Недавно столкнулся с новой разновидностью вируса, которая выводит сообщение вида:

Авторские права на предоставленный материал принадлежат автору сайта http://extremallife.ru

«Доступ в Инетрнет заблокирован в связи с нарушением лицензионного соглашения программы Get Accelerator. Вам необходимо активировать Вашу копию!

Далее бежит таймер обратного отсчета

Чтобы получить регистрационный код отправьте SMS с кодом acv1016092 (каждый раз меняются 2 последние цифры) на номер 7122

В ответ Вы получите сообщение с кодом активации.

Внимание! Попытка обмануть систему может причинить вред компьютеру.»

Вирус просит отправить SMS

Причем при этом система блокируется не полностью, но и снять из памяти процессы, вывождящие эту заствку не удается и приводит к полному зависанию системы.

Изначально вирус выглядит как обычная программа, которая автоматически запускается при загрузке компьютера и на первый взгляд лечится изменением параметров автозагрузки.

Но к моему удивлению стандартные действия – ПУСК – Выполнить – msconfig, вкладка автозагрузка, в которой оказалось несколько подозрительных процессов, например «wpv231254042811″, «ikowin32″,

Файлы в атозагрузке

галки напротив которых убираются, компьютер перезагружается ни к чему не привели, после перезагрузки эти программы опять оказывалить в автозагрузке.

После перезагрузки вирус все равно остается

Более того, попытка удаления автозагружаемых файлов из реестра, из ветки

HKEY_LOCAL_MACHINE – SOFTWARE – Microsoft – Windows – Current Version – Run оказалось невозможным, система просто отказалась это сделать.

Перезагрузка в безопасном режиме так же не привела к желаемому результату. В этом случае из реестра можно было адвлить сылки на вирус, но после перезагрузки все оставалось на своих местах.

Попытка снять задачу из Диспетчера задач процессов, похожих на вирусы (у меня это были spoolsrv, dkrs8a, ikowin32.exe, а так же 2 процесса avp, один из которых являлся антивирусом Касперского, а другой по всей видимостью вирусом, ни к чему не привели (снятие процесса avp приводило к зависанию компьютера))
Да, и кстати, генератор кодов от доктора Вэба не срабатывает.

Новая волна вирусов просит отправит СМС на номер 8353. Читаем тут подробно… http://extremallife.ru/work/virus-work/virus8353

Вчера половине фирмы пришло по аське с украденного номера доректора сообщение: «заметно что фотка в фотошопе отредактирована или нет?
http://www.admnn.ru/……..» И конечно же половина фирмы скачало и открыло файл с именем foto21.scr. После запуска файла (хотя система пердупреждала, что там могут быть вирусы) во весь экран появилось окошко с тесктом:

«ни в коем случае не выключайте компьютер, иначе будет уничтожена вся информация с винчестера! во избежании этого введите пароль! отправьте SMS с кодом: ada**** на номер **** (стоимость 10руб. без НДС)! пароль в ответном SMS».

Причем блокируются даже CTRL-ALT-DEL.

Авторские права на предоставленный материал принадлежат автору сайта http://extremallife.ru

Как лечить? Итак пошагово.

1. Перезагружаем компьютер в безопасном режиме, для этого при начале загрузки системы жмем F8. Из появившегося меню выбираем «Безопасный режим». В безопасном режиме в появившемся окне жмем ДА на предупреждение о том, что система загрузилась в безопасном режиме.

2. ПУСК – ВЫПОЛНИТЬ, в появившемся окне вбиваем msconfig.

3. В появившемся окне переходим на вкладку АВТОЗАГРУЗКА и ищем в списке программ, запускающихся автоматически

Isasss, путь C:WINDOWSIsasss.EXE и убираем галку напротив нее.

4. Все, теперь мы отключили автозапуск вредоносной программы и можно перезагружаться в нормальном режиме.

Кто отправлял SMS отпишите – подошел ли код? Пропало ли окно?

Если вышеописанное не помогло и в безопасном режиме также компьютер заблокирован?

Объявилась новая разновидность вируса, которая появляется даже в безопасном режиме.
Windows заблокирован. Для разблокировки пошлите SMS с текстом XXX на номер YYY
Эта гадость Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.Тут находится генератор кодов(http://news.drweb.com/show/?i=304&c=5).После введения кода, программа «самоуничтожется».
Распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Антивирус ESET NOD32 поможет избавиться от подобных проблем в будущем и обсепечит антивирусную защиту Вашего компьютера.

Если всё же не «прокатило»:
Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Вариант 1. Надо запустить операционку с диска или флешки (или подключить винт к другому компу) и воспользоваться советом:
Заходим C:\Documents and Settings\All Users\Application Data. Убиваем там два файла: blocker.exe и blocker.bin(может быть don1.tmp и don1.bin или что-то с *.tmp)
Перегружаемся в нормальную систему. Сканимся антивирем для профилактики.
Вариант 2. Поможет LiveCD от DrWeb. Загрузиться и вылечить.

Скачать образ LiveCD от DrWeb

Читать как сделать образ LiveCD от Dr.Web  и пользоваться им.

Про еще одну, более свежую, разновидность вируса можно почитать в статьеРазновидность вируса, который просит отправить СМС. Как удалить?