09:05 ]
РЕБЯТА,НЕ НАДО СТРАДАТЬ ЕРУНДОЙ!ПРОСТО ЗАЙДИТЕ В БИОС И ПЕРЕКЛЮЧИТЕ ВРЕМЯ НА СУТКИ ВПЕРЕД,ЕСЛИ НЕ ПОМОГАЕТ ТО НА СУТКИ НАЗАД И ЭТА ХЕРНЯ ПРОПАДЁТ…ЗАТЕМ ПРОСТО ПОМЕНЯЙТЕ ВРЕМЯ НА ПРАВИЛЬНОЕ И ВСЁ!

что такое биос))))

где находится BIOS как найти.

СМОТРИТЕ СЮДА здесь все коды для разблокировки винды доктор веб постарался))))) http://news.drweb.com/show/?i=304&c=5

НАРОД СМОТРИТЕ КОДЫ РАЗБЛОКИРОВКИ!!!!
ПОМОГАЕТ 100%%%%%

был вариант с «эротическим видео»
востановление системы на неделю назад помогло. и в принципе оно помогает ОТ ВСЕГО, что пишет себя в реестр

Зря радовался! Эта зараза опять выскакивает. После кода разблокировки от Доктора. Захожу в инет и опять эта долбаная таблица выскакивает

Кстати менял время в БИОСЕ на год назад и на год вперёд. Ни какого результата.

Мне тоже помог биос, перевел дату на день вперед, а потом с панели задач восстановил обратно. Реально мерзкая тварь и вирус, и его создатель!!!

Но все таки, сука, он успел разорить меня на 180 руб.

А чего мой коммент удалили, тут чето непонятки какие, я тож опытом поделился, а его стерли, во разводчики-то!

Биос не помог, 3 кнопки так же нет, вот этот генератор помог.

http://news.drweb.com/show/?i=304&c=5

Что я только не пробовал – ну ни фига не помогало – но! – сумел через ПУСК-Программы-Стандартные-Служебные-Восстановление системы – активировал предыдущие сутки – и ура!!! Правда опустошилась папка автозагрузки и соответственно исчез антивирусный гвардеец из трея – но это уже поправимо!!! (от 18 июля 2009 )
Спасибо ДЖИА! (от

Я вообщем то неожиданно увидела эту заставку (у Вас нелецензионный виндоус, отправте смс, получите код). Ну я отправила))) с телефона сняли около 120 рублей, сижу в инете, бац, опять заставка, думаю офигели суки!!!Вообщем есть какое-то время когда выключаешь и включаешь комп без заставки, быстро включить Пуск, Перезагрузить, когда начинает перезагружать и черный экран, нажимаешь F8, в безопасном режиме поставила на сканирование Malwarebytes’Anti-Malware, он что-то нашел, стер, но если зайдешь в инет, заставка по новой! Вообщем не долго думая чем эту хрень можно стереть, купила доктор Веб, его устанавила, а ключ в инете подтверждать, как я и мудохалась. Наберу ключ в окошке, включаю инет и быстрей подтверждать, а то заставка опять вылезет и все по новой. Короче оказалось, что доктор Веб я поспешила устанавливать, там базы обновлять, а за это время заствака меня бы догнала. Короче испсиховавшись звоню в поддержку доктор Веб и говорю, мля купила вашу прогу не могу установить, так и сяк. Они там сказали что мона с их сайта скачать на другой комп бесплатно DrWeb.Cureit (http://www.drweb.com/), весит всего 19 МБ, потом на флешке на мой комп, просканировать и удалить всю эту хрень, короче ура все получилось!!!

С биосом реально помогло,
Пароль может быть такой : 5748839

Ну смс отправлять дело нехитрое, но и итог плачевный… У подруги появилась проблема, на рабочий стол при загрузке вылезало сообщение о порно ресурсах на 6-ть часов(не помню, что именно написано), в безопасном тоже самое… Действия были такие, сначала курит от др.вэба- не помогло(пишет, ошибку в rar), далее сомодо стена, запретить все сетевые процессы- не помогло, тем же комодо: активные процессы, были заблокированы 3-ри процесса winlogan, сtfmon, route после этих действий, винда есесенна при критическом процессе, дала минуту на ребут(перезагруз), далее винда «встала»(explorer не грузит), В безопасном режиме, актив процесс, был обнаружен, но после остановки, его винда также не встаёт, БИОС был запоролен админом(его не кто не видел И альфа не помогла), обнуление вернулось к тому же паролю, ради прикола попробовал восстановление, чудо итить… всё в порядке, непонятно… Нормально сделанный троян и не блокирует восстановление(((

Сам не подципал такую заразу, но у брата была и узнакомого воспользовался советами вот отсюда и всё решилось http://programinet.narod.ru/antivirussms.html

Решил проблему сл. образом: зашел в безопасном режиме поверх вирусного c:\windows\ctfmon.exe записал настоящий ctfmon.exe из папки c:\windows\system32\ выставил атрибут только чтение. для того чтобы при повторной попытке записи вирус не смо записаться поверх. Ну а как универсальное стредство могу посоветовать в безопасном режиме пуск->выполнить->cmd->MSconfig->автозагруская отключить все, а потом постепенно выставлять галочки на известных вам файлах автозагрузки.

все хренатень. убрал так_ востановление системы дней на пять назад. и все. но грохнулась опера. пришлось переустановить. жаль что быстро убрал. хотелось бы получше узнать его. но он висит в опере в загрузки. а след в папке темп. удачи всем.

и вообще. это суки из нева лайн отправляют. я их нашел телефон и адрес.кстати официальные представители мегафона. вот так. т.е. нас разводят сотовики.

Сергей, думаю вы ошибаетесь, так как если бы было так как вы говорите, то репутация этой компании пострадала бы так что доходы от этих смс были бы как капля в море по сравнению с убытками от подтверждения такой информации. Если можно раскажите из чего вы сделали такие выводы.

Не знаю, поможет ли вам это, и тем более не претендую на исключительность метода, но работать это должно – была схожая ситуация. Сначала проверяете каспером с последними базами на другом компе – если лечит – радуетесь, если нет – читаете дальше. В общем грузитесь с чего – нибудь, что есть под рукой – liveCD я не пробовал, у меня ubuntu есть установленная – на вирусы на ней пох. Заходите на ‘тот самый’ порносайт или еще куда, где вы эту заразу поймали и стараетесь поймать живой ‘экземпляр’ этой заразы – обычно это trojan – dropper – в виде .exe или еще чего нибудь. Можете погуглить по имени файла, если помните его – возможно найдется на файлообменниках. Находите. Не пытайтесь его устанавливать – отравьте на исследование касперу. В моем случае через несколько часов пришел ответ :

Здравствуйте,

flvdecode.exe – Trojan-Dropper.Win32.Agent.bhec

Детектирование файла будет добавлено в следующее обновление.

> Блокирует компьютер с с предложением отправить смс.
>
С уважением,
Павел Зеленский
Ведущий вирусный аналитик

Теперь обновляете каспера на другом компьютере и проверяете опять. Вируса он удалит, но сопли в реестре останутся – чистите любой прогой для очистки реестра – я использую jv16 pover tools.
Если остаются обычные артефакты типа отключенного диспетчера задач, скрытого пункта Свойство папки и прочее – можете погуглить что и где в реестре поправить, а можете поставить XP Tweaker и там поправить. И последнее – тут много говорилось, почему их не садят, не казнят и анально не карают? В большинстве случаев их вину не так просто доказать, потому что ВЫ сами (большинство!) устанавливаете эти самые бесплатные download – менеджеры, кодеки для просмотра ‘особого’ видео и пр. И почти всегда вы ПРИНИМАЕТЕ ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ! Где-то это явно, где – то не очень – присутствует только ссылка – но этого НИКТО НИКОГДА не читает, а зря… Ведь там написана ВСЯ правда, что вам придется отправлять смс, и что доступ к компьютеру будет блокирован, что будет установлен порнобанер и пр. А программки эти пишутся по десятку в день, и нет ничего удивительного в том, что антивирус их не видет – думать надо головой! Неплохо зарекомендовал себя метод гугления имени подозрительного файла перед его установкой, если антивирус молчит – если наткнетесь на подобную тему в форуме – думаю, что делать объяснять не надо, и желательно, отправить образец на проверку касперу – это не реклама, просто я пользуюсь только им, можете хоть Гейтсу отправлять, я же буду говорить о том, в работоспособности чего я уверен.
Будьте, наконец разумными – бесплатный сыр бывает только в … – ну вы помните!

КО МНЕ ЭТА ЗАРАЗА ПРИШЛА С ФЛЕШКИ РАСКИНУВ КОСТИ – НАЖАЛ НА РЕСЕТ НА БЛОКЕ И ВКЛЮЧИЛАСЬ ПЕРЕЗАГРУКА ПОТОМ F8 – безопасный режим и восстановление системы – поставил точку вчерашним днём и снова перезагрузил – всё чисто

А я искал про диспетчер как раз… Помогло!

У меня было тоже самое, только не с Windows а с ВКонтакте.ру. Вот что там было написано:
«Для борьбы со спамерами и аккаунтами – пустышками мы ввели новую систему защиты. Теперь каждый аккаунт подлежит обязательной смс активации. Данная процедура является одноразовой. Для активации вашего аккаунта пожалуйста отправьте смс c текстом «511551125″ на номер 3649. В ответном смс вам придёт код, который необходимо ввести в поле и нажать кнопку Активировать аккаунт. Смс на номер 3649 бесплатны!
——————————————————————————–
ВКонтакте всегда заботится о Вашей безопасности! «

Спасибо всем за инфо

Мне тоже реально помог http://news.drweb.com/show/?i=304&c=5

Спасибо автору,помогло :)

Генератор решает) http://news.drweb.com/show/?i=304&c=5 проблема решилась за 1 мин)

перевёл дату на месяц вперёд и всё пропало спс Вам за подсказку PS. когда перевёл дату смог спакойно удалить папку которая использовалась другим админом))))

Большое спасибо!!!!

Подцепил подобную хрень. Прикреплён был к скачанному файлу. Не то кодеки какие-то для воспроизведения потокового видео, не то флэш-плеер. Вылечил, вроде бы… Воспользовался самым первым советом. Окно было под Вистой голубовато-серого оформления и само не вылезало. Нащупалась другая серьёзная проблема: после того, как вирь установился на ноутбук, обрубился инет. При чём в процессах появился один мерзкий процесс, который клонировал сам себя каждую секунду. Убил его кое-как процесс-киллером, а вот после этого, после того, как начинаешь его убивать, вылезало это самое окно. Окно НЕ сообщало о том, что Виндовз заблокирован, а вещало о том, что мне предоставлен бесплатный доступ к порно ресурсу на 00:00 часов и минут. А так как доступ кончился, то нужно слать СМС…

Виря-то я как бы прибил. Удалил из папки ТЕМР, включил диспетчер задач, путь загрузки Winlogon в реестре подправил, в общем, всё проделал, как написано в первом посте. Но теперь не работает интернет. Бук устанавливает интернет-соединение, передаёт от 2 до 3 кб, принимает от 20 до 30 кб и на этом всё. Ни одна прога в инет выйти не может! Антивирус Eset Smart Security 4 выдаёт: «Ошибка открытия сокета», Опера ругается, что нет связи с удалённым сервером, Скайп ваще ничего не говорит. При попытке играть по локальной СЕТИ через wi-fi Diablo II тоже сказал, что socet не может быть открыт! Пытался откатить Винду на разные даты – не помогает. Инет у мну через 3g модем и мобилу по блютусу.

Прошу знающих людей помочь мне советм, как заставить приложения выходить в инет?! Форточки переставить не могу, т.к. при переустановке они форматнут винт С:\ который у меня на 110 гигов.

У меня появилось окно с порнорекламой на весь рабочий стол,естественно,просят отправить смс на 3649 с текстом М20920006 . Борюсь с этой заразой со вчерашнего вечера, диспетчер задач заблокирован,безопасный режим не вкючается,время перевести тоже невозможно,ибо пишет:восстановление системы откючено групповой политикой… Короче,я в шоке!что делать?

Нда ребят… Все что описано выше не поможет… Все это бред сивой кобылы в новогоднюю ночь… Реальный совет который вам поможет, а точнее два:
Совет первый:Если у вас пишет то что установлена нелицензионная система то код будет 13616, после этого сразу нажимаем комбинацию трех пальцев и ждем…в процессах появляется например 601.ехе. Сносим его, если проворонили, то вводим опять код и ждем… Цифры каждый раз будут разные.Запускаем поиск и находим этот файл(а заодно и папку где он лежит) и сносим все вместе с папкой к е****й матери.После этого качаем Dr.Web® LiveCD, пишем на болванку. После качаем Dr.Wed CureIt,Kasperky virus remowal tool, Ad-Aware.Можно заодно и нод.И запускаем это все по очереди… Ждем окончания сканирования(по пути удаляем все найденые зараженные обьекты).После качаем NoAdware(крякаем,обновляем)сканируем-удаляем.Дальше качаем Reg Organizer(крякаем)и чистим в авторежиме весь реестр.После в ней же чистим файлы. Теперь перегружаем машину и грузимся с Live CD доктора веба… Проверяем им машины(ещё пару выковырнет)После грузимся в безопасник(просто безопасник)и всеми антивирями ВМЕСТЕ сканим машину.После скана и удаления грузимся в обычный режим и если все ок, то проганяем машину др.Вебом.Все, радуйтесь жизни… Заодно ещё раз пройдитесь Reg Organizer и будет вам добро…Перед началом всей работы прочитстите(если у вас это получится)Темпы,куки и всю прочую лабуду.Изапаситесь пивом и терпением… У меня сразу сканило пять антивирей…А все то что написано выше в моем случае не помогло…Удачи. если что пишите в аську475143973

Если не катит, сносите Винду…

с ужасом посмотрела на вылезшее сообщение о том что винда на моем ноуте нелицензионная…чуть было не отправила сообщение, но потом вчиталась в адрес «офиса microsoft в Москве» и поняла что улицы Кирилова у нас нет))))) вообщем помогло банальное восстановление системы на недельку назад через безопасный режим….

кста…в моем варианте вируса еще был указан «юридический адрес» и даже телефон))))

2Маша:
У меня появилось окно с порнорекламой на весь рабочий стол,естественно,просят отправить смс на 3649 с текстом М20920006 . Борюсь с этой заразой со вчерашнего вечера, диспетчер задач заблокирован,безопасный режим не вкючается,время перевести тоже невозможно,ибо пишет:восстановление системы откючено групповой политикой… Короче,я в шоке!что делать?

Столкнулся с той же проблемой, что и у Вас. Решение нашел самостоятельно.
1. Удаляем значение в реестре: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\App_IDs со значением где указан путь к файлу nlLnE.dll (обычно он находится в C:\Windows\System32, ну у кого как)
2. Удаляем или переименовываем файл nlLnE.dll по указанному пути (у меня получилось переименовать)

В результате последствий вирусни у меня отключились диспетчер задач и редактор реестра (остальное не проверял). Действия с реестром проводил через TotalCommander c плагином для редактирования реестра.

Если возникли проблемы с лечением – пишите, чем смогу… gem777@mail.ru

2Сергей:

Спасибо! Все получилось!!!!

Только у меня был не nlLnE.dll, а – zdnCM.dll

И действия проводил через ERD-Comander-2008

фаил может быть любой, размер примерно 126Кб. скрытый, название из 5-и букв, а в свойствах что-то про касперского

2Александр:
Да, все верно, я забыл указать, что в свойствах было про каспера.
Еще одна неточность:
Я написал, что значение в реестре App_IDs, неточность в том, что значение именуется как: AppInit_DLLs.
На 25 ноября этот блокер не обнаруживался антивирусами, прогнал dll на virustotal, был обнаружен только некоторыми из антивирей. Поэтому мне DrWeb CureIT не помог в тот момент, на данное время не знаю, насколько он обнаруживается антивирями.

У кагО проблемы с ПОРНО ИНФЕРМЕРОМ (= …грузитесь с ЛИВе СД —- грузите Файловый менеджер УДАЛЯЙТЕ ВСЕ ТЕМПЫ в пользователях и интернет експоуреТЕМП =) перезагрузитесь, прогоните через ComboFix должно исправить реестры=)

парни помогите плиз!! Кароче такая хрень поймал типо тоже отправте смс а потом вобще пробала а инет остался заблокирован что делать плиз подскажыте (пишети в мыло илю сюда либов асю 391-415-432) ЗАРАНИЕ ОГРОМНОЕ СПОСИБО!!!!

Блин ничего сначала не знал об это вирусе… зашел скачать и вылазит, мол, отправте смс …и (если б я раньше прочитал что нибудь за эти вирусы) ничо не помогло, не мог зайти даже в диспечер задач и в безопаный режим. Пришлось отправить.. сняли 300 рублей – козлы

В пятницу подхватил вирус – при запуске офисных програм, выскакивает порно картинка и требует смс на номер 3649 с текстом М….. Ни чего страшного заходим на сайт Д ВЕб скачиваем специальную програмку (тут нужно создать образ на СД диске) загружаем комп с этого диска и через 5 часов Ваш комп здоров. А жители Украины говорят спасибо Оператору Лайф который обслуживает номер 3649

схватил позавчера винлокер…
на image-хостинге название не запомнил.
Было так: выскакивает на экран серое окно с предложением отправить смс за какой-то хренью – ничего не работает, никакие комбинации клавиш. Через несколько секунд браузер закрылся, я обнаружил что вызов диспетчера задач изменился но не придал особого значения этому. На следующий день врубаю комп – вуаля. Безопасный не вызывается – следует перезагрузка, никакие ухишрения с клавой не работают. Мутил с знакомым, испробовали всё из перечисленного – нихрена.
Заюзали livecd – удалил к чертям собачьим всё ,что получил в день заражения, за исключением доверенного. Вирус выглядел так: msxnet32.dll
Перезагрузил – хренушки, реестр не правил – винда считает что удалил важный файл. Ну и что, поставил другую винду..к этому всё и шло.

Вирусописание и распространение вирусов карается уголовным кодексом любой цивилизованной страны.
Вымогательство обычно карается ещё строже.

Никто не додумался в милицию заявление написать?

Получателей СМС-денег взяли бы споличным.

у меня правда была другая проблемма! я зашел на какой-то порносайтег, а там видео, чтоб его посмотреть попросило скачать и установить флэш-кодек! потом когда все было скачано и установлено то выскочило окно белое с замком и написано чтоб уплатил деньги через СМС иначе хана компьютеру! что только ниделал нихрена! за этим окном диспетчера невидно! оно заблокировало интернет… но у меня стояла прога Артмани (для взлома рессурсов игр)запустил ее и там когда выбираешь процесс показало путь активного процесса псевдоокошка этого долбаного!!! ну вот оно находится в папке ,,темп,, кароч залез туда поколдовал трохи поудалял все полностью а то что не удалялось то переименовал – переименовываете нажимайте ентер! пару раз! перезагружаете и все! мне помогло!

Мне помог этот совет!!Спасибо!!
Пуск–>Выполнить–>набираем в строке regedit–>жмем ОК
идем сюда–> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe !!все после этой строки путь к тому месту где эта дрянь лежит!! –> c:/документс&сеттингс/аккаунт/local settings/Temp/(don9CF6.tmp) <–запоминаем это путь и этот файл(это он сцука!!)Лезем туда, находим (don9CF6.tmp) и еще несколько файлов с именем don9CF6 но с другим расширением и все их переименовываем(попытки их удалить вешали проводник),перезагружаем комп и вуаля!!у меня все исчезло!!потом опять лезем c:/документс&сеттингс/аккаунт/local settings/Temp/(don9CF6.tmp)и сносим эти файлы нафиг,качаем свежий Dr.Web и прогоняем полную проверку,находит троян,вот и все вроде!!

код разблокир.6303881

Если у вас пишет что Виндоус заблокирован, отпрате СМС для разблокировки, то просто оставляете включенным компьютер на 2 часа и заставка сама выключается,

Мда…. не помогло все что описано выше (парадокс)….
Хелп кто разобрался…
По порядку о проблеме:
1. антивирус стоит Avira Antivir Personal, last update 07.12.09
2. скачал программу, антивир не отреагировал установил, проверил, все ок, комп выкл.
3. утро, включаю комп, разрешение дикое 800х600, сыпется куча системных сообщений о не догруженных программах и модулях, полностью залочен доступ к всем файлам с любыми расширениями… даже txt блочит.
Anvir task manager – в отрубе, диспетчер задач заблочен, пуск -> выполнить , заблочен, доступ к реестру также залочен, тотал коммандер не запускается, переменные среды вынесены в C:\Temp – папка снесена, все папки с временным файлом в ДокументсИСетингс удалены, дата в БИОСе менялась на дни и недели в перед, Dr.Web Curitel и прочие аналогичные оси с АВ не помогли даже не определили наличие вируса, хотя все скачено сегодня с оф сайтов на бук там же записано и опробированно на зараженном настольным ПК….
4. После пары часов колдовства, вылезло белое окно с надписью: Вы нарушили лиц.соглашение программного продукта iMax Download Manager – пипец отжигают хорошо что не iPhone to windows mobile. Кстати текст: отправьте СМС с текстом М204011500 на номер 3649, Осталось времени 02.59 минут…. Генерация кода на сайте Доктора ВЭБ не помогла коды не подходят….
5. гружусь с winPE с кучей софта, анти вирей и т.д. поиск файлов от 08.12.09 все сношу что нашел, В том числе и sda64.exe в Windows\system32\ перезагрузка и вот пароход им в анал та же хрень…
6. в 18.35 оставил включенным ПК с е… табличкой, нарисовался только через 4 часа, хм… у таблицы отсечка Осталось времени 3 с .уем часов.
Факты:
Доступа к системным утилитам и сторонним программам – нет.
Запуск файлов и выполнение программ – не возможно.
Антивирус после прочеса в течении 3.5 часов выдал результат – 0.
Удаление всех файлов загруженных с 07 по 08.12.09 – не помогло.
Помогите Хелп!!!! Советы типа переустанови это слишком просто хочется эту сцуку за одно место взять….
Кто это написал????? Я сам программист уже 15 лет как но написать такую подляну в голову не падало…. Убил бы выстрелом в голову из Дедовской двустволки…

Эксперимент продолжался всю ночь 2 захода по 2.55 мин. таймер до нуля, ожидание перезагрузка и все тоже самое…., всю симптоматику сегодня отправлю в антивирусные конторы…

Два дня лажу по нету найти нихрена не могу, у самого та же ерунда что и у Age бля попал мля, теперь вместе будем сидеть ждать((( хорошо хоть второй комп есть, кстати чтобы убрать эту табличку на время, попробуйте правый клик по мой компьютер-свойства, помогает
P.s. подключил спецов знакомых, говорять пока только перезагрухка и поможет мать его

Age [ Декабрь 9, 2009, 23:14 ]
У меня такое же сообщение «iMax Download Manager и т.д.».
Подождал пока время (3 часа) выйдет – ноут не выздоровел.
Безопасный режим поначалу грузился, но потом заключил окончательно.
Удалось загрузить за 1,5 часа обычный режим.
Очистил папки:
- c:\Documents and Settings\»Имя_Пользователя»\Local Settings\Temp\
- c:\Documents and Settings\»Имя_Пользователя»\Local Settings\Temporary Internet
К – C:\\WINDOWS – пока не пробиться.
Попытки «Восстановление системы» дают сообщение – «Отключено групповой политикой.Свяжитесь с администрацией домена»
С удовольствием приму помощь.

с утра отправил запрос по антивирусным конторам… уже вечер в ответ тишина….

повторил весь парад действий:

снял хард зацепил на другой ПК по порядку прогонял под разными антивирями:

все с последними базами, ключи с прилагаемого диска с журнала компьютер билд….

1. AVZ – результат 0
2. Kasper – результат 0
3. Dr.Web – результат 0

чистка всех папок на подозрительные файлы:
удаление всего закаченного до 07.12.09
в том числе опять удаление файла sda64.exe он сцуко откудато произрастает… удаление не типичных библиотек…
удаление всего с папок:
C:\Documents and Settings\Я\Local Settings\Temp
C:\Documents and Settings\Я\Local Settings\Temporary Internet Files

C:\Documents and Settings\All Users\Local Settings\Temp

C:\Documents and Settings\Default User\Local Settings\Temp
C:\Documents and Settings\NetworkService\Local Settings\Temp

найдена еще один непонятный файл не имеющий отношения к оси но маскирующийся, svchost32.exe удален к е…ой матери.

Результат:

цепляю хард стартует система… вроде порядок но сыпяться сообщения о неверных путях в реестре, чищу реестр, правлю пути, перезагруз и ЧТО ВЫ ДУМАЕТЕ?

Е..ная с..а опять таже ебалаечная история… при первой же попытки запустить любой файл..

НО!!!! Эксперимент продолжается… Я выковыряю тело этой уеты….

Парни, есть очень простой способ как избавиться от этой фигни. Позвоните по номеру 8(495)3631427 Добавочный 555. Приведу пример моего разговора с ними:
-Здравствуйте.
-Здравствуйте.
-Номер 3649 принадлежит вам?
-Назовите код смс.
-М204111500
-Код активации……(извините не запомнил, был на эмоциях)
-Почему вы творите это дело.
-Это не мы, это наш партнер нарушил правила партнерского соглашения, мы ему уже отказали в услугах и бесплатно раздаем коды активации.
Раз этот номер принадлежит вам, то я на ваше имя могу писать претензии в прокуратуру?
-Пишите, это ваше право.

У меня точная копия как у Age.Еще при запуске меню «удаление програм» окно уходит, но запуске .exe файлов опять выходит.Аcrobat-запускается при старте .pdf файлов.

To Age: если получиться обязательно напиши.Удачи

Age, друг, если ты ее победишь, напиши как, тоже самое у меня, делал тоже что и ты, пытался врубить восстановление системы в реестре и т.п., Итог один: НИХЕРА!!! борюсь, если справлюсь дам знать!!!

Кстати, к тому, что вирусное окно закрывает часть экрана,и некоторые окна, некоторых программ не видно из-за этого. Я менял разрешение экрана три четыре раза, пробовал всякие экзотические разрешения, на некоторых режимах часть(самый краешек) окна становится видимым и можно его зацепить и вынуть из под окна вируса.

Age, у меня таже самая проблема! Ход твоих действий по идентификации вируса совпадает с моим :) Ни один антивирь с новыми базами не видет его. Загружаться антивирусам даёт только через LiveCD. Остальное всё блокирует. Так же в ручную искал вирус в папках-ничего не нашёл, правда в одном из temp-ов я нашёл подозрительный exe сидевший у меня в реестре здесь [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit «C:\WINDOWS\system32\userinit.exe, и этот *.exe» Удалил, в regedit всё почистил, что было с ним связанно/ Перезагрузил комп, появляется заново. Вообщем, промучился 3 суток, переустановил винду в папку (например)Windows2. А предыдущую системную Windows затёр.

Спасибо огромное Ilovich! два дня билась-ничего не помогало! реально НИЧЕГО!!!!!!!!!!! звонила в тех поддержку этого А1А, записали телефон, сказали ждите два дня!!! Я свою систему всю на уши поставила. А позвонила по номеру 8(495)3631427 ,как ilovich написал,там уточнили время (с точностью до минуты) и дали код! На последнии версии этой хрени ничего не действует! так что звоните,не откладывайте!
Спасибо огромное!

Комментарий от ilovich [ Декабрь 10, 2009, 19:10 ]
Реально работает!!!!!!!!!!!!!!!!

реально работает звонок по телефону. позвонил около 10 вечера, выслушали, сказали код…всё четко и чертовки приятно что без нервов=)

позвонил на номер 363-14-27 доб. 555
на код М204211000 дали код активации 7537544333

Поставил Касперского, делаю полную проверку компа. Уже 30 троянов нашел.

Всем удачи.

А я его все таки победил… сегодня подготовлю подробный обзор и размещу….

у меня вылезла эта чушь в опере!опера не закрывается это окно висит потом кое-как зыкрыл оперу окно исчезло сделал так Пуск–>Выполнить–>набираем в строке regedit–>жмем ОК
идем сюда–> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] у меня «C:\WINDOWS\system32\userinit.exe» это значит все окей или пипец?))

А кто-нибудь знает, что за ерунда выскакивает – ilite net accelerator с якобы предупреждением о нарушении лицензионного соглашения и просьбой отправить смс на 3649. Блокирует антивирус и запускается при открытии приложений. Генерация кодов Др.веб не помогла, наверное новая версия. В безопасном режиме – то же самое, ждать пробовал, время менять – не помогает.

позвонил на номер 363-14-27 доб. 555
на код М204111300 дали код активации 7537444633

«А я его все таки победил… сегодня подготовлю подробный обзор и размещу….»

Age, очень ждём! Мне весьма интересно!

У меня довольно детская и наивная история. Повелась на развод мур-клуба, т.е установила программу-комп вырубился, умала ладно, раз рботает пронесло.Захотела зайти в контакт и опана…»В связи с тем, что у Вас установлена не официальная копия Windows, Мы совместно с Microsoft ограничили доступ к некоторым сайтам. Для легализации продукта – нужно проделать следующие действия.

Для того чтобы активировать свой Windows, отправьте SMS с текстом: «vsemobiles» на один из следующих номеров:

9099 для абонентов России;
7138 для абонентов Украины;
Если Вы не отправите сообщение в течение 24 часов, то мы будем вынуждены отформатировать Ваш жесткий диск, тем самым удалить всю информацию с него.
Стоимость SMS равна номинальной стоимости, установленной вашим оператором.»
Вот такая ерунда. На одноклассниках и яндексе тоже самое( восстановление системы не помогает.Пуск-все программы-служебные-активация виндоус…Тоже не помогает…на опере тоже самое…генератор от веба непомогает. НЕ ЗНАЮ ЧТО ДЕЛАТЬ. Вирус обнаружить неполучается( вообщем у вас люди прошу помощи:(

Итак постараюсь изложить все по порядку:
Все время пока я пытался найти тело программы мой взгляд был ориентирован на папки
Windows, Windows\system32 и Documents and Settings с всеми подкаталогами….
В действительности тело и место старта если так можно назвать находиться в папке
C:\Program Files\Common Files\TM FilePacker\ и
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\

Что мы делаем:
1. загружаемся с LiveCD и удаляем следующие папки:
C:\Program Files\Common Files\TM FilePacker\ и
C:\Program Files\Common Files\Target Marketing Agency\TMAgent\
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\system32\ogzc.dll
C:\WINDOWS\system321.tmp а лучше все подозрительные файлы с таким расширением удалить.

чистим папки:
C:\Documents and Settings\Я(ваш профиль)\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows\Temp

удаляем из реестра пути:
[HKEY_USERS]\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run значение: userinit
[HKEY_USERS]\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run значение: userinit

Также смотрим подозрительные программы на загрузку, в моем случае:
Ixbsqlp, cyfgjxi, gpzldeao и подобные… все сносим.

Перезагружаемся и радуемся….

Для тех кто вводил код активации не мешает проверить указанные папки на присутствие этих файлов….

Всем Удачи!!!

Спасибо за информацию, ilovich!
Попробуй для своего номера вот такой код – 7537444833
Всем «обладателям» текста смс начинающегося на М:
по-видимому, логика ответного кода активации (состоящего из 10 символов, как и текста смс) такова – вместо М ставится 7, к остальным цифрам текста смс прибавляется 3
PS Спасибо Age! Делал тоже самое, только в Common Files заглянуть не догадался..

Помог только звонок по телефону 8(495)3631427 Добавочный 555
НО!!! помог с 4 звонка, сначала другой человек звонил, потом я…
делают вид что не понимают что происходит, если говорить не уверенным тоном крутят и спрашивают всякую фигню про время и даты… и говорят про 2-3 дня ожидания. Последний звонок сделала четко сказав «у меня вирус, который просит отослать СМС с кодом таким-то на ваш номер телефона, дайте код, пожалуйста»
код продиктовали моментально

http://downloads.kaspersky-labs.com/trial/registered/D4NYOKQH7DVZYEKPGMX5/kis9.0.0.736ru.exe
без комментарий просто качайте и на полную проверку))

Если у Вас не получается самостоятельно удалить вирус, требующий отправить СМС на короткий номер 4171, 3649, 5155, 1350, 7122, 8353 или другие
Если на экране написано что Вы Нарушили лицензионное соглашение программы Imax Download Manager,
Доступ в интернет заблокирован в связи с нарушением лицензионного соглашения программы Get Accelerator, sNet SpeedBest Lite, Ubest Netspeed Pro и др.
Появился порно баннер (порнозаставка) на весь экран? Не запускается никакой антивирус, exe, bat, com файлы?
Если у Вас не получается самостоятельно удалить вирус – обращайтесь к специалистам E-HELP.KIEV.UA
Мы поможем Вам быстро и качественно почистить компьютер от вируса БЕЗ переустановки системы и потери данных!
Большой опыт работы, тысячи вылеченных компьютеров
044 5878626

8(495)3631427 Добавочный 555 – работает.
Код активации который дает оператор заточен под текущую дату – т-е если эксперементировали со сменой дат – проверяйте, на компе должна быть текущая дата.

Age, спасибо большое! Вот я дурья башка в Common Files тоже не догадался залезть…век живи-век учись!

Вера тоже подхватил эту заразу. iLite Net Accelerator типа не лицезионная.
отправьте код M204612200 на номер 3649
кажется все уже перепробовал, систему сносить не хочется.

Принесли ноут с такой же проблемой, порнобаннер на весь экран и следующие симптомы:
- просит отправить SMS на номер 3649 с кодом М21520008;
- невозможно запустить ни одну программу (антивирусы, редакторы реестра и т.п.) – сразу вылезает картинка и программа блокируется;
- безопасный режим запускается, но в нем то же самое;
- запуск штатного редактора реестра, диспетчера задач заблокирован.

В связи с этим, рекомендация типа «почистить (удалить) ветку реестра» не проходит, а без этого «все потуги напрасны».
Рецепт Age «в чистую» не подошел, в папке Common Files ничего похожего не обнаружилось. Тем не менее респект Age за подробный отчет и готовность помочь.

Что делал, расскажу по порядку. Возможно не все действия необходимы, но в результате у меня все получилось.

1. Для начала запустил msconfig, убрал все из автозагрузки, перегрузился – толку ноль.
2. Загрузился с Live CD (Bart PE, можно любой другой):
3. Скопировал файлы реестра (C:\Windows\System32\Config) в другую папку (на всякий случай, вдруг чего напартачу).
4. В указанной папке (C:\Windows\System32\Config) обнаружилось 3 файла с приставкой DM (типа DM_System, DM_Defoult – точно не помню). На всякий случай убил, хотя не уверен что это было необходимо.
5. По рецепту Age удалил все из папок:
C:\Documents and Settings\Я(ваш профиль)\Local Settings\Temp
C:\Documents and Settings\(другие профили)\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows\Temp
6. Прогнал систему программами DrWeb CureIt! (ничего не нашла) и McAfee AVERT Stinger (то же).
7. Перегрузился в систему справами администратора.
8. Вот здесь тонкость: загрузившись обнаружил (может это было и ранее, но я не замечал), что зловред дает после перезагрузки запустить файл типа setup.exe, но только один и сразу после загрузки. Запуск самой устанавливаемой программы, а также программ типа редакторов реестра, антивирусов и т.п. невозможен по прежнему. Диспетчер задач блокирован.
7. Запускаем установку Registry Workshop, ставится нормально, запустить не дает. Перегружаемся.
8. Запускаем установку XP Tweaker Russian Edition, во время установки оставляем галочку в поле «запустить программу сразу после установки». Программа запускается. Хотя, следует заметить, что зловред дает ее запустить и после перезагрузки.
9. Вот здесь у меня и «родилось» решение: в программе XP Tweaker есть вкладка «ФАЙЛЫ И ДИСКИ» —> Приложения —> Запрет запуска программ. Выбираем: «Запретить запуск приложений, кроме указанных в списке». Добавляем в список: Registry Workshop, XP Tweaker Russian Edition, Regedit, и все, что хотите и нужно для лечения.
10. В XP Tweaker снимаем галочки во вкладке «Защита» –> «Запретить вызов диспетчера задач» и «Запретить редактирование реестра».
11. Перезагружаемся и ВУАЛЯ!!! Ни одна программа, кроме указанных Вами, не запускается, диспетчер задач и редактирование реестра ДОСТУПНЫ. ЗЛОВРЕД ВРЕМЕННО ЗАБЛОКИРОВАН!!!
12. Далее дело техники. Тщательно читаем форум. Просматриваем указанные в нем ветки реестра. Чистим и говорим БОЛЬШОЕ СПАСИБО всем тем, кто не остался безучастным и предлагал свои пути решения.

Где я его нашел:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А у меня, после userinit.exe стояла «запятая» (userinit.exe,) – ее убиваем
2. Аналогично рецепту от Сергея: В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll (кстати самого файла в папке system32 я почему-то не нашел, но эту строку в реестре убил).

После перезагрузки все ОК. Диспетчер задач, редакторы реестра, антивирусы и др. запускаются. Никаких пакостей не проявляется. Вернул запуск всех программ в XP Tweaker, разрешил запуск приложений в автозагрузке. Гоняю ноут уже два дня, завтра пойду отдам.

Может я и делал что не так, поправьте. Но результат получил. Отдельное СПАСИБО Admin, Age, Сергею.

Спасибо,ilovich!
8(495)3631427, добавочный 555 – действительно работает, код сказали без проблем.

Для тех, у кого iLite Net Accelerator с текстом М204112000 на номер 3649: КОД АКТИВАЦИИ 3183991888

Кстати, вполне вероятно, что каждый день – у них могут быть новые коды
И как уже отметил ATRadeon, если до этого меняли время в Биосе, верните перед активацией текущее

Теже бобоны…
М204112100 на 3649
написал на http://a1help.ru/
сижу жду…

у меня просил код на М204112100
по аналогии с вышеприведенным – посчитал, что вместо 1 надо вбить 9… т.е. 3183991988
вбил – поехало…

M203711000
Народ у меня просит вот это отправить
Подскажите что ввести плиз

Белое окно. СМС на номер 9691. текст 590900000. Зашел на Dr. Web. Запустил генератор. Загнал код 533039546. Окно теперь можно передвигать. Откатил систему на пару дней назад. Все работает. Далее колега Игорь расписал.Сделал то же самое:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А у меня, после userinit.exe стояла «запятая» (userinit.exe,) – ее убиваем
2. Аналогично рецепту от Сергея: В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll (кстати самого файла в папке system32 я почему-то не нашел, но эту строку в реестре убил).

Я не могу в редактор реестра войти.
блочит всё
M203711000
Народ у меня просит вот это отправить

Спасибо Рману, у меня точно такое же окно как у него было. снять его удалось с помощью этого кода.
А дальше по инструкции.

загрузился с LiveCD прогнал CureIt, он нашел 13 троянов(в system32 и temp), убил. Все работает. только настройки групповых политик безопасности слетели..

serjant08, для текста M203711000 код, скорее всего – 3182699888
То что получилось у Jmotor, натолкнуло меня на следующее предположение:

Для вирусов с текстом М, мне кажется, существует следующая взаимосвязь между текстами и кодами активации:
На 15 декабря 2009 следующее соотношение
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
т.е., например, для текста М204112000 код 3183991888. Но это актуально, скорее всего, только для 15.12.09. Поэтому перед активацией кода попробуйте заменить дату в БИОСе на 15.12.09., может прокатит. Удачи!!

эх
не помогло.
Извините за беспокойство но них… не помогает походу прийдёться лить винду

Народ, система Sejj реально работает, сначало не получалось, потом переставил дату на 15.12.09 и все поехало…

все выше перечисленное работает 50 на 50,но всё равно в дальнейшем после того как введёте код и разблокируйте,вирус останется до последних дней винды,лучший вариант делать слепки кадый день и потом восстанавливать,
и ещё вариант,если есть время то в то можно подождать он снимаеться примерно через сутки(скопировать все нужные файлы),и сносить винду к бабушке,и ещё данная шляпа частично передаётся через флешки,её можно словить не толька из инета,а например в пункте печати….и т д

Словил я этот вирус,думал что это реально заработала политика отключения не лицензионных копий винды!все так оформлено реалистично,но спалила инфа о отправке смс!зашел в безопасный режим и отключил из автозагрузки ACTIVATE.EXE
потом перезагрузился и удалил его через поиск из
C\windows\activate.exe
как я понял имя файла может отличаться,но суть одна.
в отличии от остальных я точно помню где и как его цепанул:купился на какую-то замануху Вконтакте про посылку подарков!скачал, установил(предварительно проверив на вирусы),ничего не произошло,удалил.Но оказалось не так все просто.запомнил его значок:флажок разноцветный,так и узнал его.

Реально помогло,как написал ERMO,позванил слеганца наехал,дали код,вуаля поехало.Теперь пробиваю: ava и cur.

Запятая в реестре нисколько не мешает. Просто после запятой еще один параметр – C:\WINDOWS\system32\sdra64.exe
Откатил на 15 декабря, ввел код по написанному выше алгоритму. Папки до этого чистил с загрузочного Linux, sdra64 удалял, все равно не помогало. Вообщем, где-то эта зараза все равно сидит, если не самоудалилась. Удивляет, что прошло уже 8 дней!!!, а ни один антивирус до сих пор ничего не находит. Впервые с таким сталкиваюсь.

Запускаемся с диска типа ERD Commander 2007 (2005), на диске С у всех пользователей удаляем папки temp,история и т.д. все временные + с\Windows\temp

В ERD Commander есть функция редактирования реестра и автозапуска, делаем по списку, как уже писали.
Наименование файлов различное, принцип удаления один !!!
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
после userinit.exe стоит «запятая», далее путь к активации гадости – его убиваем
2. В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll – убиваем всю строку

Если всё сделали правильно – исчезнет 100%. Уже при нормальной работе запускаем что-нибудь типа Cureit или VRT, обязательно найдут остатки вреда – удаляем. РАБОТАЕМ

Спасибо,ilovich!
8(495)3631427, добавочный 555 – действительно работает, спросили системную дату и время, код сказали без проблем. Перезагрузка. Конец проблемам! Сказали необходима чистка системы, пути реестра, говорят и файлы, какие именно сами не знают не знают.

После требуется сделать AVZ восстановление системы

текст M204211900 на номер 3649 код активации 3183199888

Мда…тоже попался на этот вирус…
Но сделал все как и сказал:
1. Поставил дату на 15.12.09
2. Использовал таблицу от Sejj.
Sejj! ОГРОМНОЕ СПАСИБО!

Sejj,

при смене даты в биусе, код не изменялся, но подбор с цыфрами сработал сработал

Спасибо!

попробуй на сайте winlock.orgfree.com
посмотреть там про смс лохотроны

Да тоже хапнул заразу как у МАЙКА что нелицензионная ILIte net acselerator, не знаю что делать??? И еще как зайти в биос на ноутбуке ASER??? ХЕЛП !!!

Спасибо, Игорь М.!

Большое спасибо Рману, Сергею и Игорю!! Была та же беда – один в один (Белое окно. СМС на номер 9691. текст 590900000). Правда мне удалось через командную строку запустить ccleaner. Он что-то там активно чистил, потом остановился, ожидая, видимо, моей реакции, но увидеть и отреагировать мешало это грёбаное окно. Я решил перезагрузиться через Пуск, но окошка с тремя кнопками не видно :-Е. Нажатие ENTER лишь отправляло комп в спячку(так по умолчанию). Перейти на кнопку «выключить» удалось с помощью стрелки «вправо». Далее ENTER и УРА!!! – вредоносное окно пропало и моему взору предстала куча диагностик ccleaner’ра с вопросами: Удалить? Очистить? Исправить? На все я ответил – ясен пень!! Сcleaner доделал свою работу. Далее я просканировал систему установленным Симантеком, и он обнаружил один троян, который закарантинил (удалить не смог). Диспетчер задач не запускался. Перезапустился и окно вылезло вновь(((. На следующий день я прочитал данный форум (на другом компе)и ввёл в окошко код: 533039546. Окно исчезло))). В ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в значении параметра Userinit было «C:\WINDOWS\system32\userinit.exe,». Запятую убил.
В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs было чисто. Больше ничего не нарыл. Вроде (пока, ТТТ ЧЛП) всё работает.

Все остальные неисправности подкорректировал «AVZ» – «Мастером поиска и устранения поблем». Все работает как раньше. Всем удачи.

Всем спасибо, реально закономерность эта работает:
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
Только в моем случае текст был К704113300, где К соответствовала цифре 1. То есть получаеться код активации 1683992288 и все заработало :)

и кстати дату в биосе менять не обязательно.

для К7051130000 код 0684992888 – только не активируется, может из-за предварительной чистки …

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

Самое ПРАВИЛЬНОЕ РЕШЕНИЕ ЭТОЙ ПРОБЛЕМЫ

За написание таких вирусов по идее надо давать реальные сроки тем пидорам которые это пишут.
to Макс для твоего кода по логике должно быть 16849928888.

алгоритм такой: буквы я пологаю считаются десятками то есть A-1, B-2, C-3 и т.д до десяти A-J это 1-10 далее заново K-1, L-2, M-3 и т.д А к цифрам прибавляется число 8, если после прибавления к цифре получается число большее 10 то цифры складываются например 5+8=13 т.е. 1+3 получаем цифру 4.
Дошли до этого с женой путем логических рассуждений мучались около часа с этой заразой, всем удачи.

Макс для К7051130000 код активации должен быть 16849928888, попробуй должен подойти

В моем случае последнее решение не подходит. Если сумею совладать с вирусом, напишу, что я сделал. Не лиц. копия Ilite Net Accelerator, номер СМС 4460.

Большое спасибо за кодировку!(использовал кодировку Vasa) Помогло!Авторов вируса надо без суда и следствия расстреливать!

в сообщении было К7058*3200 на номер 4460 код подошел 16847*2188 (под * забыл какие цифры стояли)

Дамы и господа!
Комментарий от Leo [ Декабрь 22, 2009, 20:11 ]
работает на 100%
вчера 3 компа и ноут вылечил тока дату в биосе все таки надо выставлять 15.12.2009
потом качаете combo fix прогоняете по системе и вам счастье!!!

я песредвигал дату на 1 месяц назад комп спокойно загрузился только интернета небыло, и начал чистить. А потом дату обратно поставил.

Ильдар, Leo всё правильно. Спасибо!
Только решение не стало тотальным. Теперь раз в день или два дня возвращается это дело, ставлю дату, забиваю код, живу дальше. Антивирусники (Касперский и Аваст) ничего не находят – прячется он как-то, под нормальных косит.
В какой-то момент при работе просто начинает ругаться на запуск программ, отрубаются диспетчер, реестр, антивирусник, ну и ОКНО при перезапуске.

Многие советы конечно полезные, но соглашусь с Алексеем. От этой заразы просто так не избавиться, особенно если вы попали на «последние» версии смс вируса (появились около месяца назад). Они не дают работать и в безопасном режиме. Ввод кода от DrWeb тоже не избавит от вируса. Подробно есть инфа на сайте:
http://www.komp-r.ru/smsvir.html
Написано где и как большинство заражается и что делать если эта «ж…» случилась.

вот вы все пишите, расстреливать-убивать авторов… такие же «авторы» и ломают для вас винды и проги)) пользуйтесь линухом и быдет вам небо без тучей)

Вчера снова проявился этот вирус. Только под кодом К704113200 на 4460. Сдвинул дату в биосе ввел код как по Vasa 22.12.09 и снова все заработало. Неужели это будет повторяться каждую неделю??? Интересно что будет дальше.

У меня на компе появилась такая же хрень,отправте смс на номер 4460 с текстом К705113100, я с другого компа стал искать что делать, делал загрузочные диски,пытался найти вирус доктором вебером, но всё оказалось проще.(на все предыдущие действия я потратил день).
Потом прочитал гдето на форуме, что нужно обращаться к оператору которому принадлежит номер на который просят от править смс.
Я набрал на яндексе номер 4460 и получил адрес владельца , в данном случае это компания А1 агрегатор,www.a1agregator.ru, я по всем их службам по почте отправил письма с просьбой прислать мне код разблокировки иначе завтра пойду писать заяву в милицию и у меня винда лицензионная, в течении получаса мне по почте прислали код, потом я ввел и вирус даже самоликвидируется и следов не найти, антивирус потом ничего не нашёл.

Спасибо за советы. У меня тоже вымогает лицензию на Даунлоад Мастер на номер 4460 с текстом К704113000. У меня зараза оставляет полоску рабочего стола, если щелкнуть правой кнопкой по свободному полю, затем «свойства» баннер изчезает, появляется снова при попытке запуска любой программы вновь активируется. Файлы копировать разрешает.

Отправил час назад письмо, и связался по телефону с А1 агрегатором – обещали разобраться. час прошел – пока нет ответа.
msconfig работает, gpedit,regedit, cmd и все прочие программы не запускаются. Command запускается, программы и встроенные команды не запускаются.

В последней модификации трояна используется файл c:\windows\system32\lejdto.dll
Его нужно убить подключмв винт к другому компу или с помощью Live CD.
Удачи!

Вчера поймал такого зверя. Trojan.Winlock.591 по классификации drWeb. Загрузил обновление Adobe flash player с ненадежного источника. Ладно я дурак, знал ведь что плагины только с лисьего сайта можно устанавливать, но куда моя Avira смотрела?
Симптомы те же, что и у других: отрубился инет и появилась вымагалка поверх всех окон. Но все же вирус оказался немного туповат, мне удалось по трем клавишам вызвать Process explorer (утилитка от Sisinternals, заменяющая диспетчер процессов Винды). Дальше снимаю последний по времени процесс (весь куст сразу, иначе он сразу же самовосстанавливается), запускаю менеджер автозагрузки AVZ, который показывает, кто прописался в автозагрузку последним. Это файлик с именем только что снятого процесса, СА1.tmp или что-то вроде этого. Удаляю файл, открываю в regedit (не заблокирован) ключ автозагрузки, тот же winlogon, что и у других [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], только никаких запятых, путь к файлу прописан прямо c:/документс&сеттингс/аккаунт/local settings/Temp/са1.tmp. А дальше я сделал большую глупость: вместо того, чтобы восстановить правильное значение ключа (на тот момент я его еще не знал), я просто удалил ключ. По аналогии с ини файлами программ, подумал, что после перезагрузки строка будет восстановлена со значением по умолчанию. Понятно, что после перезагрузки не было ничего – дальше входа в систему винда грузится отказалась. Пришлось загрузиться с другой оси и восстановить файлы реестра из резервной копии в System volume information (вот статья в базе знаний http://support.microsoft.com/kb/307545 Если у вас есть возможность загрузиться с Bart PE, Recovery CD лил Линуха, выполняете только Этап 2).
Дальше скачал новый CureIt, тот нашел два винлокера: в куках и в той же System volume information. Сейчас все в порядке (тьху-тьху).
А Avira, тварь, еще поиздевалась – как только я все наладил, она связалась с сервером обновлений и порадовала, что «Your antivirus base is already up to date». Вот вам и бесплатное ПО. DrWeb рулит.

Появилась мысль, почему у некоторых этот вирус с таким трудом удаляется. У меня вирус прописал себя в реестр вместо useriit.exe. Я удалил файл, на который была ссылка в соответствующем ключе, почистил систему антивирусом и зверь вроде сдох. Тем, у кого в реестре вроде все правильно (запятая не в счет) судя по всему подменяют сам файл userinit. Значит его нужно заменить, например так, как описано здесь http://wiki.drweb.com/index.php/Userinit От выполнения всех остальных мер (удаление временных файлов, откат системы, антивирусная проверка и пр. вышеописанное) это конечно не освобождает.

У меня вымогал лицензию на Даунлоад Мастер на номер 4460 с текстом К706313400, позвонил «агрегаторам», которые обслуживают этот номер по тел.+7 495 363 14 27, рассказал проблему, сразу же продиктовали код. После ввода банер исчез. Перезагрузка. Запустил Cureit, он просканировал до половины и вырубился. Но, думаю дальше – дело техники сейчас попробую Касперским, не поможет- NOD32 или еще чем нибудь. Главное, что антивирусы запускаются )))

Че закод у меня такая же фигня!!! Скажите пожалуйста!!!

НУ ПОЖАЛУЙСТА… ПОДСКАЖИТЕ «ОТПРАВЬТЕ СМС С КОДОМ К706013300 НА НОМЕР 4460″ ДО ЭТОГО У МЕНЯ У ЖЕ БЫЛО 3 ПОДОБНЫХ СЛУЧАЯ ТОК Я С НИМИ СПРАВИЛСЯ… А СЕЙЧАС НЕ ПОЛУЧАЕТСЯ… НЕ ОХОТА ВИНДУ ПЕРЕУСТПНАВЛИВАТЬ…

ИЗВЕНИТЕ ЗА ОПЕЧАТКИ…

Знакомый словил такую дрянь.О пробном часе порно сайта.Ни один из способов не помог.Повезло что монитор широкоформатный,осталась видна панель быстрого доступа.Получилось так:запустить все возможные приложения через панель,нажать кнопку выключения компа,окно вируса закрывается,а приложения спрашивают запрос действий,в пуске выбрал выключение и выбрал отмена,поставил доктор вэб с диска чип,обновли базы(блокировка инета снялась),полная проверка компа за 6 часов.нашел кучу троянов,винлок один во временной папке,и один в инфе восстановления.все работает.

.Знакомый словил такую дрянь.О пробном часе порно сайта.Ни один из способов не помог.Повезло что монитор широкоформатный,осталась видна панель быстрого доступа.Получилось так:запустить все возможные приложения через панель,нажать кнопку выключения компа,окно вируса закрывается,а приложения спрашивают запрос действий,в пуске выбрал выключение и выбрал отмена,поставил доктор вэб с диска чип,обновли базы(блокировка инета снялась),полная проверка компа за 6 часов.нашел кучу троянов,винлок один во временной папке,и один в инфе восстановления.все работает.

У меня тоже К706313500. Кстати, Авира и на этот сайт ругается

LEO ты супер!!! Алгоритм решения реально подходит!!! Хотя до меня не сразу дошло как решать!!!

У меня ВИРУС сидел в папке с антивирусом. ВСЕ работает ток терь АНТИВИРУС над новый искать….

2 AFTR
А чо код сказать – постеснялся?

на стационаре поймал ту же фигню,текст:k706113000,перевел его по схеме,получилось-1685992888,не помогает.больше пока ни чего не предпринимал.в чем то ошибся?

По отправке K706313500 на номер 4460:

пароль: 1685292488
При наборе появляется ЖДИТЕ, потом синий экран, тупо резетом перезагружаем.
Я не платил – спасибо Vasa, правильная система, в жизни б не догадался.
Поганец вот: В папке С/windows/system32/cmd

В папке «установка и удаление программ» были 2 «программы» – не удалялись. Названия не помню – на бумагу не записал.

Ну заодно почистил все папки «Темр».

Короче, эт этой херни противоядия пока похоже нет.

Сам я чайник, спасло ситуевину наличие 2-х виндоз на ХардДисгДрайве – советую всем на будущее.

так скажешь код на 4460?

У кого код K706113100 на номер 4460 – вводим код – 1685992988. И будет вам счастье..

To kylikss: для k706113000 пароль должен быть такой: 1685992888.
Повтаряю еще раз к каждому числу добавляем восемь! Если число двузначное получается то складываем в нем цифры.

Доброго вам времени суток.столкнулся с проблемой нелицушного довнлоад мастера у трёх человек.во всех случаях блокируется диспетчер задач,реестр,командная строка и все программы.Кстати msconfig нормально проходит,но там ничем помочь системе не удалось(отключал всё,но толку ноль).Во всех трёх случаях от безысходности приходилось переустанавливать систему.Очень рад,что нашёл этот форум.Что самое интересное,в случае с вирусом нелицушного гетакселератора в реестре находил его и удалял всю ветку,банер пропадал,но оставались проблемы с инетом(потом кьюритом просто досканивал всё норм).Этот же давнлоад ваще злостный.Если в первом случае удавалось успевать запустить регорганайзер,то в последующих абсолютно ничего не устанавливает,даже в самом начале,и соответственно ничего не запускает.Пока не разобрался каким образом его убить,могу лишь подсказать малое:если щёлкнуть по часикам(внизу),или как писали мой комп свойства,или панель управления-установка и удаление программ,то баннер убирается,но до следующего обращения к любой программе.Но это может помочь хотя бы для сохранения важных данных.Кстати сканил свежим кьюритом,абсолютно ничего не нашёл(Очень бы хотелось понять принцип действия подобных вирусов,что бы понять как с ними бороться,а ещё интересно понять как от этого защититься в дальнейшем(на антивирусы надеяться не приходиться(у одного клиента был каспер с обновлёнными базами,но один хрен).Если кто-то располагает подобной информацией,буду очень признателен. Если сам чего намою,так де поделюсь информацией.С уважением.

Кстати,по поводу порно баннеров.Недавно словил дома такой.Повезло тем,что диспетчер задач не заблокался,в процессах нашёл эту дрянь. plugin.exe лежала эта дрянь в программ файлс и прописывалась в автозагрузке. Самое интересное,что кьюриту указал на этот файл,а он мне сказал,что всё норм. Возможно придётся подправить реестр после этого,после прочтения вашего форума нашёл и у себя след в винлогоне было ещё значение ссылающееся на свхост.(То-то я и гляжу,после этого при загрузке системы вылетала ошибка свхост.ехе.Щас ребутнусь проверю. А ещё что-то не нашёл ничего по поводу порно баннеров в браузерах. Сталкивался и с такой проблемой. Такую гадость лечить проще всего. Надо смотреть в надстройках и удалять подозрительные.А можно удалить все,а потом по очереди включать(или наоборот отключать по одной),только не забывайте перезапускать браузер,что бы увидеть на каком плагине способ помог.В мозиле и опере можно просто заблочить активность данного сайта(что бы узнать адрес сайта,надо правой кнопкой щёлкнуть ка картинке банера и выбрать свойства,там будет адрес её,вот его то и вводим в блок).Есть ещё вариант скачать плагин дб или бд блок,как то-так,точно не помню. Если кому-то помог,это здорово.С уважением.

Огромное спасибо, Admin!!! Идея с [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon] сработала!
вторым параметром в Userinit было «…kui2c3.tmp». удалила, потом нашла все подобное везде (регистр, локал сеттингз,…) и….. тоже удалила. перегруз. сейчас все ок.
да, и за оживлялку таск мэнэджера – спасибо!
повторюсь – берегитесь kui2c3.tmp!!!

Пляяяяя… Жалко вас всех. Без иронии и сарказма говорю. В 2007 году я поставил себе Убунту. Алилуйя.

Всем добрый день. у меня похожая проблема…после загрузки винды (Виста) синий экран просит отправить смс на номер 5370, с текстом 552007…для доступа к порно ресурсам…пробовал менять время в биосе…не помогло….диспечер не запускается, alt+tab не работает. что можете посоветовать???
заранее спасибо

Лечить просто. Надо позвонить в компанию a1 агрегатор, им принадлежит номер 3649, 4460 и прочие. Описать проблему и они бесплатно дадут ключ для разблокировки. Вот ссылка http://www.a1agregator.ru
Ключ дают всем без проблем!!!

Та же песня но серая страница на весь экран, в безопасном не грузится выбивает синий экран ошибки, переустановил винду пока норм.

Vasa
действительно помогает.

Пацаны не партесь есть более простой способ удалить этот вирус(главное что бы был антивирус)короче открываете панель управления:установка и удаление программ жмете удалить Opera,Mozila firefox или другие!!!жмете удалить и выскакивает антивирус с этим найденным вирусом и вы просто жмете УДАЛИТЬ !!!!!!!!!!!

Еще нашел интересную шнягу попробуйте набрать код
«ЗАЧИСЛЕНЫ» говорят помогает :)
Комментарий от sias [ Сентябрь 23, 2009, 11:13 ]

я долго от смеха по полу валялся когда прочитал… потом я долго рыдал что эта фишка сработала!!! биос пытался тож но не катит. винду стал ставить думаю дай с мобилы поищу что народ пишет вобщем всем спасибо за советы))) теперь буду искать что от этого говнища осталось!
РУКи ЛОМАТЬ НУЖНО КТО ТАКОЕ ГОВНО ДЕЛАЕТ!

Несколько слов о Диспетчере задач.
Для запуска Диспетчера задач выполняем действия.
Ищем файл gpedit(C:\WINDOWS\system32)
Конфигурация пользователей-Административные шаблоны-Система-Возможности Ctrl+Alt+Del-Свойства (ставим отключен)-Применить. Жмем Ctrl+Alt+Del находим гада, вырубаем поцесс и далее удаляем.

Жена в ноутбуке словила красного. НОД32 467 прошляпил. Говорят 474 сборка этот фокус не пропускает. Различные способы лечения вышибли заставку, только теперь страницы перестали открываться.
Это стало поводом поставить 7 вместо ХРени, ибо на 7 такие фокусы по определению не проходят. Там права администратора даются не по умолчанию.
А вообще надо жаловаться больше на этот кошелёк, эти услуги незаконны!Кто поторопился и заплатил – требуйте возврата у своего сотового оператора. Они если немного наехать возвращают.
Да и вообще эти четырёхзначные контент-провайдеры прижимать законами пора!Грабят людей напропалую и управы нет на них никакой. Закон нужен!

Сегодня подхватил такой вирус. Через «щёлочки» поменял разрешение экрана, это не сильно помогло, но скраю получилось запустить восстановление системы с раннего состояния (Выполнить,msconfig,общее, запустить восстановление системы и т.д ) Помогло, работает пока.

У меня вирус который просил смс на номер 1350 заткнулся когда я ввел код – 6523
=)

Комментарий от Maria [ Декабрь 13, 2009, 19:02 ]
Помог только звонок по телефону 8 (495) 3631427 Добавочный 555

Спасибо, Maria! тветили сразу и код без вопросов сказали!

Для iLite сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

Поймал то-же самое, удалил всё из втророй операциоки (на компе их две)

сначала мне заблокировал сеть порноинформатор или как его там)( типа отправьте смс на номер 1350 и т.д. и т.п нашла код информатор убрала после чего с помощью cureit (не помню как точно пишется) удалила 8 троянов делее после полной проверки вирусов не обнаружилось но доступ в интернет все равно перекрыт что делать??? помогите пожалуйста так как без интернета жизни нет!!!

http://news.drweb.com/show/?i=304&c=9&p=0
Вопрос исчерпан
=)

Сегодня вылетела красная хня: «Система заблокирована. Отправьте смс…..» Надпись стоит поверх всех окон.
Проводник работал :) но с тормозами сильными добрался до AVP.exe (то бишь Каспера) и полная проверка.
В процессе проверки (50-55%) вирус был найден и удален надпись сразу исчезла сама…

Предлагаю создать сообщество, пока на добровольных началах и наказывать спамеров по полной программе(удовольствие перевернуть в страх).
Необходимо:
1. Любая зацепка для выхода на конкретное лицо или фирму
2. Финансовая составляющая (вполне решаемая задача)
3. Исполнители

у меня тоже проблема.

подскажите текст 2104 номер 3649 занята часть экрана инэт работает; мигает надпись(войти на сайт) как ее убрать?

Что-то ничего не помогает… СМС 590400041 на номер 9691. Ни у кого не было?

попробуйте набрать код

«ЗАЧИСЛЕНЫ» говорят помогает :)

ПОМОГАЕТ !!!!!!

Мне помогло перевести дату на 30 дней вперед.

Присоединяюсь к Игорю от 06/01/2010!
Этих виртуальных бандитов должны отлавливать ФСБ и мочить их в сортирах!
Отправляйте все письма в ФСБ на сайте http://www.fsb.ru/fsb/webreception.htm.
Нужна государственная помощь в защите нашей частной собственности от вымогателей.
Вот текст моего письма:

В мой копм. загрузилась программа-вымогатель, которая просит отправить СМС с кодом К205414800 на номер 4460.
Прошу ФСБ обезопасить мою частную собственность (компьютер) и мои деньги от вымогательства со стороны владельца этого номера и конечного получателя денег.
Прошу привлечь его/их к судебной ответственности за вымогательство.
С уважением, гражданин РСФСР.

Пара показательных процессов отобъет охоту запускать эти программы в сеть!

Мне это знакомо, гостивший кориш подцепил мне похожую дрЯнь толи с «В контакте» толи с «Однокласников». И хоть я на время взаставил это окошко исчезнуть взломав код подтверждение, дело всёравно кончилось полным форматированием жёсткого диска. Правда ценные документы я успел спасти с компа. В моём случае программка выглядела немного по другому,окошко было красное и после рестарта запустилась вновь, так что избавился я от неё как и говорил выше только отформатировав жёсткий диск. Но речь не об этом, сегодня мне пришло на почту интересное письмо. Собственно в нём тот же короткий номер что и в скриншоте в самом начеле этой темы. Ниже привожу полный текст письма свой емайл естественно заменил на прочерки:»
От кого: Рузалия Самобродская

Кому: ———————–

Дата: Sat, 09 Jan 2010 20:52:28 +0300

Тема:
Идентифицируйте свой Rambler аккаунт

Внимание!
Вас приветствует служба технической поддержки проекта «Рамблер.Почта». Вы должны пройти процедуру активации вашего ящика. В противном случае ваш ящик будет удален. Это новая мера безопасности от компании Rambler.

Для активации отправьте с вашего телефона бесплатное смс сообщение с текстом: 6510215611 на номер: 3649
С уважением, служба безопасности Rambler.ru»

Вот такое вот письмецо пришло. Обратите внимание короткий номер в письме и в скриншоте в теме топик стартера одинаковы! Днействительно, пара тройка показательных судебных процесов над авторами подобных прог неповредило бы.

Вчера 9 января поймал этот вирус. Тркбовал отправки на номер9691 с текстом 590900041. Вышла заставка почти на весь монитор. На компьютере соседей полазил по форумам посвящённым этой теме. Менял дату и время – не помогло.Вводил код 6523 и 2498806649-не помогло. Восстановление системы сделать не удалось. Безопасный режим не помог.
Решил проблему следующим образом:
1) Пуск- Выполнить-набираете regedit
2)Находите HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\WindowsNT\CurrentVersion\Winlogon в нем находим Userinit и смотрим полное название вашего вируса и его местоположение на компьютере ( он показан в строчке после запятой)
3) Теперь знаем как он называется и где находится остаётся удалить, но эта заставка на даёт возможности для удаления вируса.
4)Открываем Word и печатаем какую нибудь хрень
5) Не закрывая Word нажимаем коротко кнопку включения\выключения на системном блоке, при этом заставка с требованием денег исчезает и вы спокойно удаляете вирус из папки C:\Documents and Setting\имя\Local Settings\Temp
6) В моём случае это были файлы kui238.tmp
7) После всех этих манипуляций заработал диспетчер задач и интернет . Жаль только что уже успел отправить это смс и 300 рублей как небывало.
8) Удачи всем! Если кому то поможет мой совет буду очень рад!

Пару слов для тех кто этой херней занимается. Пидарасы! Кара все равно вас настигнет, и когда это произойдет, умолять о пощаде будет бесполезно! И будут драть ваши юные попки на зоне огромными небритыми грузинскими хуями!

у меня было типа такое, я востановил систему на 3 дня назад и всё сразу убралось

У меня дополнение для тех у кого не заработал Диспетчер задач.
1)Пуск-Выполнить-regedit
2)KEY_CURRENT_USER\SOFTWARE\Microsoft \Windows\CurrentVersion\Policies\System
3)находите строчку с DisableTaskMgr
4)делаете двойной клик на DisableTaskMgr и в появившемся окне меняете значение с 1 на 0
5)наслаждаемся полученным результатом

воспользовался советом написал «ЗАЧИСЛЕНЫ» – реально помогло спасибо .

Дам ссылочку news.drweb.com/show/?i=304&c=9&p=0 там есть коды для разблокирования Windows.

От баннера «блокирование Windows»можете почитать на нетлере:
netler.ru/pc/trojan-winlock.htm

Хотя сам я и без этого обошёлся, просто через F8 (для тупых: при загрузке) и затем выбрал «перезагрузить с отключением… чего-то там, уже не помню, давно было, загружается без баннера, а затем удаляем «лишнее», хотя такая перезагрузка есть не во всех Windows, но тогда можно скачать программу Dr.Web LiveCD с их сайта, установить образ на диск, и затем(Это не для тупых) через него, не входя в Windows (получается как мультизагрузочный диск с антивирусом), и проверить комп на вирусы.

Надеюсь кому-то всё это поможет! Желаю успехов!

Словила эту дрянь сегодня, позвонила на вышеуказанный номер, за полминуты проблема была решена. Главное чтобы дата и время были установлены правильные. Придушить бы этих уродов конечно…
Но после разблокировки ни один антивирус не нашел ничего подозрительного. Нужно что-то делать или он сам удалился?

Привет всем!Ребята эти вирусы разные и к каждому вирусу свой подход . так что пробуйте всё что накапали в инете. ставьте антивирь и фаервол вместе отличная штука.удачи всем!

Олег , спасибо огромное , чуть голову не сломал , очень помог!

Ничего из выше перечисленного не помогло… (откат не делал, все остальное, включая подбор кода и с сайта доктора вэба тоже пробовал)

Помог такой вариант:

1) При загрузке F8, защищенный режим
2) Запуск из служебных очистка дисков.. все темп и прочие что можно
3) Пуск-Выполнить->msconfig
a) На закладке службы убрал галочки там где изготовитель «нет данных» … в моем случае служба userinit
б) На закладке автозагрузка оставил только скайп, гугл, джаву и еще пару, которые уверен.. остальные галочки снял .. далее применить

Перегрузил в обычном… -> никакой заставки

Поскольку вышеприведенные операции сделал за один раз, то понять что помогло не смогу.
userinit в реестре убирал запятые и прочее не помогало… пишу об этом поскольку название службы чудным образом совпало с названием в реестре

Соответственно могу предположить, что служба userinit всему виной

Далее.. Заходим через администрирование в службы и смотрим на какой путь указывает служба userinit… Указывает на правильный. Запускаю службу .. и? Запускается окошко с вирусом. Таким образом уже понятно … последний вирус заражает файл userinit system32…. увы!
Поможет ли откат в данном случае?

Все автозапуски вернул. userinit – переименовал. Пока все в порядке. Но подумываю насчет переустновки винды

НА САЙТЕ: http://av.demozone.ru/

ВВОДИМ ТЕКСТ, КОТОРЫЙ ВАМ ПРЕДЛАГАЮТ ОТПРАВИТЬ ПО СМС,
ПОЛУЧАЕМ НЕСКОЛЬКО ВАРИАНТОВ КОДА АКТИВАЦИ(ОДИН ИЗ НИХ ДОЛЖЕН ПОДОЙТИ)

Итак, выцепил я Трояна вместе с поддельным Адобовским флэш плеером 10. Вследствии после проходо около 1-2 часов вылезло это зловещее окно с требованием отослать смс на номер 5155( в генераторе Д.веба такого номера нет, и версии трояна также нет, а именно: Троян.Винлок.591)
Помог как Вы думаете кто? Кто же ещё как не Доктор Вэб, скачал бесплатную версию и пробный ключ к активации! Поставил сканировать сразу всю папку Documents and Settings.И как я и думал вирус нашол именно в папке temp!! Файл был размером до 20кб, с именем из трёх символов и разрешением .tmp…
Ах да, забыл сказать что за день до этого я удалил с компьютера парочку червей и теперь сижу без Диспечера задач, а реестр редактирую с помощью прекрасной програмки Reg Organizer(кстати очень помог когда был блоканут реестр).Также я сейчас без Безопасного режима, т.к. при загрузке вибивает хрень на чорном экране типо невозможно загрузить файл и система перезагржаеться…
Вот так вот, юзайте Д.вэба – он знает как убить своё детище-___-

Удачи Вам..

Хеллоу господа юзеры,очень рад,что нашел ентот сайт!у меня приятель подобную шнягу хапанул(лошара и смс отправлял-ноль эмоций ебстественно)позвонил мне потом 2 дня с агрегаторским чудом сношаюсь-толку мало.Генератор вебовский не помог,безопасный виснет и ни хера не работает ни liveCD,даже винду не переставить-настройки биоса игнорирует.новая муть чтоль?Че-то там про INTERNET SECURITY,но со старым номером 4460.Поднабрался здесь опыта вашего,попру завтра(сегодня)изголяться,о результатах отпишусь потом.Уважуха всем борцам с агрегаторами(чтоб у них хуй на лбу вырос)ТЕРПЕНИЯ ВАМ,РЕБЯТА И УДАЧИ!!!

Частенько сталкиваюсь с тем, что ни один антивирус его не видит, а чистить приходится только руками. И все эти смс-вирусы разные и чистка для каждого требует различных процедур. Но в основном эта дрянь сидит во временных файлах или надстройках.

Для того чтобы в дальнейшем не ловить подобной «заразы», рекомендую установить «Outpost Firewall Pro». Антивирусы против этого вируса непомогут, вирус спокойно обходит их. Лично я, без этого брандмауэра, в сеть ни ногой, ни на минутку не вырубаю, как-то один раз выключил и подцепил эту «заразу». Больше так не делаю! Могу поделиться даю ссылку где можно взять проверенного «Firewolla». Их много в сети, но и много неработающих. Этот использую сам, пашет на все 100%. Рекомендую. И уверен, вспомните меня ещё не раз. Вот ссылка: http://depositfiles.com/files/sgthbvxtx

Хеллоу эгейн!пишусь как и обещал.Приперся короче к френду весь на позитивах,мол всю ночь форумы зырил-ща отдуплим галимого.1таблица с подбором кода не помогла 2 на перевод даты во всех направлениях ему накласть 3 про F8 повторюсь не врубается нихера 4 насчет первичного с ROMа-рипит ван мо 5 сдаюсь-набираю номер агрегаторский-занято(похоже до второго пришествия),а нэта под рукой нэту(простите за тафтологию).Начинаю потихоньку звереть,шары кровью налились и тут хуяк-идея:после очередного перезагруза когда вот-вот уже рабочий появится вырубаю сетевой фильтр.вкл немного погодя меню загрузки само вылезло,безреж с кмнд строкой не идет,зато попер просто безреж msconfig ура!заработало!окошко выдает странный файл issch.exe,путь к нему C:\ProgramFiles\InstallShield\UpdateService и C:\Windows\Prefetch-там лежит ISSCH.EXE-3ACEF8DC.pf сношу оба,а попутно еще и аудиодрова(дрова ли?)Soundman,посколь дата создания аккурат с датой виря:два екзешника и один *.pf пошукал по tempам-ничего открываю папку старого аваста-раньше так окно виревое вылезало-мелькнуло красное окно и все,попался гаденыш.смотрю C:\везде\на предмет подозрительных объектов,т.к. ниче полезное не запускается,открываю какой-то rar и сцуккооо появляется снова.ТВОЮ МАТЬ как же он меня заибал!горько вздыхаю и трачу еще пару часов на то,чтоб комп захавал диск с серпаком от ZVER.удалось,форматую С к ебеням,ставлю 736 каспера обновляю триал-вроде чисто.ВСЕ,но чем-то задним чувствую,что встретимся еще((((

помог откат системы!на день предыдущий! Огромнейшее спасибо!!!

8355 текст 64233873 нигде нет помогите!!!!!!!!

пишите помогу

[...] admin пишет: Ни чего страшного заходим на сайт Д ВЕб скачиваем специальную програмку (тут нужно создать образ на СД диске) загружаем комп с этого диска и через 5 часов Ваш комп здоров. А жители Украины говорят спасибо Оператору Лайф который обслуживает номер 3649 …… Дальше снимаю последний по времени процесс (весь куст сразу, иначе он сразу же самовосстанавливается), запускаю менеджер автозагрузки AVZ, который показывает, кто прописался в автозагрузку последним. … [...]

люди,помогите! баннерр на весь экран-отправьте смс с текстом 4612500 на номер 5121. ни один разблокировщик не помогает,безопасный режим,время в биосе тоже

После двух часов компютер действительно заработает, но последствия останутся и иногда немалые.После включения надо очистить все антивирусными прогами и обязательно посмотреть,что из программ не работает и переустановить заново.Я намаялся с этим очень долго.После,как было сказано выше, записал генератор кодов и с его помощью помог очень многим,но после разблокировки обязательно почистить хорошим антивирем.С момента перехода на
Avira Premium Security Suite 9 RUS,чтоб не сглазить,проблем не возникало,хотя лазаю везде.Проблемы были с 8-й Авирой и эту дрянь цеплял сам два раза.Как вывод-качайте генератор и проблем возникнуть не должно,ну и советую установить 9-ю Авиру.Удачи.

текст 1820511213166
номер 3381
ключ 66788855

удачи

помогу удалить любой вирус!! пишите в асю 322-209

текст 1830461834715
номер 3381
Помогите с ключом

винда заблокирована вся.просто окно с текстом пополнить счет абонента биллай на 390 рулей вот его номер 89652648082.чтоделать??????как пополню его счет на секе будет пароль который надо ввести.

зайди на сайт касперского с другого компа и введи все данные там тебе код сгенерируют бесплатно, у меня стоит AVAST, так он эти баннеры перехватывает только в путь

На экране появился порно баннер заблокировал комп ниче не работает.Уже пробовал и в Биос заходить время менять и в безопасный ничего не помогает. Там текст такои. Чтобы немедленно удалить рекламный модуль Оплатите через терминал экспресс оплаты счет 004245166400 на 249 руб . если кто знает как убрать этот модуль подскажите.Заранее благодарен.

а проги нет такой, чтобы красное окошко удалить

Подробная инструкция как избавится от баннера, который полностью блокирует компьютер, или пример лечения компьютера с помощью Alkid Live CD&USB.
http://indor.g-service.ru/index.php?option=com_content&view=article&id=81:beeline&catid=47:2010-06-29-03-02-02&Itemid=73

Пишет: пополнить счет абонетна БИЛАЙН 89654028757 на сумму 400 рублей. После оплаты, на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле.
Не работает ничего. Не могу загрузить в безопасном режиме, диспетчер задач отключен, как и все остальное, перевод времени в биосе тоже не помог!
записала ISO-образ LiveCD на диск и не знаю как его правильно загрузить( может поможет хоть это. посоветуйте что-нибудь пожалуйста