Принесли ноут с такой же проблемой, порнобаннер на весь экран и следующие симптомы:
– просит отправить SMS на номер 3649 с кодом М21520008;
– невозможно запустить ни одну программу (антивирусы, редакторы реестра и т.п.) – сразу вылезает картинка и программа блокируется;
– безопасный режим запускается, но в нем то же самое;
– запуск штатного редактора реестра, диспетчера задач заблокирован.

В связи с этим, рекомендация типа “почистить (удалить) ветку реестра” не проходит, а без этого “все потуги напрасны”.
Рецепт Age “в чистую” не подошел, в папке Common Files ничего похожего не обнаружилось. Тем не менее респект Age за подробный отчет и готовность помочь.

Что делал, расскажу по порядку. Возможно не все действия необходимы, но в результате у меня все получилось.

1. Для начала запустил msconfig, убрал все из автозагрузки, перегрузился – толку ноль.
2. Загрузился с Live CD (Bart PE, можно любой другой):
3. Скопировал файлы реестра (C:\Windows\System32\Config) в другую папку (на всякий случай, вдруг чего напартачу).
4. В указанной папке (C:\Windows\System32\Config) обнаружилось 3 файла с приставкой DM (типа DM_System, DM_Defoult – точно не помню). На всякий случай убил, хотя не уверен что это было необходимо.
5. По рецепту Age удалил все из папок:
C:\Documents and Settings\Я(ваш профиль)\Local Settings\Temp
C:\Documents and Settings\(другие профили)\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows\Temp
6. Прогнал систему программами DrWeb CureIt! (ничего не нашла) и McAfee AVERT Stinger (то же).
7. Перегрузился в систему справами администратора.
8. Вот здесь тонкость: загрузившись обнаружил (может это было и ранее, но я не замечал), что зловред дает после перезагрузки запустить файл типа setup.exe, но только один и сразу после загрузки. Запуск самой устанавливаемой программы, а также программ типа редакторов реестра, антивирусов и т.п. невозможен по прежнему. Диспетчер задач блокирован.
7. Запускаем установку Registry Workshop, ставится нормально, запустить не дает. Перегружаемся.
8. Запускаем установку XP Tweaker Russian Edition, во время установки оставляем галочку в поле “запустить программу сразу после установки”. Программа запускается. Хотя, следует заметить, что зловред дает ее запустить и после перезагрузки.
9. Вот здесь у меня и “родилось” решение: в программе XP Tweaker есть вкладка “ФАЙЛЫ И ДИСКИ” —> Приложения —> Запрет запуска программ. Выбираем: “Запретить запуск приложений, кроме указанных в списке”. Добавляем в список: Registry Workshop, XP Tweaker Russian Edition, Regedit, и все, что хотите и нужно для лечения.
10. В XP Tweaker снимаем галочки во вкладке “Защита” –> “Запретить вызов диспетчера задач” и “Запретить редактирование реестра”.
11. Перезагружаемся и ВУАЛЯ!!! Ни одна программа, кроме указанных Вами, не запускается, диспетчер задач и редактирование реестра ДОСТУПНЫ. ЗЛОВРЕД ВРЕМЕННО ЗАБЛОКИРОВАН!!!
12. Далее дело техники. Тщательно читаем форум. Просматриваем указанные в нем ветки реестра. Чистим и говорим БОЛЬШОЕ СПАСИБО всем тем, кто не остался безучастным и предлагал свои пути решения.

Где я его нашел:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А у меня, после userinit.exe стояла “запятая” (userinit.exe,) – ее убиваем
2. Аналогично рецепту от Сергея: В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll (кстати самого файла в папке system32 я почему-то не нашел, но эту строку в реестре убил).

После перезагрузки все ОК. Диспетчер задач, редакторы реестра, антивирусы и др. запускаются. Никаких пакостей не проявляется. Вернул запуск всех программ в XP Tweaker, разрешил запуск приложений в автозагрузке. Гоняю ноут уже два дня, завтра пойду отдам.

Может я и делал что не так, поправьте. Но результат получил. Отдельное СПАСИБО Admin, Age, Сергею.

Спасибо,ilovich!
8(495)3631427, добавочный 555 – действительно работает, код сказали без проблем.

Для тех, у кого iLite Net Accelerator с текстом М204112000 на номер 3649: КОД АКТИВАЦИИ 3183991888

Кстати, вполне вероятно, что каждый день – у них могут быть новые коды
И как уже отметил ATRadeon, если до этого меняли время в Биосе, верните перед активацией текущее

Теже бобоны…
М204112100 на 3649
написал на https://a1help.ru/
сижу жду…

у меня просил код на М204112100
по аналогии с вышеприведенным – посчитал, что вместо 1 надо вбить 9… т.е. 3183991988
вбил – поехало…

M203711000
Народ у меня просит вот это отправить
Подскажите что ввести плиз

Белое окно. СМС на номер 9691. текст 590900000. Зашел на Dr. Web. Запустил генератор. Загнал код 533039546. Окно теперь можно передвигать. Откатил систему на пару дней назад. Все работает. Далее колега Игорь расписал.Сделал то же самое:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
А у меня, после userinit.exe стояла «запятая» (userinit.exe,) – ее убиваем
2. Аналогично рецепту от Сергея: В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll (кстати самого файла в папке system32 я почему-то не нашел, но эту строку в реестре убил).

Я не могу в редактор реестра войти.
блочит всё
M203711000
Народ у меня просит вот это отправить

Спасибо Рману, у меня точно такое же окно как у него было. снять его удалось с помощью этого кода.
А дальше по инструкции.

загрузился с LiveCD прогнал CureIt, он нашел 13 троянов(в system32 и temp), убил. Все работает. только настройки групповых политик безопасности слетели..

serjant08, для текста M203711000 код, скорее всего – 3182699888
То что получилось у Jmotor, натолкнуло меня на следующее предположение:

Для вирусов с текстом М, мне кажется, существует следующая взаимосвязь между текстами и кодами активации:
На 15 декабря 2009 следующее соотношение
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
т.е., например, для текста М204112000 код 3183991888. Но это актуально, скорее всего, только для 15.12.09. Поэтому перед активацией кода попробуйте заменить дату в БИОСе на 15.12.09., может прокатит. Удачи!!

эх
не помогло.
Извините за беспокойство но них… не помогает походу прийдёться лить винду

Народ, система Sejj реально работает, сначало не получалось, потом переставил дату на 15.12.09 и все поехало…

все выше перечисленное работает 50 на 50,но всё равно в дальнейшем после того как введёте код и разблокируйте,вирус останется до последних дней винды,лучший вариант делать слепки кадый день и потом восстанавливать,
и ещё вариант,если есть время то в то можно подождать он снимаеться примерно через сутки(скопировать все нужные файлы),и сносить винду к бабушке,и ещё данная шляпа частично передаётся через флешки,её можно словить не толька из инета,а например в пункте печати….и т д

Словил я этот вирус,думал что это реально заработала политика отключения не лицензионных копий винды!все так оформлено реалистично,но спалила инфа о отправке смс!зашел в безопасный режим и отключил из автозагрузки ACTIVATE.EXE
потом перезагрузился и удалил его через поиск из
C\windows\activate.exe
как я понял имя файла может отличаться,но суть одна.
в отличии от остальных я точно помню где и как его цепанул:купился на какую-то замануху Вконтакте про посылку подарков!скачал, установил(предварительно проверив на вирусы),ничего не произошло,удалил.Но оказалось не так все просто.запомнил его значок:флажок разноцветный,так и узнал его.

Реально помогло,как написал ERMO,позванил слеганца наехал,дали код,вуаля поехало.Теперь пробиваю: ava и cur.

Запятая в реестре нисколько не мешает. Просто после запятой еще один параметр – C:\WINDOWS\system32\sdra64.exe
Откатил на 15 декабря, ввел код по написанному выше алгоритму. Папки до этого чистил с загрузочного Linux, sdra64 удалял, все равно не помогало. Вообщем, где-то эта зараза все равно сидит, если не самоудалилась. Удивляет, что прошло уже 8 дней!!!, а ни один антивирус до сих пор ничего не находит. Впервые с таким сталкиваюсь.

Запускаемся с диска типа ERD Commander 2007 (2005), на диске С у всех пользователей удаляем папки temp,история и т.д. все временные + с\Windows\temp

В ERD Commander есть функция редактирования реестра и автозапуска, делаем по списку, как уже писали.
Наименование файлов различное, принцип удаления один !!!
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)
после userinit.exe стоит «запятая», далее путь к активации гадости – его убиваем
2. В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs был указан путь к некоему файлу C:\Windows\system32\ocmSj.dll – убиваем всю строку

Если всё сделали правильно – исчезнет 100%. Уже при нормальной работе запускаем что-нибудь типа Cureit или VRT, обязательно найдут остатки вреда – удаляем. РАБОТАЕМ

Спасибо,ilovich!
8(495)3631427, добавочный 555 – действительно работает, спросили системную дату и время, код сказали без проблем. Перезагрузка. Конец проблемам! Сказали необходима чистка системы, пути реестра, говорят и файлы, какие именно сами не знают не знают.

После требуется сделать AVZ восстановление системы

текст M204211900 на номер 3649 код активации 3183199888

Мда…тоже попался на этот вирус…
Но сделал все как и сказал:
1. Поставил дату на 15.12.09
2. Использовал таблицу от Sejj.
Sejj! ОГРОМНОЕ СПАСИБО!

Sejj,

при смене даты в биусе, код не изменялся, но подбор с цыфрами сработал сработал

Спасибо!

попробуй на сайте winlock.orgfree.com
посмотреть там про смс лохотроны

Да тоже хапнул заразу как у МАЙКА что нелицензионная ILIte net acselerator, не знаю что делать??? И еще как зайти в биос на ноутбуке ASER??? ХЕЛП !!!

Спасибо, Игорь М.!

Большое спасибо Рману, Сергею и Игорю!! Была та же беда – один в один (Белое окно. СМС на номер 9691. текст 590900000). Правда мне удалось через командную строку запустить ccleaner. Он что-то там активно чистил, потом остановился, ожидая, видимо, моей реакции, но увидеть и отреагировать мешало это грёбаное окно. Я решил перезагрузиться через Пуск, но окошка с тремя кнопками не видно :-Е. Нажатие ENTER лишь отправляло комп в спячку(так по умолчанию). Перейти на кнопку “выключить” удалось с помощью стрелки “вправо”. Далее ENTER и УРА!!! – вредоносное окно пропало и моему взору предстала куча диагностик ccleaner’ра с вопросами: Удалить? Очистить? Исправить? На все я ответил – ясен пень!! Сcleaner доделал свою работу. Далее я просканировал систему установленным Симантеком, и он обнаружил один троян, который закарантинил (удалить не смог). Диспетчер задач не запускался. Перезапустился и окно вылезло вновь(((. На следующий день я прочитал данный форум (на другом компе)и ввёл в окошко код: 533039546. Окно исчезло))). В ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в значении параметра Userinit было «C:\WINDOWS\system32\userinit.exe,». Запятую убил.
В ветке: HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows в значении AppInit_DLLs было чисто. Больше ничего не нарыл. Вроде (пока, ТТТ ЧЛП) всё работает.

Все остальные неисправности подкорректировал “AVZ” – “Мастером поиска и устранения поблем”. Все работает как раньше. Всем удачи.

Всем спасибо, реально закономерность эта работает:
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
Только в моем случае текст был К704113300, где К соответствовала цифре 1. То есть получаеться код активации 1683992288 и все заработало :)

и кстати дату в биосе менять не обязательно.