Недавно столкнулся с новой разновидностью вируса, которая выводит сообщение вида:

«Доступ в Инетрнет заблокирован в связи с нарушением лицензионного соглашения программы Get Accelerator. Вам необходимо активировать Вашу копию!

Далее бежит таймер обратного отсчета

Чтобы получить регистрационный код отправьте SMS с кодом acv1016092 (каждый раз меняются 2 последние цифры) на номер 7122

В ответ Вы получите сообщение с кодом активации.

Внимание! Попытка обмануть систему может причинить вред компьютеру.»

Вирус просит отправить SMS

Причем при этом система блокируется не полностью, но и снять из памяти процессы, выводящие эту заставку не удается и приводит к полному зависанию системы.

Изначально вирус выглядит как обычная программа, которая автоматически запускается при загрузке компьютера и на первый взгляд лечится изменением параметров автозагрузки.

Но к моему удивлению стандартные действия — ПУСК — Выполнить — msconfig, вкладка автозагрузка, в которой оказалось несколько подозрительных процессов, например «wpv231254042811″, «ikowin32″,

Файлы в автозагрузке

галки напротив которых убираются, компьютер перезагружается ни к чему не привели, после перезагрузки эти программы опять оказывались в автозагрузке.

После перезагрузки вирус все равно остается

Более того, попытка удаления автозагружаемых файлов из реестра, из ветки

HKEY_LOCAL_MACHINE — SOFTWARE — Microsoft — Windows — Current Version — Run оказалось невозможным, система просто отказалась это сделать.

Перезагрузка в безопасном режиме так же не привела к желаемому результату. В этом случае из реестра можно было адвлить сылки на вирус, но после перезагрузки все оставалось на своих местах.

Попытка снять задачу из Диспетчера задач процессов, похожих на вирусы (у меня это были spoolsrv, dkrs8a, ikowin32.exe, а так же 2 процесса avp, один из которых являлся антивирусом Касперского, а другой по всей видимостью вирусом, ни к чему не привели (снятие процесса avp приводило к зависанию компьютера))
Да, и кстати, генератор кодов от доктора Вэба не срабатывает.

Как лечить Get Accelerator

Вылечить этот тип вируса, который прости отправить СМС помогла антивирусная утилита AVZ, которую можно скачать отсюда.

С помощью этой утилиты этот вирус легко удаляется. Для этого необходимо запустить AVZ, далее выполнить скрипт (Файл — Выполнить скрипт)

Выполнить скрипт в AVZ

Текст скрипта я взял с форума по программе AVZ

Тест скрипта в AVZ

Текст скрипта:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(‘C:\WINDOWS\dmgr134.sys’,»);
QuarantineFile(‘C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’,»);
DeleteFile(‘C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll’);
DeleteFile(‘C:\WINDOWS\dmgr134.sys’);
DelBHO(’6D7B211A-88EA-490c-BAB9-3600D8D7C503′);
DeleteService(‘Windows System Service’);
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteWizard(‘TSW’, 1, 1, true);
ExecuteWizard(‘BT’, 1, 1, true);
RebootWindows(false);
end.

После выполнения скрипта в AVZ компьютер перезагрузился и окно с требованием отправить СМС больше не появлялось, я установил Лицензионный Nod32, обновил антивирусные базы, а также проверил компьтер с помощью одноразового антивируса от Dr Web, который можно скачать отсюда.

Для избежания подобных проблем в будущем необходимо установить Антивирус ESET NOD32 или же Антивирус Касперского. Данные антивирусные системы при регулярном обновлении достаточно надежно защищают компьютер от подобной «гадости»

Попробуйте также способ описаный в новой статье Антишпион Malwarebytes Anti – Malware

Новая волна вирусов просит отправит СМС на номер 8353. Читаем тут подробно… http://extremallife.ru/work/virus-work/virus8353

Вчера половине фирмы пришло по аське с украденного номера доректора сообщение: «заметно что фотка в фотошопе отредактирована или нет?
http://www.admnn.ru/……..» И конечно же половина фирмы скачало и открыло файл с именем foto21.scr. После запуска файла (хотя система пердупреждала, что там могут быть вирусы) во весь экран появилось окошко с тесктом:

«ни в коем случае не выключайте компьютер, иначе будет уничтожена вся информация с винчестера! во избежании этого введите пароль! отправьте SMS с кодом: ada**** на номер **** (стоимость 10руб. без НДС)! пароль в ответном SMS».

Причем блокируются даже CTRL-ALT-DEL.

Как лечить? Итак пошагово.

1. Перезагружаем компьютер в безопасном режиме, для этого при начале загрузки системы жмем F8. Из появившегося меню выбираем «Безопасный режим». В безопасном режиме в появившемся окне жмем ДА на предупреждение о том, что система загрузилась в безопасном режиме.

2. ПУСК — ВЫПОЛНИТЬ, в появившемся окне вбиваем msconfig.

3. В появившемся окне переходим на вкладку АВТОЗАГРУЗКА и ищем в списке программ, запускающихся автоматически

Isasss, путь C:WINDOWS\Isasss.EXE и убираем галку напротив нее.

4. Все, теперь мы отключили автозапуск вредоносной программы и можно перезагружаться в нормальном режиме.

Кто отправлял SMS отпишите — подошел ли код? Пропало ли окно?

Если вышеописанное не помогло и в безопасном режиме также компьютер заблокирован?

Объявилась новая разновидность вируса, которая появляется даже в безопасном режиме.
Windows заблокирован. Для разблокировки пошлите SMS с текстом XXX на номер YYY
Эта гадость Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки..После введения кода, программа «самоуничтожется».
Распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Антивирус ESET NOD32 поможет избавиться от подобных проблем в будущем и обсепечит антивирусную защиту Вашего компьютера.

Если всё же не «прокатило»:
Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Вариант 1. Надо запустить операционку с диска или флешки (или подключить винт к другому компу) и воспользоваться советом:
Заходим C:\Documents and Settings\All Users\Application Data. Убиваем там два файла: blocker.exe и blocker.bin(может быть don1.tmp и don1.bin или что-то с *.tmp)
Перегружаемся в нормальную систему. Сканимся антивирем для профилактики.
Вариант 2. Поможет LiveCD от DrWeb. Загрузиться и вылечить.

Скачать образ LiveCD от DrWeb

Читать как сделать образ LiveCD от Dr.Web  и пользоваться им.

Про еще одну, более свежую, разновидность вируса можно почитать в статье Разновидность вируса, который просит отправить СМС. Как удалить?