Windows заблокирован. Для разблокировки отправьте смс.

Сегодня знакомые попросили посмотреть компьютер. Говорят «что-то про активацию пишет и смс». Думаю, дело неладное, собрал свой «боекомплект», выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
«Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649.Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные.»

Давным давно сталкивался с такой бякой. В уже упомянутый «боекомплект» у меня входит LiveCD от DrWeb. Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.

UPD. C мест сообщают, что случай знакомых не единичный.
Хабраюзеры ilzarka и ykcyc тоже стали жертвами вируса. И если первый «вылечился» как и я, то второй пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение «Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные.» НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше.

UPD2. C мест сообщают, что вроде подходит код активации 3893879.

UPD3. В комментах подсказали, что специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://www.drweb.com/unlocker/index/?lng=ru, вводите цифры с сообщения ВАШЕГО компьютера — получаете разблокировачный код.

UPD4. Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 я выложил здесь. Этот пак сам установит все обновления, которые появились после выхода SP3.

UPD5. Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его smile Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!

UPD6 Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.

Если после удаления вируса пропал рабочий стол

В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.

UPD7. Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать — если уже случилась беда — качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы — ставьте PreSP4 и IE8, если пользуетесь эксплорером.

UPD8. C момента написания поста вирус очень изменился, и его поведение тоже. Читайте последние комментарии к посту (в частности вот) — они помогут в решении проблемы. Ну и если побороли сами — найдите минутку — поделитесь опытом.

UPD9. Сотрудники компании DrWeb создали специальный раздел для получения кодов разблокировки на своем сайте. Специалисты Лаборатории Касперского сделали подобный сервис.

Напомню что лучшей защитой от напасти являются 4 действия:

UPD10. На Хабре появилась еще одна статья-руководство по борьбе с вирусом.

UPD11. Методы защиты от вируса, блокирующего windows по смс.

[sape count=3]

Комментария

  1. Дмитрий говорит:

    По сообщениям с Хабра, злодей, на чей номер нужно было слать смс наказан. Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

  2. Игорь говорит:

    Спасибо я тоже с этим столкнулся, удалил blocker.bin и blocker.exe все в норме biggrin

  3. Артур говорит:

    Я больше не могу, это надо же быть сволочами, что бы такое придумать… Игорь, а скажи мне пожалуйста как у тебя получилось удолить эти файлы? :((

  4. Beроника говорит:

    Здравствуйте.у меня такая же проблема с компьютером.только в каком режиме комп не включу все равно выказает это сообщение.напишите мне пожалуйста что делать.в каком режиме заход

  5. Alex'and'R говорит:

    вчера сидел на баше. Там прочел про эту проблему, думал меня никак не коснётся. И тут СЕГОДНЯ же у самого такая беда… ((( но умные люди с баша подсказали какие файлы надо удалять. К счастью у меня стоит 2 ОС. Я зашёл со второй, удалил данные 2 файлика и вуаля-всё работает!)))

  6. kirsby говорит:

    Меня тож такая ерунда коснулась. Сам потерялся всех пытался обзвонить —короче жена подсказала попробуй включи(обычно из-за неё глючит) — и запустилась Винда. За день до этого переустановил NOD32 но базы не мог найти. Только обновил но не перезапустил и вот тебеЭТО. Спасибо теперь буду знать что ЭТО и ГДЕ

  7. Настя говорит:

    У меня вчера была такая х… не знаю как прошло. просто тупо комп включенный постоял минут 30 и все прошло. Сейчас все нормально

  8. Артур говорит:

    Пытался удолить через гостя, неполучилось (нет прав), пихал диск с антивирусником, не вышло, вводил код, неа… Зашёл через безопасный режим, вроди нормально всё было, удолил всё ненужное, и вуаля всё заработало… НО: теперь комп НЕВЕРОЯТНО глючит и тормозит, пользоваться невозможно, думаю переустановить Винду… Файлы жалко sad sad sad

  9. Оникс говорит:

    Да, народ… Вчера ночью эта история меня коснулась. Винт 1, ОС 1, пользователь 1, сдуру пробовал смс-ку отправить — хорошо, денег не было на счету (не знаю, сколько стоит этот код, но больше 100 рублей — точно, денег сняли как за простую смс-ку, с номера 3649 пришел ответ, что "Недостаточно средств для пользования услугой")
    До безопасного режима не добрался. Переставил ОС.
    кстати, цифры в смс-ке другие предлагали вставить
    412 894 6393
    подцепил эту байду, судя по всему, когда лазил в поисках мп3 на "халявные" сайты
    сразу подозрение возникло, когда через оперу со скоростью 0.1 кб/с файл лился (в то время, как параллельно шла закачка с нормальной скоросью)

  10. Ирина говорит:

    А что делать,если компьютер просит отправить смс на номер 3649,но с текстом 4125451011

  11. Евгений говорит:

    Просто наберите в диспетчере задач выполнить команду "C:\WINDOWS\system32\userinit.exe" И всё тут же станет прекрасно… =)

  12. Андрей Н. говорит:

    А что означает "Просто наберите в диспетчере задач выполнить команду "C:\WINDOWS\system32\userinit.exe" ???????? Обясните что это даёт???

  13. Андрей говорит:

    Седня зацепил эту заразу, но спасибо други Вам и второму компу, по которому нашел ссылку http://news.drweb.com/show/?i=304&c=5
    При последующих переагрузках это не проявляется, а то код сгенерировали, NOD 32 запустил, но он чет ничего не находит

  14. yser говорит:

    небось, сам ДрВеб и придумал эту заразу, чтобы бабло срубить
    а потом, мол, мы сделали код разблокировки, дрвеб — надежная защита ващего компьютера
    ни слова при кризис!

  15. Андрис говорит:

    Огромное человеческое спасибо biggrin !!!! за исчерпывающую инфу!! странно тока как нод32 смарт секьюриту пропустил эту хрень, и более того , после даже не нашёл sad

  16. Макс говорит:

    вчера такая же хня была у моей подруги,винду переутанавливали sad еслиб знал не переустанавливали бы,буду теперь знать…

  17. Ольга говорит:

    Да, было дело. Только вот что странно: после появления этого сообщения перезагрузила комп 2 раза, ничего не изменилось. А поскольку я в этом вообще ничего не понимаю, то выключила комп. Утром встала, включила biggrin всё замечательно работает. Сегодня попала на этот сайт, пыталась найти эти дурацкие файлы blocker.bin и blocker.exe, но их нет. Проверяла комп Нодом, всё хорошо. Может чего-нибудь еще сделать?А?

  18. Geralde говорит:

    У меня на Windows 7 тоже самое было вчера,когда отец за компом сидел.Он чуть было не отправил смс-ку-перепугался.в последний момент я его остановил.После перезагрузки всё нормально загрузилось и до сих пор работает,NOD ничо не нашарил,только какие-то трояны TBinstall.***.Приду домой,пощупаю эти bloker-ы.Спсб.

  19. Вит говорит:

    нод меня чёто последнее время расстраивает. Эту фигню уже пропустил и недавно whatulikelol.exe даже не заметил angry

  20. maradona говорит:

    Моё мнение — программеры доктор веба создали эту херню … и сами же выложили генератор … В то время как другие информеры низачто не исчезают сами … и не убираются путём ввода верного кода … так что делаем вывод господа … это реальная конкуренция и провакация … просто если программисты ESET кинут в сеть тоже какой нибудь вирус … загнётся и Каспер и Др. веб … Война антивирусов не прекращалась никогда …
    Давайте подумаем … у многих возникло желание перейти на Др. Веб ? Думаю да … и у меня возникло … но это не более чем как релкмная акция … не будьте дибилоидами … и трезво смотрите на вещи …

  21. Stre10k говорит:

    файлы blocker.bin и blocker.exe по указанному адресу (впрочем, как и вообще в машине) отсутствуют. Проверка в реестре:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    (Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe") помогла выявить файл, на который зверюга и ссылалась. Весьма признателен!

  22. Дмитрий говорит:

    maradona, не соглашусь. Хотя вероятности такой не исключаю, но думаю тут больше задумка была навариться на смсках, нежели сагитировать "переход на зеленый" (ДрВеба). Многие люди, даже думаю большинство жертв вируса ни слухом ни духом не знают о генераторе от др.веба.

    А то что нод32 косячит — это для меня не новость. Сталкиваюсь с его косяками постоянно. Поэтому рекомендую всегда либо касперского, либо др.веба. Причем лицензию ОБЯЗАТЕЛЬНО! Думаю заплатить тысячу в год — это не так много…

  23. Ольга говорит:

    Hеlp! Вводила код активации, который выдает указанный выше сайт, не помогает. Запустила сканирование вирусов — пишет, что вирусы не найдены. Файлы blocker.exe тоже комп не ищет. Может из-за того, что я смогла зайти только как гость? Что делать, чтобы снять блокировку windows?

  24. Ольга говорит:

    Уфф, на ночь выключила комп, утром все нормально. Антивирусная системы выдала несколько сообщений о том, что кучу вирусов направила в карантин. Спасибо владельцу сайта!!! biggrin booze hands

  25. Boroda говорит:

    Му-ха-ха? Была такая беда, но т.к. все равно собирался "почистить" Винду…то после пары безуспешных загрузок, поставил поверх новую ХР:-)
    Но докторе вебе молодцы!отреагировали быстро …

  26. юю говорит:

    та же проблема! как запустить Dr.Web LiveCD из ДОСа? гостевого входа у меня нет, только администратор, пишу со второго компа. с залипанием шифта тоже не получается, не залипается) прошло больше трех помогите!!! cry

  27. zaman говорит:

    не могу найти файлы, прицепил винт к другому компу, запустил нод со свежими базами, он ничего не нашел. Запустил launch.exe тоже никаких действий. На сайте Доктора Веба генератор тоже не помог!
    Унификация произошла вируса?

  28. nigga говорит:

    а что делеть если такаяже проблема,но в \Documents and Settings\All Users\Application Data этих файлов нет?

  29. RooTroL говорит:

    Только что боролся с этой же проблемой.
    Файл "C:\Documents and Settings\All Users\Application Data\blocker.*" отcутствовал, отправка кода, сгенерированного DrWeb тоже не помогла. Проверил реестры — тоже чисто.
    Нашёл в "C:\Windows\Temp" файл donB.tmp после удаления система воскресла.
    Всем удачи в борьбе с заразой!

  30. юю говорит:

    тоже заработало! только одно но: удалила из реестра строчку userinit.exe , как писалось в первом постике, но в самой папке не удаляется, после удаления появляется снова, что делать? surprised

  31. RooTroL говорит:

    Та же хрень — опять появился.
    Сейчас провожу зачистку DrWeb-ом. Завтра скажу результат.
    Можно использовать Launch.exe (DrWeb-овчкую) тоже находит.
    Погдозрителен тот факт, что в системе в TEMP'ах висит троян Autoruner (gj крайней мере у меня). Подозрение, что они завязаны м-ду собой. Полная зачистка покажет кто, где нагадил)))

  32. Мария говорит:

    люди… у меня такая же херь.
    но у меня виста, мать ее..
    подскажите че делать??? cry

  33. Дмитрий говорит:

    По всей видимости червь модифицируется постоянно, а для загрузки использует дыры в ОС. Сейчас выложу обновления PreSP4. Ищите ссылку в конце поста.

  34. skinskraper говорит:

    ребяты вот вам реально работающий способ при любых модификациях виря заходим с автозагрузчика и правим реестр
    HKEY_LOKAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\CurrentVersion\Winlogon
    находим значение Userinit щткрываим иго все что после C:\WINDOWS\system32\userinit.exe является путём к тушке виря смело удалям сохраняем и резетим всё робит проверено cool

  35. юю говорит:

    skinskraper , в том то и проблема, с реестра удалила, а в самой папке C:\WINDOWS\system32\userinit.exe удаляется, а через минуту этот экзешник опять на том же месте, посмотри у себя, может после удаления опять его у себя найдешь)

  36. Кирилл Герасимов говорит:

    Тоже столкнулся с этой проблемой, однако, по-видимому уже с модифицированной версией вредоносной программы. Documents and Settings не содержала никаких подозрительный *.exe и *.bin, однако проверив пункт реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] (см. комент №1 by Дмитрий) в поле Userinit нашел кроме стандартного "C:\WINDOWS\system32\userinit.exe" еще и указание на какой-то файл в папке c:\docume~1\%username%\local settings\Temp удалил этот файл из папки (и походие на него), а так же исправил поле в реестре.

    Насколько я понял, эта штука устанавливается конкретно под 1 пользователя. Запустил в безопасном режиме и залогинился под администратором (обычно пользуюсь другим юзером с админскими правами). Как вариант, если что-то нужно, чего в безопасном режиме нельзя, можно там создать еще одного админа, под которым зайти в нормальном режиме и полечить комп, после чего юзера удалить. То есть под другими юзерами система запускается спокойно.

  37. Кирилл Герасимов говорит:

    2юю: не юзеринит надо удалять))) а то, что после него написано в реестре))) (см. пред. посты)

  38. Дмитрий говорит:

    юю, Кирилл Герасимов всё верно написал. Сам файл, ровно как и ветку реестра удалять не нужно, нужно удалить всё, что написано ПОСЛЕ userinit.exe

    Да, кстати все файлы в следующих папках
    c:\Documents and Settings\%USERNAME%\Local Settings\Temp\
    c:\Documents and Settings\All Users\Application Data\TEMP\
    c:\WINDOWS\Temp\
    могут быть безболезненно удалены! Это НИКАК не повлияет на систему. Рекомендую при "лечении" всё оттуда удалять.

  39. юю говорит:

    я не успела удалить по вашим советам(( перезагрузила комп после своего последнего поста и теперь новый сюрприз. грузится винда, вбиваю пароль администратора, только мелькнет рабочий стол как начинается завершение системы(( диск разбит на два раздела, зашла со второго (здорового), захожу с него на свой основной Documents and Settings\… папка All Users доступна, но она пустая, там ничего такого небыло, а моя основная (где важные файлы)недоступна. пишет что папка пустая и невозможно ее открыть, хотя по общему размеру диска вроде как было sad ну на что такие гады на свет рождаются sad

  40. юю говорит:

    ошиблась, пишут отказано в доступе к папке, а когда навожу мышкой, показывает типо она пуста.

  41. юю говорит:

    так как же их искать, если отказано в доступе к этой самой папке?)))
    c:\Documents and Settings\%Имя пользователя%

  42. PepsUS говорит:

    с рабочей системы скопируйте файл userinit.exe (c:\windows\system32\) обычно при его отсутствии это происходит —
    -…и теперь новый сюрприз. грузится винда, вбиваю пароль администратора, только мелькнет рабочий стол как начинается завершение системы…
    wink

  43. PepsUS говорит:

    А эта "проблема" —
    — …так как же их искать, если отказано в доступе к этой самой папке?))) c:\Documents and Settings\%Имя пользователя%….
    можно "вылечить" Totalcommander ом — создать новую кнопку с командой cm_EditOwnerInfo (сделать себя владельцем) и потом еще одну — cm_EditPermissionInfo (изменить права NTFS) …
    В Totalcommander Podarok Edition эти кнопки уже выведены на панель …

  44. Дмитрий говорит:

    Это просто развод!!! Не надо отправлять никаких смс и ничего удалять!!! Просто пускай часов пять комп постоит выключенным и все пройдет! Проверено на себе!

  45. jKuDza говорит:

    вчера так же столкнулся с этой х ! каспер пропустил его ! и даже не среагировал на него ! я все сделал радикальней ! отнес винт другу слил от туда всю инфу и форматнул ! теперь сижу на оф винде 7 ! biggrin

  46. sonic-chainik говорит:

    Сегодня словил эту заразу. Причём на втором харде (на нём винда про запас стоит — типа для горячей замены). Подключен как файло-помойка.
    Сегодня потребовалось с него загрузиться — опа! Scandisk с заменой уймы файлов (очень странных файлов). о_О Ну и ладно. Грузим дальше — а вот и наша блокировочка (слышал о ней пару дней назад).
    С горем пополам удалось запустить систему на основном диске — Касперский откинул копыта и не дает себя снести/переустановить/запустить.
    В итоге, прорвался в инет — нашел эту рекомендацию. Но найти файлы-блокеры не смог. Накатил НОД32 — он что-то долго шаманил.
    По завершению работы подключил второй диск — хрен там — блокировка на месте.
    Сейчас закончил работу AD-Aware — пожелайте мне удачи — ребутаюсь. smile

  47. RooTroL говорит:

    Вчера лечился, спустя пару часов опять всплыло. Оставил комп вкюченым на ночь. С утра чисто.

  48. юю говорит:

    все починила, Totalcommander чудо!! получила права доступа к папке, скопировала нужные файлы в надежное место, ща на всякий форматну чтоб наверняка! все равно давно хотела почистить мусор на своем компе tongue
    Большое спасибо всем за советы!

    а вот каким теперь обзаводиться антивиром ума не приложу, стоял нод32, больше не хчочется, до этого был касперский, но как вспомню это раздражающее грузилово — лучше с вирусами, чем с касперским wink

  49. GreenCloud говорит:

    хм, интересно, а где его взять? я тоже себе такой на комп вирь хочу…

  50. DmitryDV говорит:

    Ввели код, все исчезло без следа. Касперский 6 с актуальными базами пропустил эту гадость. Тоже думаю, что кто-то из антивирусов запустил черный PR

  51. sergey говорит:

    спасибо!!!! буду юзить только ваш товар!!!!!!!!!!!!пасибо паибо пасибо!!!!!!!!

  52. Denis говорит:

    У меня всё намного интереснее: Поймал заразу ввёл код с сайта доктора веба, и вуаля—— флэшки не видит, в управлении компом диспетчер логических дисков видит только сиди ром, и как с этим быть?

  53. Алекс говорит:

    у меня так: никаких *.exe и *.bin нету антивирус не находит страницу генератора не грузит. К тому же целый день уж стоит и не проходит. Скажите что делать

  54. Алекс говорит:

    к тому же я могу зайти только как гость и (если что) код, который отправить надо: 4149469949

  55. SKY говорит:

    Я сегодня тоже подхватил этот "трипер" Отправьте мол смс!!!Мучался долго,включал ,перезагружал все безполезно.Через пару часов решил снова включить….комп загрузился без проблем!!!! Моментально запустил антивирусник Доктора Веб., был поражен файл c:\windows\sysnem32\drivers вирусом tROJAN.NT ROOTKIT.1601 Вирус удалил,все нормально сразу заработало.Спасибо очень хорошему человеку который дал мне эту ссылочьку на этот сайт!!!

  56. Алекс говорит:

    Словил недавно эту ерунду. Я ребятам, кто сделал этот Кейген памятник поставлю когда денег будет много.:) пасибо от всей души. Помогло.

  57. gsp говорит:

    Значит так. Словил. Блокеров ни где не было. Реестр C:\WINDOWS\system32\userinit.exe, был в порядке. Приглашение на смс через двачаса пропало. Прикаждой перезагрузке дрвеб находил donB.tmp, который удалялся…до следующей загрузки. Был отловлен автозагружающийся процесс и файлик services.exe, находящийся(ВНИМАНИЕ!) C:\WINDOWS\services.exe. При удалении его автозагрузки через Startup Extractor он тут же помещал сам себя обратно в автозагрузку….Процесс был остановлен через Windows Defender, затем грохнут физически, и автозагрузка удалена через Startup Extractor… ВНИМАНИЕ! Файл services.exe, который находится C:\WINDOWS\system32и и процесс, связанный с ним ПРАВИЛЬНЫЙ, его удалять НЕЛЬЗЯ!
    После этого возникла непонятка с виндовым брандмауэром (SP2). наверняка ни кто не обращает внимание. поэтому посмотрите.Я никак не мог его включить, т.к. кнопки были неактивны. Помогло вот это :
    "Чтобы полностью убрать надпись и восстановить управление брандмауэром в windows XP Home надо в реестре раздел
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    полностью удалить.
    Видимо вирус просто добавил указанную ветку в реестр, вырубив тем самым брандмауэр."
    Видимо вирь постоянно модифицируется.
    Что интересно, хватанул неизвестно как, просто запустил браузер (Опера), никаких мр3 и ехе не нажимал….

  58. gsp говорит:

    ЗЫ Обезательно провепяйте все папки TEMP, указанные ранее. Туда тоже занесло (у меня в C:\WINDOWS\Temp)
    …..Во блин как нагнуло wacko Давненько я так не попадал angry

  59. GreenCloud говорит:

    дада, мне вот тоже сильно интересно, где люди его нашли, хочу посмотреть.. расскажите в кратце кто и по каким порносайтам лазил)))

  60. j говорит:

    хм, а у друга я просто через безопасный режим загрузился, сделал откат на сутки(стандартным восстановлением системы) и никаких хвостов уже не видел, ни файликов блокеров, ни в реестре…

  61. m_sha говорит:

    только сегодня с таким столкнулся.
    загрузился с загрузочного диска и нашел файлик:
    C:\Doc&Set\maria\maria.exe
    соответственно maria — имя учетки, и файлик так же обозвался.
    рядом лежал он же, но с именем file.exe

    переместил оба в другую папку — винда загрузилась нормально. потом уже нашел и стер в реестре автозапуск программки.

    Достаточно тупая и слабоватая.
    Но антивирусники в большинстве своем ее не замечают:
    http://www.virustotal.com/ru/analisis/9a9a4a55b047a3ba386af89677f85071

  62. Наталия говорит:

    У меня проблема я ввела код но ничего не вышло, что мне делать???

  63. Сергей говорит:

    К сожалению генератор от Dr. WEB мне НЕ помог! crazy

    Вирусо-писатели изменили код! Остается только ручками в БЕЗОПАСНОМ режиме попробовать почистить автозагрузку, а потом провериться у Dr. WEB'а.

    book

  64. Foxter говорит:

    Безопасный режим не помог. Вирь остался. (Слава Богу машина не моя)
    Решение видимо и правда загружаться с LiveCD и искать эти злосчастные файлы. Правда исходя из комментариев — ума не приложу где они могут быть.

  65. Сергей говорит:

    Я установил время в BIOS на 6 часов вперед, комп нормально запустился. Этот вирус устанавливается на пару часов.

    booze

  66. SiD Vinchester говорит:

    Вот жеж блин! Я первый раз об этой штуке услышал от своего папы!:( он сказал что появилось окно с номером….типо"Отправьте смс… бла бла бла" ну он взял и отправил…:( 600 рублей сняли,тока так:))) сегодня опять столкнулся с этой штукой! видать она возникает через какой то промежуток времени! типо смс отправил, тебе допустим дают неделю а потом опять эта штука срабатывает…и блокирует винду!…:) хорошо что я залез в БЕЗОПАЧНЫЙ РЕЖИМ и Nod32 все на**р удалил! (я имею виду вирус smile )

  67. Алекс говорит:

    Да нод 4 тоже никаких подозрений не давал, а во всем виноваты баннеры с порнухой!!! Брат пытался сегодня посмотреть на ноуте что-то вышеописанное, при запросе установки кодека — нажал продолжить и установил блокировку… Сейчас с помощью LiveCD сканирую sad Пытаюсь так сказать исправить

  68. Vendicator говорит:

    Поставьте время в BIOS на день вперёд. После разблокировки, скачайте Dr.Web и прогоните его. Потом, смело можете удалять.

    Да, ещё. Этот вирус, воплощающий весьма хитроумную задумку, обычно подхватывается (впрочем, как и другие) пользователями Internet Explorer илм людьми, качающими левый софт с левых сайтов.

    Вывод: 1) ставьте Firefox; 2) качайте только то, чему можно доверять, и только оттуда, откуда качает большенство. (Официальные сайты авторов П/О)

  69. Виктор говорит:

    Молодец чувак который придумал такое!!!! Уважаю!!! А еще уважаю тех кто придумал порнуху на весь экран на любом сайте! Сразу видно извращенцев которые по порносайтам лазают! Еще и денег зарабатывают на извращенцах, молодцы чуваки!

  70. Саша говорит:

    Спасибо тебе товарищ!!! Респект и уважуха!!!!! Реальная помощь!!! А хотел винду сносить и заново ставить smile в итоге решили проблему за 2 минуты!!!

  71. Niruksorp говорит:

    ВНИМАНИЕ ТОТЖЕ ВИРУС СТАЛ НАЗЫВАТСЯ NOD32.DAT в Temp катологе профиля пользователя

  72. makst0r говорит:

    Есть еще одна разновидность вроде…все там же…nod69.tmp…в каталоге Temp…вир работает часа два…потом отрубается…магину не перезагружал…что будет, не знаю…но лучше антивиром прогнать…удачи всем..
    P.S. Автору большое спасибо…

  73. gsp говорит:

    Vendicator, Виктор, ерунду говорите, первый про всякие мазилы (я на оперу хватанул), второй про порносайты (ко мне из сети залетело)…От сумы, тюрьмы и, добавлю, от виря не зарекайтесь, господа, поменьше гонора angry

  74. Vendicator говорит:

    Саша: не за что.

    Niruksorp и makst0r: у меня самого вируса нет, но рискну предположить, что он генерирует имя файла либо тщательно продуманным механизмом, либо используя определённый набор слов. Конечно, существует вероятность, что авторы/соавторы просто изменяют в нём параметры каждые пять минут и скидывают в сеть, но для столь неординарного вируса, это было бы слишком просто.

    gsp: Это статически доказанный факт. Если сравнить количество различных инфекций, которые подцепляют компьютеры пользователей Internet Explorer и Firefox, то будет видно, что инфекций через Firefox не более 10%. IE же легко уязвим практически в каждой версии. Opera тоже сравнительно уязвимый, к тому же без открытого исходного кода. Вирусы приходят и уходят, здравый смысл – остаётся. Гонор тут не причём, просто глупостей делать не надо.

  75. gsp говорит:

    Vendicator, т.е. иными словами ставь Firefox и спи спокойно& biggrin ….Научите людей, они поверят, потом как отмываться будете? Ваш гонор состоит в безапеляционности утверждения (в первом посте yf 'ne ntve). Во втором уже теплее, оказывается все таки 10%…ВНИМАНИЕ — 10 % от кого -от всех, кто ухватил вирус? Если этО имеется ввиду, то весьма вероятно, что от общего количества людей, смотрящих в инет через разнообразные браузеры, использующих Firefox значительно меньше, чем 10 %, и уж точно меньше чем использующих IE…

  76. Vendicator говорит:

    Пользователи броузера Firefox гораздо реже страдают от вирусов встроенных в сайты. Это факт. Совершенных броузеров нет, Firefox всего лишь безопаснее. Его используют, по разным данным, от 22% до 46% всех пользователей сети потому, что он надежнее и быстрее в эксплуатации. С технической точки зрения, он наиболее совместимый со стандартами.

    Из личного опыта: за 5 лет работы с Firefox был только один подобный инцидент, два года тому назад. Для сравнения, с Internet Explorer’ом таких случаев было более 30.

    Популярность Opera, при этом, всего от 0,5% до 2,5%. Отчасти это обусловлено тем, что он долгое время был trialware, а потом стал adware-ом, что в принципе недопустимо. Его движок медленнее Gecko, что не позволяет использовать его в полной мере на слабых компьютерах, которых в мире ещё много. Его разработка ведётся ограниченным коллективом, что делает его непривлекательным для сторонних программистов и бессмысленным для вебмастеров.

  77. Дмитрий говорит:

    Спасибо огромное!Уже 3 час ищу помощи в интернете про эту проблему!Сегодня на работе такая фигня случилась с сервером,хотя NOD 32 стоит sad Вы молодец!Завтра попробую все восстановить!С Пасхой Христовой!

  78. gsp говорит:

    Vendicator biggrin biggrin , эта статистика вилами на воде. интересно, откуда она вдялась? очень напоминает заклинания махровых линуксоидов (ни кого не хотел обидеть)…
    Вот статистик посещений одного из сайтов (по хотлогу за лве недели):
    MSIE 7.0 3042 20.51%
    MSIE 6.0 2585 17.43%
    Firefox 3.0.8 2205 14.87%
    Opera 9.64 1020 6.88%
    Opera 9.63 891 6.01%
    MSIE 8.0 833 5.62%
    Mozilla 5.0 504 3.40%
    Opera 9.62 366 2.47%
    Opera 9.60 338 2.28%
    Opera 9.27 179 1.21%
    Ради интереса пробежался по первой десятке…
    Выводы:
    1. Конечно же, как и предпологал в отрыве пользователи IE разных версий;
    2. На втором месте Опера разных версий;
    3 На третьем — Firefox 3.0.8, но ни о каких 22 % (не говоря о 46) и речи нет….
    Блажен кто верует biggrin wink

  79. gsp говорит:

    Vendicator,очень понравилось про зловредную Оперу, мол "trialware">"adware"…ерунда какая-то…
    С сайта Каспера — "Adware — программы показа рекламы на компьютерах пользователей, часто такие программы входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего программного обеспечения (Gator и подобные)"
    Никогда не являлся безумным фанатом Оперы, но НИКАКОГО ПОКАЗА РЕКЛАМЫ в ней никогда не было…Интересно с чего Вы это взяли?
    Сначала этот браузер был (выражаясь по вашему) freeware, потом стал shareware, потом вернулся в freeware…
    Вобщем какой-то некопенгаген получается biggrin

  80. Vendicator говорит:

    Фома неверующий, вот статистика не "с одного из сайтов", а от фирмы анализирующей статистику, из одного очень популярного ресурса для вебмастеров.
    http://marketshare.hitslink.com/browser-market-share.aspx?qprid=0
    http://www.w3schools.com/browsers/browsers_stats.asp

    Далее об Опера:
    http://en.wikipedia.org/wiki/Opera_Browser#History
    Цитирую . ". But version 5.0 (released in 2000) saw the end of this requirement. Instead, Opera became ad-sponsored, displaying advertisements to users who had not paid for it.[9] Later versions of Opera gave the user the choice of seeing banner ads or targeted text advertisements from Google.", т.е. с 5-ой по 8-ю там в нём содержался adware.

    Согласно той же статье, она была trialware с начала и до версии 5.0.

    Но я видимо Вас не убедил.
    Возвращаясь к теме, уважаемый Дмитрий, описанный мною (и, по-моему, ещё одним человеком) способ борьбы с «проказой» WinLock – действует. Может Вы добавите его в Updates?

  81. Дмитрий говорит:

    gsp, Vendicator, вот вам средняя статистика за 3 месяца с моего блога

    Opera 9 30.3%
    Firefox 3 24.2%
    Explorer 7 17.4%
    Explorer 6 14.3%
    Explorer 8 2.8%

    остальные (гугл хром привет :)) меньше 2%, поэтому выкладывать думаю смысла нет.
    Моё мнение — опера, ФФ — пофиг, главное не ИЕ! Особенно ИЕ6

  82. Venti говорит:

    Сегодня столкнулся с этой проблемой, с http://news.drweb.com/show/?i=304&c=5 ключ не подошел
    нашел заразу сдесь
    c:\Documents and Settings\%USERNAME%\Local Settings\Temp\
    unloker-ом грохнул процесс и удалил 3 файлика cool

  83. gsp говорит:

    Berta, если не знаешь как в бивасе время переводить, мой тебе совет — не решай эту проблему через инет, найди знающего чела, который поможет физически.

  84. vasko говорит:

    После установки Security_preSP4_9.3.14.exe перестал запускаться редактор реестра, вернее, наверное пытается запуститься, но что его сразу закрывает. Кроме того не запускается ни один файл c названием autorun.exe — эффект тот же, сразу закрывается. Очень похоже, на то, что ссылка в UPD4 это тоже вирус.
    Перед тем как устанавливать проверил обновленным антивирусом, он ничегоне нашел. :/

  85. Julia говорит:

    Я винду уже из-за етой хни 3-ий раз переустанавливаю…надо попробовать ваши методы:)

  86. Валентин говорит:

    Тоже схватил вирус. Часа три назад. Хотел обновить GreenBrowser. Когда шла загрузка то через сек. 10 вылезло окно "отправь смс итд.". Перезагрузился в безопасный, скопировал все себе необход., думаю дай с тел. зайду в инет, почитаю, может кто сталкивался с такой фигней, хотя прошло минут 30 не больше, я вышел с безопасного, перезагрузился окна ни какого уже не было, может сам удалился не знаю, blocker.bin и blocker.exe я не нашел, папки темпы почистил, GreenBrowser еще раз обновил и он обновился нормально на новую версию. Получается не чего не делал. Антивирусником не пользуюсь.

  87. Vendicator говорит:

    Дмитрий: молодец.

    Berta:
    1). Выключите компьютер.
    2) Затем включите, и как увидите первые надписи (заставку BIOS или логотип фирмы производителя материнской платы), жмите DEL (или то, что сказано жать для входа в Setup).
    3) Войдя в Setup, выберите первый пункт меню, нажмите Enter.
    4) Далее, Вы должны увидеть текущие дату и время. Стрелочками на клавиатуре, выберите то, что хотите изменить (например, дату) и введите её.
    5) После того, как вы изменили дату, нажмите ESC один раз.
    6) Теперь выберите пункт меню с названием вроде “Save changes & Exit” (или нажмите F10).

    vasko: Маловероятно, конечно, хотя с другой стороны, это именно то, о чём шла речь выше: это обновления от Microsoft, следовательно, и скачивать их лучше с их серверов (прямо или через Windows Update).

  88. Ильдар говорит:

    У меня наверно модифицированная эта хрень просит отправить смс t767062004 на номер 3649 только экран весь черный а не как на скрине

  89. Vendicator говорит:

    Ильдар: у одного моего знакомого он тоже черный. Перевод даты сработал, при следующей загрузке появилось это окно, но тут же само исчезло. Работает ли это у Вас?

  90. gsp говорит:

    Vendicator, человек не знает как время переводить, значит с бивосом дела ни когда не имел, ща залезет, накрутит, и вообще комп положит…Поедешь к нему ремонтировать?

  91. Vendicator говорит:

    gsp: С чего Вы взяли, что он не умеет переводить время? Да и потом, если будет строго действовать по инструкции, т.е. менять только дату/время, то ничего не положит. Что касается ремонта — если он действительно накроет своё компьютер, и даже по телефону это нельзя будет исправить, то да, поеду. Почему не помочь человеку?

  92. gsp говорит:

    Vendicator, "….если он действительно накроет своё компьютер, и даже по телефону это нельзя будет исправить, то да, поеду. Почему не помочь человеку?" up — достойный ответ, уважаю smile

  93. Vendicator говорит:

    gsp: Просто я помню, как 15 лет назад ко мне приходил один парень. Каждую неделю я ему звонил потому, что что-то не работало или я что-то "случайно" удалял. А он приходил и чинил это. Если бы не он, думаю, я бы разочаровался в компьютерах как таковых, и увлекся бы чем-то другим…

  94. Игорь говорит:

    Спасибо, никогда не думал,а попался тоже.
    Слава богу,не стал переустанавливать,ведать уберег.

  95. Андрей говорит:

    вот буквально только что вылечил эту фигню… испробовал много способов нифига не помогало…

    короче все просто.. т.к. эта дрянь и в безопастном режиме грузится, то выход следующий. — грузимся в безопастном режиме..
    злорадно наблюдаем эту хрень в последний раз..!! комбинациями клавишь пытаемся в слепую (на память) запустить какие-нибудь процессы.. дале делаем все быстро.. — нажимаем на системнике кнопку повер и сразу же методично жмем esc!!! комп не сможет перезагрузиться из-за процессов.. хрень дохнет, а раб стол оживает.. стартим антивируску и се!!! удачи!!

  96. Татьяна говорит:

    Здравствуйте! Несколько дней назад я тоже словила эту фигню, получила код http://news.drweb.com/show/?i=304&c=5,в общем избавилась от вируса, но нетбук стал себя странно вести: сначала не выключался, потом выдавал сообщение, что система восстановлена после серьёзной ошибки, потом появлялся синий экран с белым шрифтом, который не успеваешь прочитать и перезагружался.Сейчас проверила на вирусы и вот результат:[img]http://foto.mail.ru/cgi-bin/photo/editphoto?id=58&album=57[/img]
    Мой вопрос состоит в том, что делать с этими файлами, я так понимаю, что удалять их нельзя. И ошибиться с решением не допустимо, так как у меня нетбук ,а в нем нет CD-ROMа и я не знаю как в случае чего установить Windows XP. Подскажите пожалуйста, что сделать с минимальными потерями!

  97. Сергей говорит:

    Татьяна, а флэшку моно в твой нетбук включать? А в биосе нетбука моно сказать — загружаться с флэшки?
    Сейчас есть недорогие флэшки 1-2 Гб и туда моно залить дистрибутив Windows и если чё восстанавливаться с флэшки! Удачи!

    v

  98. Сергей говорит:

    Татьяна, а если для тебя потеря оболочки на нетбуке — смерти подобно, то нужно делать бекап оболочки на флэшку. Есть проги и одна из них "Acronis true image — rus".

    А по теме — так везде пишут, что ЭТОТ вирус ничего плохого, кроме вымогательства денег, не делает и убивает себя через 2 часа! Значит у тебя был ещё какой-то вирус, а может и не один. Нужно предохраняться при выходе в интернет — КИС2009 неплохо это делает, но только не с настройками по умолчанию! Его нужно настраивать, чтоб всю заразу лечил, а неизлечимую удалял БЕЗ ЗАПРОСА — АВТОМАТОМ!
    Вот и все ответы на твои вопросы.

    booze

  99. Татьяна говорит:

    Спасибо за ответы,скажу честно,в биос ещё не смотрела,т.к. купила 2 недели назад.Флешку,конечно, включать можно, но она ведь должна быть какая-нибудь загрузочная или образ,а я не знаю как это сделать.А Windows стоит лицензионный и терять его не хочется.Сергей, а Вы скриншот видели? Что делать с этими файлами?Спасибо!

  100. Vendicator говорит:

    Андрей: у моих знакомых, вход в Защищённый режим не осуществлялся – система просто висла.

    Татьяна: да, действительно, как говорит Сергей, сделать Резервную копию необходимо. Но поскольку в ней уже есть проблемы, то я не вижу в этом особого смысла. Я бы сделал так:
    1) Проверить всю машину антивирусом;
    2) Запустить командную строку и выполнить: sfc /scannow ;
    3) Запустить обновление системы и скачать все необходимые (т.е. Важные и Рекомендованные, кроме драйверов).
    4) Перезагрузить компьютер.
    5) Если проблема исчезла – хорошо, если нет – пишите.

  101. Татьяна говорит:

    Vendicator, А как Вы считаете McAfee достаточно хорошо проверяет?А как можно здесь выложить скриншот?

  102. gsp говорит:

    Татьяна, а нетбук какой? Обычно на них (напр на MCI Wind U90-100 и Lenovo S9-10), да и на просто ноутбуках, есть фунция восстановления системы со скрытого раздела жесткого диска, на котором записан образ системный рекавери (дистрибутив) диск…Просто при начале загрузки жмешь на кнопочку (напр. F3 на MCI или OKR на Lenovo)- и вуаля, нулевая заводская система wink ….

  103. Татьяна говорит:

    gsp Нетбук Acer Aspire one .При первом запуске пошла установка, но я не знаю как её запустить, например, из биоса, где находится установочный файл….

  104. gsp говорит:

    Татьяна, все ремонтируется, глянь http://4pda.ru/forum/index.php?showtopic=101651 , пост от 5.12.2008, 12:34, раздел "2. Все о Windows и Linpus на Acer Aspire One" , ссылка "Как можно восстановить систему до ее заводского состояния со всеми драйверами и программками?"
    Удачи smile

  105. Татьяна говорит:

    gsp, Я сделала как посоветовал Vendicator
    1) Проверить всю машину антивирусом;
    2) Запустить командную строку и выполнить: sfc /scannow ;
    3) Запустить обновление системы и скачать все необходимые (т.е. Важные и Рекомендованные, кроме драйверов).
    4) Перезагрузить компьютер.
    5) Если проблема исчезла – хорошо, если нет – пишите.
    Пока все работает нормально,все это время сижу с нетбука, только остался вопрос с файлами, которые нашел и поместил на карантин McAfee. И после sfc /scannow ничего не высветилось,значит, все нормально?
    Но стало значительно спокойнее после прочтения Вашей ссылки,т.к. теперь знаю куда обратиться за информацией,там очень хорошо все расписано. Пока радикальных действий производить не буду, посмотрю, что будет дальше, в сучае чего отпишусь.Спасибо!

  106. Дмитрий говорит:

    Татьяна, те файлы, что на карантине у McAfee желательно всё же удалить. И сменить его на другой антивирус. Касперский или ДокторВеб. McAfee у вас установился автоматически так как по соглашению с производителем распространяется на новых ПК и ноутубуках/нетбуках.
    Кстати, обратите внимание, что поставляется он в пробной версии на 30 или 60 дней.

  107. Vendicator говорит:

    Татьяна: я считаю, что нет. Один из вариантов — F-Secure + Kaspersky, но это громоздко, да и есть вероятность, что будет подтормаживать систему.

    Оптимально — NOD32 (версии 3 и выше) + какой-нибудь из Anti-Rootkit’ов, Root Kit Unhooker если ОС XP или ниже, Root Kit Revealer если Vista или Выше. Впрочем, это не обязательно.

    В идеале ещё отдельный Anti-Spyware, например тот же Spybot-S&D.

    Но, если речь идёт именно о трояне WinLock, то, судя по комментарием других людей, стоит попробовать старый добрый Dr.Web.

    Еслит после выполнения sfc ошибок не обнаружено (т.е. не было сообщений о нарушении целостности), значит, проблем быть не должно. По крайне мере, системные файлы не повреждены.

    Файлы из карантина, если они конечно ненужные (т.е. не инфицированный Word-документ с работой всей Вашей жизни) конечно лучше удалять. Правда сами они оттуда вряд ли вырвутся, да и вирусы которые «ищут других и воскрешают их» мне не известны, но чем чёрт не шутит…

    Кстати, Христос Воскрес!

    gsp: оперативно работаете. smile

  108. Юля говорит:

    Подскажите пожалуйста,что делать если код не подходит?И что произойдёт по истечении времени?

  109. DenverD говорит:

    Появилась новая разновидность пример таков
    windows заблокирован
    для разблокировки необходимо отправить sms с текстом
    t7010620006 на номер 3649
    введите полученный код
    Все это на черном фоне….
    Дак вот старые методы не помогут изменилось и название файла и расширение и место нахождение…
    Для избавления такой фигни грузимся с LiveCD и полностью чистим папки
    c:\Documents and Settings\*имя пользователя*\Local Settings\Temp\
    и
    c:\Documents and Settings\*имя пользователя*\Local Settings\Temporary Internet Files\
    и после перезагружаем
    потом заходим
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    находим там "Userinit"
    и оставляем только "C:\\WINDOWS\\system32\\userinit.exe" без ковычек естественно
    И меньше по порносайтам лазайте…

  110. Сергей говорит:

    Вчера вечером тоже подцепил эту дрянь только у меня наверное модифицированная версия т.к. экран черный и пишет, что осталось 3 часа. Времени вчера разбираться не было поэтому поменял дату на всякий случай на день назад. Подскажите как его лечить точно также? Если перевести время вперед это поможет?

  111. DenverD говорит:

    А что касается антивируса пользуюсь KIS8 никаких тормозов и проблем с ним на современных машинах нет и не надо меня переубеждать, ловит все что лезет хоть откуда… Да и в основном те кто такую хрень ловил сидели на других антивирусах, только один умелец с KAV8 словил, и то из-за того что разрешил ругавшемуся касперскому установить подозрительное ПО…

  112. DenverD говорит:

    Ребята при чем тут время, вот если удалось временем зайти под винду дак в чем же у вас проблема, делайте как я описал выше особое внимание уделите строчке в реестре если не знаете как туда попасть то вот
    Пуск—>выполнить—>regedit
    И смотрите ту строчку что я вам показал
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    Там должно быть только C:\\WINDOWS\\system32\\userinit.exe при чем у всех одинаково
    И почитите папки темпа тоже описанно выше, да и вообще в этой ветке реестра указанно где сидит тот файл что вам нужен… Вот и мочите его нах…

  113. DenverD говорит:

    http://habrahabr.ru/blogs/i_am_clever/56923/
    Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей…
    Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
    Ну вот давайте дерзайте робяты все для вас…

  114. Сергей говорит:

    Время назад поменял в Биусе. Ранее писали, что если время поставить вперед то вирус сам себя убьет! Вопрос такой если в модификации как у меня (экран черный и пишет, что осталось 3 часа)если в биусе поменять время вперед вирус сам себя убьет?

  115. Дима говорит:

    Спасибо, братишки!!! Очень помогли!!!
    Эту гадость словил, ища фильм в инете… Не скачивал ничего, просто видимо загрузилась какая-то страничка, Symantec AntiVirus успел выдать сообщение и через секунд 5, пока я переваривал происходящее вылезла "WINDOWS заблокирован, ля-ля-ля… СМС…" и отсчет времени по убывающей (с 02.59.59). Отключил, вытащил батарею из компа (ноутбук)… С утра залез в инет со старого стационарного компа и нашел вас! biggrin
    Ноут запустился, отсчет времени был 00.00.00 (значит вытащенная батарея не помогла). После секундной этой черной заставки загрузился как обычно.
    С http://www.freedrweb.com скачал CureIt и проверил ноут. Нашел пару троянов и убил…
    После перезагрузки все было ОК (кажется wink ).
    Теперь проверяю по полной им же…
    Всем удачи! Спасибо!

  116. DenverD говорит:

    Сергей,
    Что ты волнуешься так тебе черный экран это только разновидность, одного и того же вируса и ведут они себя совершенно одинаково, ничем этот вирус не опасен а только создает проблемы читай выше что я писал и делай так же…

  117. Дима говорит:

    Да, Сереж!
    При выключении через кнопку "включения" (у ноута) На пару секунд появлялся мой (нормальный) рабочий стол, и все…

  118. DenverD говорит:

    Кстати для прикола этот вирь в последние несколько минут на форуме выложили, и говорят пойман на порно сайте просил скачать видео кодек для просмотра видео… Могу выложить для прикола людям… biggrin

  119. Сергей говорит:

    DenverD да я не волнуюсь вирус друг подцепил (он волнуется biggrin ) а я хочу потратить как можно меньше времени, что бы его восстановить и мне совсем не хочется тратить время на переустановку винды и диск загрузочный не хочу создавать все это время. Если бы сам подцепил другое дело!

  120. Дима говорит:

    А может Сереж твой друг подождет как я biggrin и само пройдет? А потом, когда включится нормально — убить вируса? Хотя не уверен…

  121. DenverD говорит:

    Сергей,
    Тогда повторюсь специально для тебя
    http://habrahabr.ru/blogs/i_am_clever/56923/
    Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей…
    Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
    строчку находишь
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре C:\\WINDOWS\\system32\\userinit.exe и проблем как ни бывало…
    При таком случае никаких переустановок и Live CD не требуется

  122. Сергей говорит:

    Дима! Я так и хочу сделать просто я ему сказал что бы он дату на день назад в биосе поменял вот я и выбираю по какому пути пойти. Попробовать как ты время вперед поставить или пойти по пути как предлагает DenverD. Просто друг боится что у него особая разновидность вируса (черный экран и время идет) вдруг все сотрет! Волнуется!

  123. DenverD говорит:

    Сергей,
    Пусть не волнуется ничего не сотрется, а чтоб не волноваться лучше по моему пути пойти, а то если вперед время переведет включит а там 0:00:00 вот тогда у него очко больше заиграет 8))))))) biggrin

  124. Лина говорит:

    У меня разновидность с чёрным экранчиком вчера образовалась.
    Со второго ноута зашла в инет, нашла эту ссылку.
    Прочитав всё, попробовала в биосе изменить дату на сутки вперёд. Загрузилось. Потом поменяла дату на сутки назад. Опять загрузилось. Вроде работает.

  125. Лина говорит:

    Дмитрий, Nod32 со свежими базами после манипуляций со временем ничего не нашёл.
    Попробую ещё вариант с реестрами и темпами, который предложил DenverD.

  126. Маша говорит:

    У меня на ноуте такая же хрень!Я не знеаю как с нею справится командной строки нет DOCа нет!!Не могу войти в систему чтобы установить Д.Веб, и удалить файлы.Геннератор не подходит!Помогите!

  127. DenverD говорит:

    А гениратор поможет только в том случае если окошко как тут вверху темы, а новый вирь где чисто черное окно с Белыми буквами нужно другими способами мочить, как к примеру я выше описывал…

  128. pro1ix говорит:

    Всем доброго время суток!!! У меня такая проблема: Вирус тоже просит послать смс, есть номер, есть текст смс, есть строка ввода кода активации,но идет время отсчет от 3х часов, после того как пройдет 3 часа заходит в винду и через некоторое время происходит все заного…! bloker'ов нету, эта программа для генерации кода не помогла (кста код начинается на "t", весь код не помню) и что самое страшное форматирование не помогло!!! Антивирусники ничего не находят — пробовал нод и др.вэб(базы новые)!!! Может ктонибудь мне поможет плз… wacko

  129. DenveD говорит:

    pro1ix,
    Вы ребят читать ваще не умеете чтоли… Читай выше что писал я и так и делай…

  130. Сергей говорит:

    DenverD, способ через shift может помочь не всегда на некоторых версиях виндос он просто не срабатывает или как у меня при нажатие на Печать "раздела" выскакивает следующая ошибка "Не удается изменить параметры настройки принтера. Проверьте их правильность с помощью панели управления. (160)"

  131. pro1ix говорит:

    sorry… спасибо огромное!!! И всетаки если я очищу все тэмпы и в ресторе удалю все кроме той строки, точно все заработает?

  132. DenveD говорит:

    Сергей,
    Это был альтернативный вариан, для тех у кого свойства принтера это позволяют, если он вообще имеется.
    Я же описывал еще один способ через любой LiveCD заходишь и чистишь TEMP папки, потом спокойно грузишься и чистишь ветку реестра
    pro1ix,
    Кроме какой строки и какого рестор ты имеешь ввиду, я вообще то про реестр говорил, и ничего удалять не надо надо просто эту строку поправить..

  133. Алина говорит:

    У меня такая фигня буквально минут 50-60 назад была…..Я и через Биос пыталась-фигня,перевод даты и время не помог!!!Мне просто надоело ждать и я просто переустановила Винду,и теперь все нормально работает biggrin

  134. Сергей говорит:

    DenveD У меня такой вопрос а ПУСК+R или ПУСК+E не помогает? вирусня тоже блокирует?

  135. Прокси говорит:

    была такая же хрень, только с таймером, тип через 3 часа комп взорвётся, перевел время в биосе на три часа, эта хренота исчезла happy

  136. Vendicator говорит:

    Юля: В принципе, ничего не должно произойти. Это вирус-вымогатель, а не вирус-разрушитель. По крайне мере, так говорят…

    DenverD: Вы не могли бы закачать его куда-нибудь и скинуть ссылку? Очень интересно посмотреть на этого зверя. И Вы абсолютно правы, Kaspersky один из лучших. Однако, по моим оценкам, на то, чтобы проверить всю систему у него уходит в два раза больше времени. Об NTFS Streams вообще молчу…

    Сергей: Лечение известное мне: изменить дату, загрузится и просканировать антивирусом (рекомендуют Dr.Web). И да, у моих знакомых был именно чёрный экран и перевод времени – помог. После загрузки и чистки Dr.Web, проблемы больше нет.

    Лина: Видимо это защита от поимки – он удаляет себя через определённое время. Что касается проверок, то ещё очень неплохо прогнать компьютер через Online-версию BitDefender: http://quickscan.bitdefender.com/

    Маша: войдите в BIOS, поменяйте дату на день вперёд.

    Алина: странно, что не помог. Либо это «прелесть» новой версии, либо, возможно, Вы что-то не так сделали.

  137. Vendicator говорит:

    DenveD: Благодарю. cool Кстати, NOD32 сразу определил как «Win32/TrojanDropper.Agent.NYM Trojan», из чего можно сделать вывод, что он «уже» лечится не только Dr.Web

  138. DenveD говорит:

    Vendicator,
    А касперский у меня этот вирус вообще без суда и следствия грохнул… Даже распаковать не успел… biggrin biggrin biggrin

  139. Denwin говорит:

    и всё таки генератор помог. правдо незнаю потом куда этот вирус делся но по кайне мере больше не всплывал. smile

  140. Сергей говорит:

    а у меня время прошло и комп опять заработал вроде пока нормально biggrin

  141. vlad говорит:

    появилась новая версия. файлов блокер.ехе и блокер.бин в новой версии нет…

  142. gsp говорит:

    Алексей, vlad, прежде чем писать в тему И ЧЕГО-ТО ДЕЛАТЬ прочитали бы СНАЧАЛА ШАПКУ, а потом ТЕМУ!

  143. vlad говорит:

    gsp, извиняюсь, просто где то неделю назад я лечился от именно этой версии и читал про вирус именно тут, тогда я просто с лайвсиди загрузился, удалил эти два файла, и проверил систему антивирусом. А сейчас снова тоже самое (но в новой оболочки).
    в общем вопрос: генератор кодов для всех версий подходит или только для этой?

  144. gsp говорит:

    vlad, просто уже в теме неоднократно писалось, что вирь модифицируется и блокеров не оставляет. Появляются другие файлы. Вобщем советую, отмотай пяток страниц и почитай — перестановка даты в бивасе рулит, потом антивирем темпы чисть, потом полный скан, реестр проверяй, вобщем все описано.

  145. Вячеслав говорит:

    Спасибо огромное. Рад, что есть хорошие люди на Земле. Спасибо за инфу.

  146. Xaero говорит:

    У нас тут такая же беда! только экран черный и часы тикают отчитывают 3 часа, код просят прислать начинающийся на букву t поэтому генератор не помогает, проверил drweb и avast не помогают, время в биосе отматывал ноль емоций только таймер заново начинается, подцепил hdd к другому компу поискал blocker нету таких файлов! ЧТО ДЕЛАТЬ???

  147. Алексей говорит:

    Подскажите, как установить сервис пак 4 на винду?
    Заранее спасибо.

  148. Дмитрий говорит:

    Xaero, время наоборот нужно вперед перевести. Затем удалить всё из папок, указанных в посте и проверить ветку в реестре, которая указана в первом комментарии.

    Алексей, неужели тут трудности могут быть? скачиваете файл, запускаете, он сам всё сделает. biggrin

  149. Верочек говорит:

    Я тож поймала вчера эту фигнюху…блиннн…поменяла время на компе и зашла нормуль в комп…тока вот Nod32 терь совсем не работает biggrin …вот зараза какая это)) ниче прорвемся, вылечим

  150. Евгений. говорит:

    Не знаю, может так совпало случайно… Но я как раз собирался систему переустанавливать, всё попереносил с диска C на D, давно тянул с переустановкой, а тут раз — и фигня такая вылезает. Чёрный экран и часики тикают. Причём когда этот бред вылез, сидел только на сайте vkontakte.ru, так что есть подозрение, что именно с него этот вирусняк попёр. В моём случае проблема решилась переустановкой винды.. Отформатировал винт и поставил систему заново (думаю, для многих — не решение). Так что для меня пока только вывод — не хранить на C ничего такого, что бы нельзя было удалить.

  151. Xaero говорит:

    Дмитрий, я и так пробовал переводить вперед и на день и на 20 лет, не помогло а в указаной папке нет файлов только папки программ

  152. жертва говорит:

    у меня просто файл был в виде джава скрипта blocker.js удалил его и все норм щас )))

  153. Никита говорит:

    А-а-а, люди помогите! sad Видимо мне попалась новая версия этого вируса — экран черный, но центральная часть с текстом о том что необходимо активировать виндоус красная, время не тикает… ни генератор, ни переустановка времени в Биосе не помогает… что делать? Винду переустанавливать не реально, копм офисный, куча проблем с наладкой сетей и сетевых программ в последствии…Помогите!!!

  154. АНтон говорит:

    бесполезно… вирус модифицировали. теперь красное окошко на черном фоне. Загрузился с лайв сиди, прошел последним куреитом, расшарил диск С, с соседнего компа просканил последним каспом весь "С", регедит не работает, в мсконфиг ничего подозрительного. файликов вышеописанных нету. ЖЕСТЬ! уже мучаюсь 2 часа. Комп включенный с самого утра… никакого таймера внизу нет.

  155. dmc говорит:

    попробовал все что можно!!!
    ни колюч не проходит, через без режим не работает, только без режим с командной строкой, но файлы эти нельзя найти ни блокер ини ни блокер ехе!!!
    что делать то?

  156. Doberman говорит:

    Сталкнулся с такой проблемой сегодня biggrin
    Сначала невкурил, затем начал искать ЛайфСД DR.web ненашёл поматерился 10 минут wacko затем случайно наткнулся на такую штуку
    Действия:
    При загрузке системы в тот момент когда запускаются приложения автозапуска выскакивает Эта ХЕРНЯ Мгновенно нажимаешь на кнопку на системнике выключить компьютер, но не держать её а нажть разок и всё… =)
    Эта херня думает что комп выключается и исчезает, но комп не выключается на все закрытия приложений и сервисов жмёте отмену
    А затем все просто =)
    Идём сюда C:\Documents and Settings\All Users\Application Data и ищем либо указанные выше файлы т.е. Blokerы либо этот
    LauncherAccess.dt он весит 0 Кb и убиваем его НАХ !!!
    Ну потом стандартная процедура, проверка на вирусы и т.д.
    Да кстате если файл не удалить Касперский при проверке не видит его как вирус smile Другие способы не пробовал, так что дерзайте !!! tongue booze

  157. pro1ix говорит:

    Походу дела у этого вуруса много дырок!!! Я еще впалил такую систему:(я насчет вида где чегный экран, белые буквы и время идет!) включил комп, пошло время, просто дождался пока оно пройдет не выключая комп! винда загрузилась и больше не повторяется эта хрень, вот уже как сутки прошли пока все норм…:)

  158. pro1ix говорит:

    А раньше когда выключал проходило 3 часа заходил в винду но через некоторое время опять все повторялось! мне даже форматирование не помогло!

  159. 1 говорит:

    userinit системный файл, при его удалении система не будет работать! Он отвечает за вход в пользователя, нет файла userinit.exe нет и пользователя…

  160. Doberman говорит:

    Совесем забыл
    проделайте это:
    regedit (Редактор реестра)
    Там найдите вот Это:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Winlogon измените значение параметра "Userinit" с
    "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPL
    IC~1\\blocker.exe" (может быть немного другое значение на конце например как у меня don5D.tmp) все удалите оставьте только "C:\\WINDOWS\\system32\\userinit.exe"

    в поиске набрал этот файл don5D.tmp значения в инете не нашёл, выдал 2 файла с таким началом убил их и спокойно перегрузился
    Всё прошло cake

  161. fim75 говорит:

    у меня такая беда то же была,но только после установки программы "Ускоритель TCP/IP",там содержался такой файл " booster demo.exe",вылечил так же life CD и поиском файлов boosrer?gjckt удаления всех с таким названием комп запустился нормально.

  162. Sterh говорит:

    У меня на домаш пок ничего небыло,
    а в офисе вылетела эта хр.и хз.
    я забил и домой пошол, на утро как и небыло!
    wacko

  163. roman говорит:

    Тока сеня поймал вирус,черный экран,красная рамка,че удалить я понял, а как войти в комп,если оно сразу выскакивает?

  164. Виталий говорит:

    Помогите пожалуйста!
    пришел сегодня к соседу. Рассказывает аналогичную историю.
    только теперь комп не загружается.
    В биосе время менял вперед — не работает.
    В безопасном режиме грузится до момента черного экрана и надписей на нем Безопасный режим — но дальше ничего. ни иконок, ни реакции на клавиатуру, ни даже Ctrl+Alt+Del

    Есть предложения? cry

    Сейчас качаю Лайв СД — завтра наведаюсь к соседям — попробую еще таким методом.

  165. Виталий говорит:

    Помогите плиз!

    (прочитал весь форум)

    Сегодня пришел к соседу — аналогичная история.

    Только немного видоизменена:
    комп теперь загружается в любом режиме до ПОЛНОСТЬЮ ЧЕРНОГО ЭКРАНА — без каких-либо иконок на нем. и не реагирует на клавиатуру даже на Ctrl+Alt+Del (вообщем я бы сказал "не загружается" — хотя даже в Безопасном режиме я вижу надписи по бокам сверху и снизу "Безопасный режим"
    перевод времени вперед — не привел к желаемому результату.
    сейчас качаю лайв сд и завтра попробую им.
    есть какие либо комментарии по моему случаю?
    Заранее благодарю

  166. SMM говорит:

    толкнулся с такой же проблемой, решение таково:
    >жмем "Windows" + "U", вылезает "Диспетчер служебных программ",
    >>нажимаем кнопку "справка", вылезает окно справки,
    >>>в "параметрах" выбираем пункт "параметры интернета", вылезают "свойства обозревателя",
    >>>>в разделе "временные файлы Интернета" жмем кнопку "параметры",
    >>>>>и наконец-то жмем кнопку "просмотр файлов или объектов"
    >>>>>>открывается проводник, что дает возможность запустить "Диспетчер задач Windows" и завершить процесс вируса и удалить вышеуказанные файлы.

    все манипуляции сводятся к запуску "Диспетчера задач Windows"
    быстро и не сложно cool

  167. new говорит:

    SMM, только у меня диспетчер задач не запускается
    обновленная версия??
    и как теперь быть)

  168. Portugalec говорит:

    DenverD

    Тогда повторюсь специально для тебя
    http://habrahabr.ru/blogs/i_am_clever/56923/
    Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей…
    Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
    строчку находишь
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре C:\\WINDOWS\\system32\\userinit.exe и проблем как ни бывало…
    При таком случае никаких переустановок и Live CD не требуется

    Не открывается regedt32.exe (((((( cry

  169. Дмитрий говорит:

    Portugalec, возможно вирус стал блокировать запуск regedit.
    Если уже совсем пипец и ничего не помогает я бы попробовал так:
    Скачать на другом компе CureIt и LiveCD
    Попробовать загрузиться как писал SMM. Добраться до проводника и запустить CureIt. Возможно он снесёт процесс вируса и тогда можно будет спокойно вылечиться.
    Если б не помогло — попробовал бы загрузиться с LiveCD, еще раз просканировать системный диск, снести всё в Темпах, а так же перенести нужные файлы на другой раздел/флешку (там файловый менеджер на Far похож :)) Еще раз перезагрузиться — если не спасло — диск с виндой в привод — и формат ц:\
    А после установки — ко мне на сайт — качать пресп4 и ставить антивирус+браузер(оперу или ФФ)

  170. Павел говорит:

    Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше biggrin

    у мну немного другое написало. номер отправки смс тот же, а текст смс(внимание) :k2591620000 при перезагрузке иногда показывал :k2590620000 и др варианты тоже
    я бы фотку скинул экрана, но на ночь глядя не охото заморачиваться. blocker.bin и blocker.exe не обнаружил в компе. пришлось сносить винду, но этот вирь не пускал, то харда не видать, то рестарт каждые 3 минуты.
    короч, еси кому будет интреслинт — то пишите мну.
    всем удачи и будьте осторожны

  171. Vendicator говорит:

    Есть предположение, что вирус распространяется по сети Vkontakte.ru. Делать выводы о том, почему, я, пожалуй, не буду. Скажу только, что сам по себе он довольно простой. Та версия, которую мне любезно предоставил DenveD, даже не зашифрована.

    Вот небольшое решение, что называется quick & dirty. Программа ждёт пока Вы не нажмёте F11, что Вы и делайте, как увидите присловутый экран.

    http://webfile.ru/3432856
    http://rapidshare.com/files/224214267/Vendicator.zip.html
    http://letitbit.net/download/2303fa43f0/Vendicator.zip.html
    http://www.megaupload.com/?d=PS7ZRTFM

    Принцип работы: по нажатию на клавишу F11, программа определяет верхнее (или переднее) окно, которое в данном случае должно принадлежать вирусу, а затем убивает процесс, который его породил.
    Примечания: я не тестировал её на самом вирусе, гарантий не даю, теоретически должно сработать.

  172. Vendicator говорит:

    P.S. Это для тех, у кого вирус возникал более 1-го раза, кому лень скачивать livecd или тех, кто сможет её запустить (либо если у Вас включён AutoRun, либо если Вы можете сбросить её по сети на инфицированный компьютер и запустить).

    Кстати, насколько я знаю, доступ к сети он не отрубает, т.е. если у Вас стоит что-то вроде VNC, это ещё один путь к спасению…

  173. DenverD говорит:

    Vendicator,
    Ага я бы для такого случая действительно VNC или TeamViewer поставил, надо бы попробовать спасибо за интерестное предложение… Будет случай проверю на работе…

    Что касается, самого вируса, не надо писать мол у меня ни так и никак не получается, человек что его "СОЗДАЛ" сидит и этот же форум читает… biggrin Поэтому ему раз плюнуть его модернизировать, и все таки самый лучший способ считаю через LiveCD загружаться чистить в первую очередь все TEMPы и вообщем все что не нужное и подозрительное, кстати удалять ничего не нужно если есть сомнения, достаточно просто переместить в другое место… Ну а уж после удачной загрузки Windows просто отредактировать реестр, это кстати единственное неизменное место которое никогда не переместится. А файлы исполняемые можно хоть как обозвать и хоть куда поместить, так что не пишите у меня так называется а у вас вот так, дак и что мне удалять…

  174. Maxiros говорит:

    сегодня уже черный фон посередине коасный квадрат и та же инструкция номер 3649 а текст K2590621000

  175. Maxiros говорит:

    все пересмотрел уже ни хрена не понятно ни чего не помогает всю ночь просидел и ничего

  176. Maxiros говорит:

    ну у меня правда вообще весело был доступ разбит еа двух пользователей, и с одного заходишь без проблем а второй заблокирован этим зверем

  177. DenverD говорит:

    Maxiros,
    Дак и в чем же проблема тогда, заходи под одним и чисти ветку реестра…

  178. DenverD говорит:

    Maxiros,
    И раз у тебя 2 пользователя то надо у обоих пользователей чистить TEMP
    c:\Documents and Settings\"первый пользователь"\Local Settings\Temp\
    c:\Documents and Settings\"первый пользователь"\Local Settings\Temporary Internet Files\
    и
    c:\Documents and Settings\"второй пользователь"\Local Settings\Temp\
    c:\Documents and Settings\"второй пользователь"\Local Settings\Temporary Internet Files\
    Думаю что поможет…
    Как раз в том то и разница, почему с одного грузится а со второго нет потому что один только словил…

  179. Vendicator говорит:

    DenverD: Пожалуйста. smile Кстати, на счёт реестра, существует огромное количество мест, куда можно спрятать П/О в реестре, чтобы оно само запускалось с системой. Ещё больше, если время запуска не принципиально…

    Не хочу нагонять на людей панику, но покуда выходят новые версии, высока вероятность эпидемии…

    Остаётся только пассивная помощь и превентивные меры. Может не всем подойдёт, но стоит попробовать:

    Поставьте себе защиту от записи, на раздел, на котором стоит Windows. Например SteadyState от Microsoft ( http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx ). При правильной настройкой, Вы сэкономите себе кучу нервов.

    Если есть такая возможность, запускайте скаченное П/О в эмуляторе. Например VirtualBOX ( http://www.virtualbox.org/ ) от Sun. Поставьте в нём «голую» Windows с антивирусом, и изначально запускайте всё скаченное там.

    Да, ещё, если он инфицирует пока только одного из пользователей (активного), то, может, имеет смысл просто создать второго? Так, на случай…

  180. Portugalec говорит:

    Добрался до возможности хоть как-то работать с буком с помощью совета Dobermanна 20 странице. Спасибо ОГРОМНОЕ !!!
    Дальше скачал и запустил Curelt (Dr.Web). Обнаружено 5(!) Троянов и ещё два каких-то вирусняка.
    Закрадываются смутные подозрения, что эту байду сами WebОВЦЫ и создали (кризис, конкуренция, всё такое). Выводы делаю исходя из того, что стоило мне только скачать на бук продукт Dr.Web (даже не запуская ещё его), бук перезагрузился в своём нормальном режиме (без чёрного экрана с красным квадратом). А уже потом я запустил паучка, который нашёл троянов… Вот так.

    p.s. есть ихорошие новости… за весь вчерашний вечер, пол-ночи и утро, я стал настоящим специалистом в компьютере и в частности проблемы "Заблокирован Windows". Так что всем друзьям, кто обратится помогу без проблем ))) И всё это благодаря ВАМ ДРУЗЬЯ !!!

  181. DenverD говорит:

    Vendicator,
    Спятать то можно, но чтоб в самом самом начале грузилось это только в лого впихивать иначе будут доступны многие функции винды для нейтрализации…Не зря же вредитель в лого сунулся, просто знает что оно в самом начале грузится, а к лого только одна строчка в реестре относится…

  182. alfaFenix говорит:

    Коммент № 204 написал SMM
    толкнулся с такой же проблемой, решение таково:
    >жмем "Windows" + "U", вылезает "Диспетчер служебных программ",
    >>нажимаем кнопку "справка", вылезает окно справки,
    >>>в "параметрах" выбираем пункт "параметры интернета", вылезают "свойства обозревателя",
    >>>>в разделе "временные файлы Интернета" жмем кнопку "параметры",
    >>>>>и наконец-то жмем кнопку "просмотр файлов или объектов"
    >>>>>>открывается проводник, что дает возможность запустить "Диспетчер задач Windows" и завершить процесс вируса и удалить вышеуказанные файлы.

    все манипуляции сводятся к запуску "Диспетчера задач Windows"
    быстро и не сложно

    Спасибо!!! Выручил, боролся с проблемой 6 часов и только после твоего комента победил!

  183. Дмитрий говорит:

    Vendicator, а еще самая главная защита — стать умнее самому! Запомнить что ускорителей интернета не бывает! Что не бывает программ-генераторов карт пополнения для сотовых операторов и прочей подобной лабуды.
    Судя по тому, что за 12 дней этот пост просмотрели более 24000раз! можно говорить об эпидемии вируса.
    Еще раз повторюсь — ставьте последние обновления и лицензионный антивирус!
    И еще решение — для сёрфинга в интернете пользуйтесь учетной записью гостя или пользователя с пониженными правами.

  184. bu2 говорит:

    Автору большое спасибо. Сейчас с вашей помощью по телефону разблокировал компьютер, благо незараженный компьютер с интернетом был рядом. smile

  185. Vendicator говорит:

    DenverD: Можно инсталлировать его в качестве драйвера, убить систему восстановления, зашифровать файловую систему (не забыв выставить пароли на всех пользователей), отключить сеть, частично заблокировать клавиатуру, и т.д. и т.п.

    Впрочем, я думаю, до этого не дойдёт. СМС-вымогательство не стоит таких усилий…

    Дмитрий: Хорошие советы. 2,400 — это мало.

    И я повторюсь: Firefox безопаснее Internet Explorer. Скачивайте П/О только с сайтов производителей или из более-менее проверенных архивов. При сомнениях, проверьте файл на одном из сайтов: http://www.virustotal.com , http://virusscan.jotti.org , http://quickscan.bitdefender.com .

  186. Пострадавший говорит:

    Версия с красным экраном
    LiveCD от доктора веба не нашел
    Были очищены все временные папки, после этого комп загрузился
    в реестре
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    Userinit ссылался на
    c:\document\user\loacalsettings\temp\don72.tmp
    видимо его удаление запустило систему
    ВЫВОД для красной версии чистим временные папки

  187. DenverD говорит:

    Пострадавший,
    Ну вот и я о том же, и вообще в хозяйстве всегда надо иметь LiveCD, лично у меня их штук 5, но самые часто используемый iNFR@ CD 5.5 (для слабых ПК) или iNFR@ CD 6.4. (для более новых), и конечно же надо всему учиться учиться и учиться… Тогда и проблем меньше будет возникать и денег меньше тратиться…

  188. Вадик Нестеров говорит:

    Молодцы! У меня был черный экран с белым текстом. Помог перевод времени вперед в БИОСЕ (после этого ЕсЕТ СМАРТ СЕкьюрити 4 не стал запускаться, писал — ошибка при обращении к ядру или что-то такое). После этого восстановление системы с точки восстановления месячной давности, до этого еще увидел в диспетчере задач в процессах подозрительный файл и удалил его (назывался z.exe, у меня имя пользователя z). Затем удалил/поставил Смарт Секьюрити 4 с последними базами, ничего не нашел!!! Было все 3 дня назад, до сих пор работает нормально. Еще после перевода времени в БИОСе ни открывался ни один текстовый файл, писал что нет доступа, сейчас все в норме!! biggrin

  189. Danich говорит:

    Я эту блокировку снял через подпор ключа на сайте докторвеба, но файлов таких не нашол, и плюс ко всему, антивирь не запускаеться, и реестр тоже, и откат системы не работает.. вопсчем последствия никак убрать не могу(( мож кто подскажет?

  190. Саня говорит:


    старая какашка в новой о6олочке?

    зашол через др ос ненашол никаких blocker.bin и blocker.exe

    помог только геренатор .

  191. kolobam говорит:

    Поборол вирус "с красным экраном" (как описано у вас -чистка директорий …\temp + правка ветви реестра HKLM\…\userinit + CureIt от DrWeb, подключив диск на другой машине ). Все вроде бы хорошо,но Windows грузится "криво" — нет toolbar'а (внизу экрана), нельзя запустить explorer.exe, т.е. нет автозагрузки,главного меню, … и тд. Хотя все программы могут быть найдены и запущены(использую Диспетчер задач->Новая задача->TotalCommander). Как (быстро) реанимировать Windows? LiveCD, к сожалению, не сделал,

  192. Горец говорит:

    Я подловил такую фигню. Бился целый час. Не нашел ни одной дыры. Некогда было разбираться ушел на работу. Рассказал о своей проблеме друзьям. Готовился во все оружия хотел восстановить образ. Но каким то странным образом эта штука исзчезла САМА СОБОЙ. включил клмп все работало. ЧТО ЭТО!!!!!

  193. gsp говорит:

    kolobam, посмотри мой пост на 8-й странице от 16.04.09 03:15, проверь у себя всЁ, что я там написал…Только смотри, не грохни services.exe, который находится C:\WINDOWS\system32.

  194. Михаил говорит:

    У меня похожий вирус только окошко не виндусовское, а красное. К тожу же я через LifeCD смотрел C:\Documents and Settings\All Users\Application Data там не было bloker.bin и bloker.exe Что делать? cry cry

  195. Дмитрий говорит:

    kolobam, Пуск->Выполнить-> sfc.exe /scannow.
    Эта команда выполнит проверку системных фалов. Будьте готовы вставить установочный диск с виндой. для пущей верности удалите папку system32\dllcache и запустите команду выше.

  196. piraruku говорит:

    Сегодня боролся с такой штукой на висте. Черный экран, отсчет времени 3 часа. Файлов blocker.bin и blocker.exe нет. Перестановка времени вперед в bios результата не дает, кейген не помогает. Диспетчер задач запускается! Поправил в реестре HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon как описано выше — параметр Userinit имел такой вид: C:\Windows\system32\userinit.exe,\C:\users\%user%\Appdata\local\Temp\nod9130.tmp. Убрал ссылку на левый файл, перезагрузился, винда заработала, поставил nod32-4, просканировал, он назвал заразу "модифицированный win32/ransom.F троян" — два файла nod9130.tmp и nod912F.tmp, оба в вышеупомянутой папке temp.

  197. Vlad говорит:

    весь день провозился с этой бедой. пошел по пути описанному здесь http://habrahabr.ru/blogs/i_am_clever/56923/. удалось запустить NOD32, который после нескольки секунд прекращал работу и все гасло, запускал заново. вирус находил в винде в папке TEMP и никак не удалялся и каждый раз генерился новый. конечном счете вырезал эту папку из винды, перенес ее просто на диск С, а оттуда его удалил. потом при перезагрузки компа папка TEMP была создана автоматом. все работает ОК!

  198. staz говорит:

    пасибо!
    загрузися с LiveCD(какая то мега сборка), проверил касперским 2009,
    выцарапал кучу г…, но нефига не залечилось.
    я уж крест на винде поставил…
    теперь буду знать, еще раз огромное спасибо!

  199. Харли Квинн говорит:

    большое спасибо.. помогло, а то отцовский комп рабочий подхватил, я вот мучалась)

  200. Антон говорит:

    а у меня таких файликов нет!сначала у меня была надпись на черном окне.убрал.теперь на крассном!!!есть варианты лечения
    P.S. генератор не помагает

  201. Джуд Лоу говорит:

    У меня была разновидность с красным сообщением на черном фоне.
    я сделал все как было написано на 20 странице Dоberman
    и вечером у меня все загрузилось нормально, я успокоился, а с утра на рабочем столе исчезли значки и не работает справка в экранной лупе, а диспетчер задач работает.
    Ни у кого такого не было? Подскажите что с этим делать.
    В диспетчере нет процесса "explorer.exe", мне кажется, не работает изза этого. Как его запустить?

  202. Tars говорит:

    Загрузился с liveCD, указанные файлы не нашел… запустил скан — всю ночь работал и продолжает до сих пор. Что делать, когда скан закончится? можно перезагружаться и типа будет все ОК?

  203. Дмитрий говорит:

    Tars, антивирус покажет найденные выирусы. удалите их! Вручную очистите временные папки и перезагружайтесь

  204. Миха говорит:

    Люди помогите пишет такуюже ошибку и в вожу код который вылажен на сайте и всеравно пишит неправильный пароль

  205. Des говорит:

    Черт, сосед нахватался где то…
    "номер sms 3649 код K2670620000"
    Ща через часик пойду мучить, может оживлю. Пиво уже заготовленно smile

  206. Димонн говорит:

    да уж все намучились с етим гадом— я втройне. Убил сначало черное окошко с белой надписью в папке темр, перезагрузил вылезло черное окошко с красной надписью— убил в папке систем 32, потом появилося белое окошко, вс с той же просьбой отправить смс—— не могу ни че найти!!!!!!

  207. Говен говорит:

    Имена файлов поменялись, видимо. Проверяю с помощью AVZ. Когда вылез экран этот с СМС я нажал на аккорд, в вылезшем окне "Безопасность Винды" на завершение работы->перезагрузка. Рабочий стол стал доступен, вылезло сообщение о завершении работы какой-то там проги. На нём нажал крестик. Теперь всё доступно. Проверяюсь biggrin
    З.Ы. Йа перехетрил его! tongue

  208. flash_2006 говорит:

    Спасибо только столкнулся! С вашей помощью и секунды хватило!!!!

  209. flash_2006 говорит:

    [color=red]Помогите с этими файлами не могу их найти я использовал генератор, а файлы не удалил-не хотелось бы встрять ещё! помогите

  210. Vovs говорит:

    Имена могут быть разные. На том компе, который я пролечил вчера были donda.tmp и donda.bin в папке C:\users\%user%\Appdata\local\Temp\
    Точное имя можно увидеть в реджистри по HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon -> Userinit (то, что дописано после userinit.exe)

    ЗЫ Пришлось всё делать руками, _свежие лицензионные_ DrWeb и McAffee их не нашли sad

  211. Джуд Лоу говорит:

    гениально будет сделать его на сайте, где обсуждают как с ним бороться)..ой, че это я)..

  212. Владимир говорит:

    Помогите! У меня эта хрень на красном фоне!!!!!!
    Файлов вышеозначенных НЕТ (не скрытых не системных) Что делать, через 2 часа ничего не изменилось!

  213. LiNED говорит:

    У одного из моих знакомых такая же зараза, у меня был лайв CD, но он не смог загрузить ни саму утиливу веба, ни какойнить файл менеджер ( хатя диск у меня старый уже. Судя по тому что он писал в консольке он определил жеские диски как L и R а не C и D, и писал, что диск R не готов к записи…

  214. Виктор говорит:

    Здрасте. Сегодня скачивал винамп6 и похоже ОН был там. На гугле набрал свою проблему, открылся генератор кода, ввел что надо было отсылать на смс, получил код. Все запустилось. Остатки пытался найти там где пишете, нету, проверил антивирусом, нету. Вопрос он мог сам удалиться или он гдето сидит? Спасибо.

  215. kolobam говорит:

    (to Александр) У меня,похоже, именно этот случай. Пролечил (чистка \temp + СureIt(DrWeb+ … + …) .Осталась проблема —
    Windows загружается до чистого рабочего стола (без ярлыков); explorer.exe не загружается ни в каком виде, а так же ControlPanel и (наверно) некоторые другие программы Windows, составляющие "ядро". Восстановление системы до предыдущей даты(-20 дн.) не помогло, обновление с дистрибутива затыкается сразу же -"не полностью/c ошибками установлен" InternetExplorer. Главное, думается, запустить ехplorer.exe. Как…?

  216. VasSursk говорит:

    Всем привет знакомые сталкнулись с этой траблой Красная табл. на черном фоне помог генератор от ДРВеба, но появилась др трабла учетные записи не входят не в каком режиме сразу едет завершение и сохранение и выводит окно выбора пользователей
    вот еще не пробывал Лайв СД но попробую завтра кстати на работе походу у шефа и его Секретутки тоже появилась такая хрень

  217. Akril91 говорит:

    Еще один верный способ — пользовался им несколько раз.
    При загрузке Windows сразу же после появления рабочего стола до появления квадрата быстро(!!!) вызываем диспетчер задач и отключаем процесс userinit.exe. Затем быстро удаляем из Application Data blocker.exe или другую гадость.=))))

  218. Тим говорит:

    У меня такая же проблема, я не знаю как разблокировать Windows все, что здесь написано испробовал ничего не помогает. Пожалуйста помогите!!! cry

  219. Димонн говорит:

    ПоявилсЯ белый экран и по всему экрану написано много всякой херни, что отправив смс- мы пролечем ваш WINDOWS, ДО ЭТОГО УБИЛ 2 ВИРУСА- просто нашел и удалил. с Этим спаравиться не иогу— подскажите!!! Сделал диск dr web live— запустил нажал кнопку старт- он секунд 20 чето написал и все! Подскажите как он работает!!!

  220. samolet говорит:

    Вылечил комп друга следеющим образом
    1.Сначало открыл проводник и пуск следующим образом
    http://habrahabr.ru/blogs/i_am_clever/56923/
    2.Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
    Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»
    В нашем случае вирь дописал в конце данной строчки свой запуск.
    3.Запоминаем,где лежит этот файл(у друга лежал в папке user/local settings/temp),загружаемся с Livecd и удалаем его.Т.к. в папке темп нет ничего полезного,я удалил из нее все:)

  221. Димонн говорит:

    Ребят напишите Поподробнее как открыть regedit и где его искать и как найти HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
    я просто с этим ни раз не сталкивался объясните на пальцах плиз

  222. Tars говорит:

    в общем, файлы не нашел, скан ничего не дал, поэтому я просто поставил предыдущий снэпшот реестра и запустил комп. прошелся антивирем, комп начал стагнировать и умирать. решено переставить винду. такой вопрос: из-под ливСД можно форматнуть диск С и запустить сетуп установки винды, дистриб которой лежит на диске Д?

  223. Димонн говорит:

    Да кстати какой антивирус или прога защищает от таких Вирусов??? cry Что надо сделать что б не подцепить етот "трипер" снова??

  224. Тим говорит:

    Помогите пожалуйста, у меня такаяже история я не знал что делать и случайно удалил userinit и теперь даже через гостя не могу зайти. ЧТО МНЕ ДЕЛАТЬ ПОМОГИТЕ! sad

  225. Андрей говорит:

    бл* пизд*ц я из за этой херни переустановил винду, снес все, теперь быду знать что через 2 часа она сама удаляется, не торопитесь перестанавливать ОС!!!!!!!!! angry

  226. ПРИМАТ говорит:

    генератор работает!!! все прокатило на ура…
    пасиба браццы , выпью дикалона за ваше здаровье!!!

  227. POLINA говорит:

    Ребята, не в коем случае, не отправляйте эту долбанную смс-ку! Я, как дама, далекая от возможностей бороться с вирусами, перепробовала все, подняла всех мужчин на уши! В конце-концов, я , от безделия, отправила смс: с меня сняли 200 рублей, а за этим последовала ссылка на сайт и телефон 8 800 500 и т.д.! А вот в следствии чего, я так и не поняла, на порнушном сайте не сижу…Подскажите, чего остерегаться?

  228. Alex.sys говорит:

    Ребят, может эта инфа устарела но эта сволочь теперь сидит в local settings/Temp и называется don41 и don41.tmp

  229. Blood Dragon говорит:

    Существует ещё одна вариация
    C:\Documents and Settings\Ваш пользователь\Local Settings\Temp\
    файлы don31.bin (1кб) и don31.TMP (133кб)

    Нашёл это по записи реестра которую кинул Дмитрий

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  230. Dima говорит:

    Fail "blocker" ne nashel, vospolzovalsya generatorom! Pomoglo! Spasibo! Avtora virusa hochetsya stuknut mordoy ob stol!

  231. Артём говорит:

    А у меня всё тоже самое только всё на чёрнов фоне и ещё дается время- 3 часа для разблокировки и этих файлов у меня по дирректории там нету что делать!!!!!!!!!!Комп через каждый час работы вот такую фигню выдаёт!

  232. Настёна говорит:

    не знаю что делать..у подруги такая же фигня твориться…пыталась перезагрузить или через безопасное режимы НИФИГА!!!!!!требуют на номер 3649 отправить текст к2592621008…..помогите плиз….подруга через 2 дня диплом сдавать…а инфа вся на компе!!! cry

  233. Денис говорит:

    Прошел по ссылке на генератор кодов, оттуда ввел код в окно — система открылась, но вот файлов вируса найти так и не смог. Подскажите, как войти в реестр, чтобы исправить там? За помощь спасибо!

  234. alexship говорит:

    столкнулся с этой заразой.
    этот троян при появлении пробивает защиту nod32 и KAV 2009
    обязательно полностью проверяйте весь компьютер
    в Tempory Internet Files , Temp могут оставаться "хвосты"

  235. Оля говорит:

    Помогите. Неделю назат появилась эта проблема. Пока у друзей сидела искала, что делать все исчезло и заработала. Сегодня опять то же самое, но ссылки не работают кто может зайдите сгенерируйте код. текст сообщения k2780620002

  236. гена говорит:

    Блин никак от этой фигни не могу избавиться,подскажите что дела.((((((((Эта хрень уже 2 день(((((((((

  237. Евгений говорит:

    На Webe генератор выдал на код CMC k2780620002 — Попробуйте код 9399534
    Может кому поможет
    Блин вымогалово однако eek

  238. Олег говорит:

    Здравствуйте! Если халявщики решили с вас поиметь таким образом, самое действенное средство — Live CD, я пользую Alkid, зайти через ERD Commander в редактор реестра, путь указан в 1ом коменте. Всё, что написанно после userinit.exe и запятой и есть путь к вашему вирю, он может быть разным, его нужно запомнить и тупо удалить, оставить "C:\WINDOWS\Sistem32\userinit.exe,", затем используя запомненный или записанный путь убить виря. Е сли наофтопил, прошу не ругать, читал только первую страницу коментов. Удачи!

  239. Оксана говорит:

    Помогите пожалуйста!!!! Поймала эту заразу 2 недели назад. Причём пока искала человека, который поможет, эта зараза прошла сама собой. счастью не было предела, но компьютер стал очень медленно загружается и плохо работать. посоветуйте, что сделать!?

  240. Олег говорит:

    RE: Прошел по ссылке на генератор кодов, оттуда ввел код в окно — система открылась, но вот файлов вируса найти так и не смог. Подскажите, как войти в реестр, чтобы исправить там? За помощь спасибо!
    Набери в командной строке regedit и запусти редактор откроется, дальнейшее описанно выше. Удачи!

  241. de3^!L говорит:

    ПРОБЛЕМА ТАКАЯ- Windows заблокирован Для разблокировки отправьте смс k2590621006 на номер 3649. КАК БЫТЬ???

  242. Олег говорит:

    Выше описанно всё самым подробнейшим образом и на несколько раз, если прочитать внимательней, вопросы отпадут сами собой. Это гадость распростроняется авторанчиками. Чтобы в какой-то мере избежать этого, не плохо было бы в качестве профилактики отключить функцию автозапуска в винде. Делается это следующим образом: выполните в командной строке команду gpedit.msc, откройте "Административные шаблоны" и выберите "Система", затем "Отключение автозапуска", в открывшемся окне поставте "включён" и "на всех дисках". Не 100%, но действенно. Рад буду, если кому-то поможет. Удачи!

  243. Дмитрий говорит:

    Благодарю за помощь.Отправлять смс смысла нет денег не хватило.Воспользовался Dr WEb

  244. Олег говорит:

    RE: Всем привет знакомые сталкнулись с этой траблой Красная табл. на черном фоне помог генератор от ДРВеба, но появилась др трабла учетные записи не входят не в каком режиме сразу едет завершение и сохранение и выводит окно выбора пользователей
    вот еще не пробывал Лайв СД но попробую завтра кстати на работе походу у шефа и его Секретутки тоже появилась такая хрень.

    Похоже это другой вирь, NTDRL.EXE, маскируется под системный файл ntdrl, Файл важный, отвечает за загрузку винды, главное не перепутать, оба сидят в корне на системном диске, на настоящем нет расширения. Лечится также, как и вышеописанный, т.е. правится запись реестра userinit и удаляется ручками. Удачи!

  245. Ник говорит:

    Победил…через проводник и пуск нашел где сидит, потом просто через восстановление системы откатил её на одну контрольную точку назад…все ок! В папке ТЕМP поубивал все…do1D.tmp

  246. tsvetok говорит:

    работаю оператором, спасибо за разьеснения проблемы))) в работе памогло. если интересно то смс вы отпарвляете на контент провайдер А1 стоимость смс без ндс 150р, с ндс 177))))

  247. landcruiser говорит:

    Почему-то после прочтенки всех сообщений в этой ветке и приняв участие в лечении компа моего друга, пришел к выводу, что Dr.Web нашел новый способ как заколпачивать бабки, а именно: сам придумал, сам написал, сам разослал, сам вылечил. Вот только вау эффектом много не заработаешь, а я как юзал NOD32, так и продолжать буду :-)

  248. eosnw говорит:

    Если возражений нет, я кину ссылочку на свой сайт. А НОД действительно эту дрянь не видит

  249. Андрей_ говорит:

    Появился новый вид блокиратора, с красным экраном. Все выше перечисленное не помогает. Ни каспер ни DR Web пока ни предлогают решение этой проблемы.

  250. Олег говорит:

    Да всё помогает… Вчера убил этого красного на дочереной машине в 5 сек. Антивирем юзать бестолку, не находит… Ручками, как описано выше. В моём случае они назывались
    don22BD. 2 штуки с разными расширениями сидели в темпе.

  251. Ivamg говорит:

    Олег
    У меня вчера вечером появился блокиратор с красным экраном.
    Запустился с другой Windows, просканировал Каспером — убил 2 трояна "Troian-Mailfinder.Win32.Agent.aan" и 2 зараженных файла в Temp, но блокиратор не удалился.Генератор Dr.Web не помог.
    Можно поподробнее — как его убрать (где это описано выше?).
    С уважением,
    Иван.

  252. Апрелька говорит:

    Доброе утро! Вчера появилась проблема(красный квадрат на черном фоне с кодом для отправки смс k2630621004)ввела код 904894 и перезагрузила компьютер, вроде все работает, решила найти файл"bloker" через поисковик,чтоб удалить…но ничего не нашла…что теперь делать? wacko

  253. Олег говорит:

    Live CD от Dr.WEB не пробовал, всегда использую Live CD от Alkid, выручал он меня в самых аховых ситуациях, если кому интересно. вот ссылочка "http://www.zhmak.info/1151489077-alkid-live-cdusb-aprel-2009.html". Именно с его помощью убил блокиратора с красной мордой на машине дочери быстро и без потерь… Диск постоянно обновляется, имеет несколько антивирей и все необходимые утилиты. Удачи!

  254. ARBUZzZz говорит:

    Спасибо всем за помощь! Сам, чуть смс не отправил от безЫсходности. Помог генератор, НО почему то только в безопасном режиме. В основном режиме — курсор (мышь) просто исчезала через 5 сек. от момента запуска винды.

    Через поисковик — ничего не нашел.

    Прочитал многие посты.
    ПОДСКАЖИТЕ — КАК НАЙТИ ЭТУ ДРЯНЬ НА КОМПЕ? И ЧТО ТАКОЕ "regedit"? и как в него войти / вызвать?… surprised

  255. Ser_Ser говорит:

    У соседеа вылечил енту гадость генератором с сайта ВЭБА.
    Красный квадрат с черным полем.
    Активировался с первой попытки.

  256. ARBUZzZz говорит:

    C regedit_ом разобрался…
    Но у меня Userinint содержит только "С:\windows\system32\userinit.exe, " … и где и как искать эту дрянь теперь???

  257. heroine говорит:

    у меня он так стоит уже почти 2 часа и нифига, перевод времени тоже ничего не дал ни в каком другом режиме не входит и гениратор не помогает :(( cry

  258. ARBUZzZz говорит:

    для heroine

    Может повторюсь,.. попробуй в безопасном режиме (администратор).
    Мне помогло. а какой код? напиши?..

  259. snejik говорит:

    помогите пожалуйста, такаяже проблема, но с текстом смс: к2550621000, дайте пожалуйста код активации.

  260. Олег говорит:

    RE: Но у меня Userinint содержит только "С:\windows\system32\userinit.exe, " … и где и как искать эту дрянь теперь???

    Похоже вирь мутирует… angry

  261. Ксения говорит:

    Помогите!!!! у меня заблокировали! только не синее окно а красное и так же просит смс! пробовала вводить коды не помогает!

  262. colisto говорит:

    Сколько людей -столько и мнений.
    Вопрос такой: Получил этот глюк в красном варианте (стоит Vista),мучал ее с обеда и до полуночи,ничего не получалось,потом в один момент она исчезла.Web нашел троян Winlock, что то там поудалял и перезапустив систему я обноружил ,что комп тормрзит и не открывает ни одно приложение,ни один документ,все время грузит и грузит.Кто знает в чем прикол ? подскажите! sad

  263. heroine говорит:

    для ARBUZzZz

    код k2670620110.

    пытаюсь зайти в безопасном режиме долго черный экран а потом здавствуй красная морда dry
    тут прочитала, что файл уже носит название не blocker, а какое теперь?
    сэнкс

  264. myl'ka говорит:

    так что сделать надо? я в компах сильно не секу, не пойму как вы там файлы удаляете, я в винду зайти вообще немогу! Эта гадость все кнопки блокирует.
    Кому не сложно, опишите последовательность действий. Заранее благодарю. cool

  265. CJlaB9H говорит:

    Всем привет.

    Третьему человеку помогал решить данную проблемму (исключительно без вспомогательных программ ) вирус постоянно мутирует и планомерно отрубает все подступы к проводнику.
    Так что без доп. ПО и генератора, задача лечения становиться почти невыполнимой. Неужели нельзя ни каким образом привлечь разработчиков этого вируса??

    Кстати , ссылка на генератор кода выдает ошибку (((
    хотя судя по местным каментам она работает
    в чем причина?

  266. Kirill говорит:

    Всё нормально отрубается. Все дебилы-хакеры сосут. Проблему решили за 5 минут. Даже расстроится не успели. Сгенерировали код через сайт доктор ВЭБ и пи…ец хакерской игрушке. Лучше бы у Бен Ладена отсосал — гадюка! angry

  267. colisto говорит:

    Сколько людей -столько и мнений.
    Вопрос такой: Получил этот глюк в красном варианте (стоит Vista),мучал ее с обеда и до полуночи,ничего не получалось,потом в один момент она исчезла.Web нашел троян Winlock, что то там поудалял и перезапустив систему я обноружил ,что комп тормрзит и не открывает ни одно приложение,ни один документ,все время грузит и грузит.Кто знает в чем прикол ? подскажите! cry sad

  268. Алексей Ульяновск говорит:

    огромное спасибо за помощь.С 18.00 до 2.00 ночи сидел, знакомого замучил с этой поблемой… Что я раньше не подумал, что есть еще добрые люди в интернете, которые готовы прийти на помощь))))))))) DANKE!

  269. Максим Петров говорит:

    а можно найти получател смс на кого зарегистрирован короткий номер и присечь по всей строгости закона или собствеными силами…????? на конкретный адрес бабло уходит и есть его получатель??? кто нибудь так пробывал??

  270. Константин говорит:

    есть другая модификация
    окно сообщения красного цвета.
    файл гадости лежит в C:\program files\windows common\svchost.exe

  271. colisto говорит:

    sad Просканировал файлы на целостность командой sfc.exe /scannow и она выдала что некоторые файлы востановить не удалось .ЭТо все последствия удаления вируса с красным окошком .Как востановить файл SBS.log windir\logs\CBS\CBS.log. (путь указывает C:\Windows\logs\CBS\CBS.log

  272. Валерий говорит:

    Поймал такую же бяку, на работе в инете нашел генератор и все ок, блокировка снята
    Генератор рулит smile

  273. Saffers говорит:

    "WINDOWS Заблокирован. Для разблокировки отправьте смс" (Новая версия)
    Вышла новая версия трояна-блокиратора.
    Старые трюки не работают.
    Читаем подробности тут:
    http://forum.kaspersky.com/index.php?showtopic=114430
    Вообще это детский троян. Cоздан, для обмана домохозяек.
    Для решения проблемы, надо иметь любой LiveCD.

  274. Myasoed говорит:

    У меня новый вирус сохранился в директориях C:\WINDOWS\Temp\ с расширением .tmp и C:\System Volume Information\ с расширением .exe

  275. Doberman говорит:

    А Я вот теперь стал его коллекционировать =)
    Интересно сколько ещё этой гадости понапридумывают =)

  276. Doberman говорит:

    Saffers, Вообще это детский троян. Cоздан, для обмана домохозяек.
    Для решения проблемы, надо иметь любой LiveCD.

    Что ты хочешь сказать ? book что все кто не справился с этим детским трояном "Домохозяйки " dont
    Мдя….

  277. Владимир говорит:

    Вчера и у меня такая шляпка выскочила,но у меня не стоял ни антивирус и фаервол виндовский встроенный стоял,первый раз такая ерунда.Пришлось переустанавливать систему сегодня,пол дня убил angry но зато поставил и нод32 и аутпост smile и на всякий лайфCD закатал на болванку wacko надеюсь не понадобиться wink

  278. Alex говорит:

    у мя у друга такаяже шляпа, сёдня он это в 8 утра обноружил! чё делать"? сколько примерно ждать с включённым компом"?

  279. Игорь говорит:

    Спасибо огромное!!!! правда есть одна проблемка, немогу найти blocker.bin и blocker.exe. я смотрел путь который вы указали, но и там тоже нет их.Что посоветуете?

  280. Игнат говорит:

    А в C:/WINDOWS/Temp/ должно что-нибудь находиться? Захожу через LiveCD, а там 6 штук: HTT1712.tmp, HTT182E.tmp, HTT1A54.tmp, HTT1E78.tmp, HTT1E82.tmp, HTT1E88.tmp. Что с ними делать?

  281. gsp говорит:

    Alex, тебе кто-то чего-то должен? Темку почитай от начала до конца, и шапку тоже, модификаций куча, мозги включи и анализируй angry

  282. Дмитрий говорит:

    Игнат, удаляй всё! Там всё равно временные файлы хранятся.
    Alex, как вы думаете, на предыдущих 35 страницах комментариев и в посте есть ответ на ваш вопрос? Правильно — есть smile Отвечу коротко — у некоторых вирус пропадал через 2-3 часа. Некоторым ожидание так и не помогло. Так что советую всё же ЛайвСиДи

  283. heroine говорит:

    Дмитрий, все может быть wink

    спасибо за сайт!

    У меня наконец-то еще вчера решилась эта проблемка:

    Ничего из всех вариантов, которые я видела на сайтах не помогло, кроме LiveCD. Названия вирусов были совсем не такими, какими постили другие люди. Я ламер и не знала точно какие там должны быть файлы, а какие нет и тупо почистила все папки Tepm какие были найдены мной. После перезагрузки пк заработал, только вот хр переставить все таки пришлось или он уходил в неизвестность для меня happy .

    Вообще заметила интересный факт, наджеюсь мне ответят это совпадение или смысл имеет?
    На ноуте сидя в интернете вдруг выскочила такая же фигня, я ничего не делая сразу его вырубила, потом вкл, у меня стоял пароль (12-значный) и все загрузилось отлично, уж не знаю что так подействовало наличее пароля или кол-ва цифр в нем. Поставила наконец антивирь, сделала проверку все таки пару троянчиков нашлось.

  284. abs говорит:

    Красное и черное.
    Снял жесткий, поставил на свою машину,очистил все ТЕМПы и
    Tamporary…. Последовательно прогнал через Касперского,
    Cureit, AVZ и Avast. Любопытно, что КАЖДЫЙ! что-то нашел и
    удалил. Даже Avast, который шел последним.Возвращаю диск,
    все грузится, все работает, никаких глюков.
    Заходим в ИНЕТ на сайт vkontakte.ru -"Windows заблокирован.
    Для разблокировки отправьте смс …."
    Какие-нибудь соображения есть? То есть, произошло новое
    заражение, или что-то все-таки осталось после всех чисток и
    активизировалось через INET?

  285. Дмитрий говорит:

    heroine, думаю наличие пароля никак не влияет. видимо что-то помешало вирусу "развернуться в полную мощь" smile В любом случае, даже если у вас Windows XP SP3 рекомендую установить набор заплаток, которые вышли уже после релиза СП3, т.к. есть несколько действительно критических уязвимостей. Ну и антивирус обновляйте чаще.

    abs, ВКонтакте куда? может там приложение завирусованное какое? или картинка? Напишите подробнее. Ну и совет для heroine я бы вам тоже адресовал smile

  286. Жанна говорит:

    Всем привет!Я тоже столкнулась с этой проблемой.Была в шоке, была истерика, думала сломала комп.Потом от знакомого программиста узнала, что надо на 5 часов оставить комп включенным, и не трогать вообще.И этот вирус сам исчезает.Удачи. biggrin :D

  287. Жанна говорит:

    роман, Роман здравствуйте!Советую удалить висту и установить XP.Там проблем нет.

  288. Чеширский кот говорит:

    Попробуйте накопать какой-нить ЛайвСиДи с любым проводником типа Нортон Командера или Волков Командера. Оттуда просто в два пинка выгоняется вся эта хрень… Кстати, прочитайте темы, написаные выше, от пользователей Первый и Второй… ))) На многих компах сразу перестаёт работать всё, включая ХотКеи, а вот пресловутая 8-секундная давилка на Шифт — пашет всегда…
    А вообще — маленький совет: ставьте нормальный антивирь и Файрвол в придачу… поначалу придётся помучаться с файрволом, пока он научится распознавать чё ему можно, а чё низя, зато потом — лЯпота… )))
    Удачи всем и помньше вирей… :-)

  289. gsp говорит:

    Дмитрий, спасибо, периодически просматриваю biggrin
    Кстати, такой момент. Очень помогла прожка WindowsDefender (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=435bfce7-da2b-4a6a-afa4-f7f14e605a0d)
    Шняга у меня ее пробила конечно, но при помощи Защитника удалось выцепить левый процесс и грохнуть его, и файло…
    Единственны проблем — вида должна быть лицензионная, (или якобы лицензионная) wink

  290. катя говорит:

    у меня самый новый экран чёрный ничего неразрешает не менять время не папки удалять недаёт и всё кто знает что делать помогите и за день или 2 я была в контакте

  291. Александр говорит:

    чо делать, чо делать, ноды, вебы, касперы… на linux перелазить там зараза не живет и все летает!

  292. Дмитрий говорит:

    Александр, вот не люблю я вас, линуксоидов. Не достаточно линукс еще приспособлен для хоум-юзера, не говоря уже о том что части программ просто нет, а под вайном виндовые работают крайне криво (например, тот же 1С).
    А как линух станет популярен — и в нем дыры найдутся biggrin

  293. ДЖАКУЗИ говорит:

    Я ДАТУ В БИОСЕ ПОМЕНЯЛ ВСЁ ПУТЁМ СТАЛО biggrin biggrin biggrin ТОЛЬКО Я НЕ МОГУ НАЙТИ ФИЛЫ BLOCKER sad sad : ГДЕ ИХ МОЖНО ЕЩЁ ПОИСКАТЬ ПОДСКАЖИТЕ ПОЖАЛУЙСТА ЗАРАНЕЕ СПАСИБО booze

  294. gsp говорит:

    ДЖАКУЗИ, блокеров может не быть, отскань жесткий антивирем, и почисть папки TEMP.

  295. Handhandwash говорит:

    Поможите пожалуйста!
    Столкнулся с этой дрянью, воспользовался генератором, ввел код все ок, запустил антивирус макафии он пару файлов в карантин, перезагружаюсь. грузится заставка рабочий стол а на нем пустота… мышка пашет, процессы работают а как дальше пробраться не знаю..

  296. Handhandwash говорит:

    2 Vovs, спасибо за совет, у меня нетбук NC10 без привода, как лайвсд запустить не представляю..

  297. Дмитрий говорит:

    Handhandwash, а есть еще один ПК? Если да — загрузившись на нем с лайвсиди доктора веба можно создать загрузочкую флешку.
    Ну или если данных сильно нужных нет — можно просто восстановить систему в предпродажное состояние

  298. Handhandwash говорит:

    Дмитрий, спасибо за подсказку. все почмстил с загрузочной флешки, все временные уничтожил, userinit чистый, полностью в отчаянии, не помогло

  299. Handhandwash говорит:

    Огромное спасибо VOVS и Дмитрий, ваши советы помогли мне востановить все на 100%!!! Еще раз спасибо за отзывчивость!!!

  300. Vovs говорит:

    Не за что, сам чистил 2 компа с разными вариантами этого вируса. Надо _вдумчиво_ смотреть _всю_ информацию из этого форума, а также из http://www.ixbit.ru/forum?open=1239364609_732&page=13 и http://forum.windowsfaq.ru/showthread.php?t=109836&page=2
    Во втором случае у меня этот вирус прикинулся svchost'ом (svchost.exe), и "сидел" в Winlogon'е не в Userinit, а в Shell surprised От так от!

  301. ARBUZzZz говорит:

    была проблема с красно-черным окном. Решил ее кодом. Все работало.
    Теперь — при загрузке винды — у меня чистый рабочий стол, хотКейс не работают… что делать, подскажите. Читал предЫдушие посты — нифига не понял,..

  302. ARBUZzZz говорит:

    цитата: " Не за что, сам чистил 2 компа с разными вариантами этого вируса. Надо _вдумчиво_ смотреть _всю_ информацию из этого форума, а также из http://www.ixbit.ru/forum?open=1239364609_732&page=13 и http://forum.windowsfaq.ru/showthread.php?t=109836&page=2
    Во втором случае у меня этот вирус прикинулся svchost'ом (svchost.exe), и "сидел" в Winlogon'е не в Userinit, а в Shell От так от! "

    а у меня shell содержит только explorer.exe

    все еще сижу с пустым рабочим столом — ПОДСКАЖИТЕ,.. surprised

  303. ARBUZzZz говорит:

    Я долго ждать не люблю, и поэтому продолжал искать на просторах интерента.
    ЕСЛИ У ВАС ПУСТОЙ РАБОЧИЙ СТОЛ — вот по этой ссылчки все сделал меньше за минуты…
    http://z-oleg.com/secur/advice/adv1103.php

    Удачи .. :_)

  304. PeterM говорит:

    Антивирусы Live CD не помогли, удалил все файлы "don…" и…
    Таже трабла как у предыдущего поста — пустой рабочий стол, диспечер задач "блокирован администратором".
    Чаго делать!?!?! Есть возможность зайти с другой ОС

  305. ARBUZzZz говорит:

    Если не показывает рабочий стол

    вот прога AVZ.(http://z-oleg.com/secur/advice/adv1103.php)

    скачиваем ее — и решаем проблему пустого стола!
    ПЛЮС — там а куча настроек по проверки компа, . С ее помошью нашел вирусы, которые и вызывали смс_провокацию и исчезновение иконок с рабочего стола !!

    Удачи всем! biggrin

  306. Дмитрий говорит:

    ARBUZzZz, спасибо за информацию. Думаю сделать отдельный топик по этой проблеме, т.к. судя по отзывам, многие с ней уже столкнулись и не раз.

  307. Vovs говорит:

    To: gsp и Дмитрий
    Я же написал smile — сидел он в Shell'е, там был прописан его путь, после explorer.exe (хорошо, что не вместо smile ), по нему увидел, что он поместил себя в C:\WINDOWS. Потом поиском нашел его и в C:\WINDOWS\Prefetch, там же были парочка "левых" pf-файлов, которых я тоже снёс. Был вариант с красным окном, но не самый серьёзный, regedit и прочее работали, HKLM\Software\…\Image File Execution Options Он не тронул…

  308. gsp говорит:

    Vovs, интересует алгоритм поиска — ведь svchost.exe стандартный процесс. Я например свои вычислял тупо поставив два компа с одинаковыми системами рядом и сравнивая процессы.

  309. Vovs говорит:

    Ну какой-такой алгоритм… smile То что он может прописаться и в Shell а не только в Userinit, прочитал на каком-то форуме. То что он может назваться svchost, прочел на этом форуме (Коммент №338 от Константина), про каталог Prefetch тоже где-то читал. А дальше включил мозг… biggrin

  310. Artemmm говорит:

    Всех приветствую!Или я что-то пропустил или это новая хрень!День назад схватил одну из этих "КАКАШЕК"(красное окно на черном).Сам не продвинутый user поэтому за пом обратился к другу,временно решили проблему с пом регенирации кода на сайте Web-а, а дольше уже начал долбить антивирями(результаты дал Dr.Web).Следом почистил реест, заглянул в автозагрузку все лишнее выкинул и вроде бы на этом страдания закончились.И как только я отписал другу,что с гнусным червем покончено,-ВОТ ТЕ НА! Уже не (красное на черном) а (синие буквы на белом) сфоткать не смог но помню содержание! Автор сего текста описывает следущее:"Ваша система заражена вирусом… а дальше история с SMS повторяется, только теперь даже стоимость указывается и перечень работ по спасению ОС(обещая прислать нужный алгоритм действий).(т.е. автор как бы честен перед нами= biggrin )обьясняя за что он просит эту сумму и номер на который отправить просят изменился не помню точно или начинается на 11 или заканчиваеся.И еСчё из предложенных вариантов "ВВЕСТИ КОД" там еще есть "ОТМЕНИТЬ"(или что-то вроде этого", решив проэсперементировать smile нажал отменить!- появилось окошко с обратным отСчётом времени(системное а не очередная занавеса) с ссылкой на какоето дольнейшее действие по окончании времени! surprised -с таким поворотом событий я когда-то сталкивался и в прошлый раз пока я читал и разбирал что это значит у меня безвозвратно пропадала вся инфа( поэтому я со злости и испуга отрубил питание biggrin !Проблему решил с помощью безопасного режима но перед этим перевел часы в BIOS-e на пару дней вперед.(хотя думаю и так бы зашел, но не факт :)) а там (Dr/Web,AVZ чистка реестра).Диспетчер задач тож заблокирован был, восстановил так: http://netler.ru/pc/taskmgr.htm.
    P.S/ в бою были уничтожены и обезврежены /portmap.exe, /1[1].exe, /updater123_72[1].exe, /rdl963.tmp.exe.
    Думаю война толька началась и враг пока залег на дно biggrin ! -ВСЕМ УДАЧИ!

  311. Анастасия говорит:

    блииин…ребята…помогите прошу вас!!!!!у меня комп уже 6 день…не работает из за этой блокировки….=(((ведь по идее этот вирусняк через 2 часа сам удаляется…..а у меня до сих…пор ничего не проходит…..и смски я уже наотправляла…штук сто…….помогите мнееее…оочеень прошу…что делать???

  312. Олег говорит:

    RE: Коммент № 388 написал Анастасия
    Анастасия, у вас комп несколько дней стоит, да не поленитесь, полистайте странички, выше все варианты подробненько описаны, не факт, что вирь через 2 часа удалится… Поверьте, просто лом ещё раз всё описывать.

  313. viprus говорит:

    Не раз сталкивался за последние месяцы с похожими случаями, успех (если таковой был) как правило обеспечивался загрузкой с LiveCD или Win PE чисткой папок Temp, разблокировкой с помощью AVZ4, естественно ДрВеб — Курит. Но я хочу обратить внимание вот на что, примерно треть случаев кочается переустановкой оси. Потому что после "излечения" винда часто продолжала работать криво. По моему ощущению в некоторых случаях, зловредная гадость создавала нового пользователя, перехватывала на себя права управления со всеми вытекающими последствиями. Победой или успехом это назвать не могу, так как у любой нерабочей, но физически живой системы всегда есть возможность сохранить нужные файлы, форматнуть диск, поставить новую чистую ось. То есть проблема у меня не в том, чтобы "вылечить" систему, а втом, чтобы восстановить все настройки, рабочий реестр, и т. п. Пока самым дественным средством остаётся AVZ4. Но она не всесильна.
    Многие отписавшиеся здесь (Ура, я вылечил!) пропадают, а было бы интересно насколько система после лечения работала, может быть им всем или почти всем в итоге пришлось переставлять винду. Тогда целесообразность всех мучений и танцев с бубном теряется: всё-равно систему сносить, зачем лечить-то?
    Сейчас "вылечил" очередного "вымогателя". Да винда грузится, но что толку, идеально ось не работает…

  314. mac-ruslan говорит:

    никаких изменений в работе винды я не заметил,наоборот стала лучше работать.после того как проверил диски на наличие ошибок.Раньше никогда этого не делал.Не знал.Хотя это к этому трояну никакого отношения не имеет,имхо.

  315. gsp говорит:

    viprus, винда потерь не понесла, были траблы со штатным брандмауером, но все решилось.
    Просто все, у кого нормализовалось без потерь не пишут об этом. Пишут обычно те, у кого возникают проблемы.

  316. viprus говорит:

    Спасибо за ответы smile может кто ещё отпишется. Вообще хочу поклониться утилитке AVZ4. Чем больше ей пользуюсь тем больше глубоких полезностей нахожу, и антируткит есть и возможности по восстановлению реестра, и антивирусные базы хорошие. В паре с Drweb всегда удачно идёт.
    Был случай, восстанавливал винду после "блокировки" хотел откатить систему на пару дней назад, а ERD точек контрольных не находит. Может ли подобный вирус отключить службу восстановления, интересно? И ещё, может не в тему, если служба "Справка и поддержка" УДАЛЕНА из системы, подскажет кто-нибудь как запустить Восстановление (служба запущена) из самой оси? Может какие хот кеи есть? Или из командной строки?

  317. Олег говорит:

    Здравствуйте! Отписываюсь, после востановления, система работает ровненько… Почему я так настойчиво рекомендую использовать Alkid Live CD, да потому-что в нём есть все вышеперечисленные Випрусом утилиты, и др. веб, и АВЗ4, и незаменимый ЕРД командер, только надо, прежде чем зайти в редактор реестра ЕРДешником, выбрать нужную директорию, иначе открывается реестр самого Лайв си ди… Мне, собственно, для востановления одного ЕРДешника достаточно оказалось. Удачи!

  318. aleksandr R говорит:

    [size=10]блин, sad лажа,я ввожу текст, а ключ активации не выдает! что делать-то? может кто-то мне поможет? текст k2550621000…

  319. спасенный говорит:

    человек!!!!!!!!!!!!спасибо тебе аграменное!!!!!!!!!все что написано всем пользовался!спспспспс biggrin biggrin biggrin biggrin biggrin biggrin

  320. Макс говорит:

    поймал эту херь одним из первым, самое смешное что у меня нод ее пропустил, хотя базы обновляютса ежедневно, видимо код написан с нуля, поэтому мало какие из антивирей могут его спалить. Лайв сиди сразу пустил в ход, обновил базу, проверил 4 антивирусами и толку не было, благо у меня мой родной линукс стоит еще, из под него файлы почистил, ан нет((
    пришлось сносить С, благо у меня ось совсем свежаю стояла.

  321. Колян говорит:

    Столкнулся с такой же проблемой! Код, предложенный здесь, не помог! Генератор код не показал((( Загрузился с лайв сиди и удалил файлы блокера вручную)))

  322. kristina говорит:

    Всем привет, тоже случайно поймала такой вирус, только вот др.Веб не помогает, т.к. просят ввести не цифровой код, а буквами, др. Веб не видет и просит ввести ноль — не помогает, пробовала поменять через биос дату — не помогает.. чего мне делать? surprised surprised surprised

  323. КиРиЛЛ говорит:

    У миня у 5 Друзей Такая фигня Была!Но файлов blocker.bin и blocker.exe НЕ нашли!

  324. Олег говорит:

    Коммент № 404 написал КиРиЛЛ

    Да называться-то они могут по разному и сидеть, где угодно… Если почитать все посты, то увидишь массу вариантов.

  325. Дмитрий говорит:

    Сегодня узнал, что вирус снова модифицировался. Причем для рассылки себя научился использовать qip!

  326. Олег говорит:

    Ну, что, Дмитрий, затихла тема… Любознательные ознакомились, ленивые ось грохнули, пора и нам восвояси. Спасибо! Было интересно и своевременно.

  327. radish говорит:

    была такая штука.ничего из простых для меня вариантов не помогло,и поэтому просто переустановила винду cool

  328. mac-ruslan говорит:

    я думаю,что вирус еще покажет себя в новом обличии,поэтому тему закрывать рано.Пока затишье.Информация,которую я тут нашел помогла мне справиться с этой проблемой.Я этого гада поймал со спутниковой рыбалки.До live CD дело не дошло.Помог генератор от др.веб.

  329. antiz говорит:

    блин,у меня тоже окно выскакивает но совсем другое, хотя смысл сообщения такой же. отправить смс на номер и последнее слово в смс которое вам придет напишите здесь, на английской раскладке, alt+ctrl+del, alt+tab, ctrl-esc и тд + залипание Shift не помогают, никак не сворачивает…и эти два файла с другой ОС найти не могу…что делать? подскажите плз)))

  330. LekaD говорит:

    Вчера, ребенок такую гадость скачал из нета вместе с картинкой.
    Только вместо виндовского, окна был синий экран.
    безопасный режим был заблокирован, откат не помог, Выручил liveCD
    и AVZ4.
    smile

  331. Игорь говорит:

    Что-то новенькое появилось — требует отправить сообщение Regsys b20 на номер 7132. Где-бы код найти?

  332. Tuman говорит:

    Я нашел другое решение проблемы: Значит выскачила у меня такая вот фигня на маниторчике, ну я в панике что делать, перезапустил комп, снова появилась и поверх остальных окон висит, свернуть никак, но я вызвал деспетчер задач после очередного перезапуска компа ( но и его всёравно закрывало это окно с смс ), сделал так зажал Alt+Tab и держал их не отпуская, получилось что диспетчер был над этой прогой и я нашел ехе который отвечал за эту байду ( ckpqg.exe )нажал на завершить процесс не отпуская кнопок альт и таб, всё прога закрылась, дальше ввел в моем компьюторе поиск ckpqg, он мне выдал такую строку C:\Documents and Settings\Tuman\Application Data там и находился тот экзешник, удаляем экзешник и все дела. Перед этой операцией установил 3!!! разных антивируса все чёнить находили wink но проблему это не решало. Помогло то что я описал выше.

  333. Tuman говорит:

    Мммм и вообще есть неплохая утилита которая ищет всякую пакость на компе Malwarebytes' Anti-Malware. Малоли кто не знает…

  334. anya говорит:

    народ, вот тоже в это вляпалась, только вот blocker и второй файл отсутствуют, не знаю что делать, подгрузила с liveCD, а найти не получается по этому пути…blocker.bin и blocker.exe, что делать подскажите!!!

  335. Стас говорит:

    у меня 11.06.2009 залез вирус HEUR:Trojan.Win32.Generic который блокирует WINDOWS я немог найти ключа скорей всего это новый потому что там надо был отправить смс с кодом который был написан буквами а не цифрами в данной ситуации я просто поставил диск с виндой и восстоновил систему больше чем это не немог сделать не чего я смог только восстоновить систему WINDOWS

  336. bonifciy говорит:

    у меня такая же х..ня, только когда я перезагрузил компьютер винда грузится но потом комп выключается.внвь это сообщение не появляется.что делать??

  337. Strong-spb говорит:

    Коммент № 417 написал(а) anya
    народ, вот тоже в это вляпалась, только вот blocker и второй файл отсутствуют, не знаю что делать, подгрузила с liveCD, а найти не получается по этому пути…blocker.bin и blocker.exe, что делать подскажите!!!

    У меня всё тоже самое

  338. Strong-spb говорит:

    Коммент № 417 написал(а) anya

    Аня, наша ошибка в том, что мы не читаем предыдущие коменты, перед тем как писать сами.
    Из комента Тумана, я понял, что эти файлы не в ALL USER, а в своей папки.

  339. blood76 говорит:

    Последние два дня разбирался с этим вирусом,у меня на синем фоне,
    залипание клавиш(Shift) тоже не спасает,окно появляется за картинкой,хорошо что у меня два экрана монитор и телевизор-это спасает,вирус занимает только основной экран.Вирус имел имя tgRS.exe в C:\Documents and Settings\XXXXXXXX\Local Settings\Temp,в диспечере задач с таким же именем,и главное в C:\WINDOWS\Prefetch под именем tgRS.pf и пока я его отсюда не удалил он возвращался каждые 4 часа,ил около того.

  340. wolff говорит:

    У меня вот появилось сие чудо… только модификация странная, появляется минут через 10-15 после загрузки винды… Не один из антивирей ничего конкретного не нашел. Есть идея что эта пакость работает удаленно открывая себе какой-то из портов и сидя в самом IE. Еще пока искал по сети "таблетку" вот (http://implanet.ru/index.php?showtopic=928) че нашел (сразу извиняюсь за возможную "рекламу"пред владельцами данного ресурса, но мочить такие объявления надо!)

    • Дмитрий говорит:

      вот же ж казлы. Думаю нахождения этой гадости антивирями — вопрос пары дней. Судя по сообщениям проблема пошла на 3 виток развития. Жаль неопытных пользователей, которые могут пострадать.

      В качестве профилактики рекоммендую использовать другой браузер или обновить Internet Explorer до 8 версиии и поставить набор заплаток PreSP4 (ссылка на скачивание в посте)

  341. Саня говорит:

    Столкнулся с проблемой вчера, AVAST, AVZ, NOD32 ничего не видят. Под безопасным режимом эта штука не работает. Щас пытаюсь найти вирус с помощью dr.web

    очень хочеться раскрошить лицо того человека, кто это придумал….

  342. Артём говорит:

    Коды от др веба не подходят , лайф сиди нету( у меня не резак!)
    Файлов этих в Application Data я не нашел!
    Сегодня словил этот вирус , похоже он уже более навороченный , помогите cry

  343. Alexei говорит:

    Встречался с этой фигней, но на свой комп словил другую…новее!!
    Черный экран, красным цветом похожий текст и 24 часа на отправку СМС. Смена времени в биосе не помогла, вариант с "залипанием Shifh" тоже. Решил загрузкой в безопасном режиме с поддержкой коммандной строки. При этом вирус не включился и позволил из коммандной строки запустить Total Commander, а там и запуск CureIt! с флешки прошел без проблем….
    Новая модификация лежала в папке:
    C:\Windows\Media\sound.exe
    C:\Windows\system32\winlo_.exe
    P.S. DrWeb онлайн утилита по подбору кода не помогла, код 3893879 тоже.

  344. ABJIoM говорит:

    ничего не помогло… даже др.веб ничего не видит, надеюсь восстановление системы поможет…

  345. Markabus говорит:

    Нажал alt-ctrl-del / выйти из системы. Пока закрываются проги и комп старается выйти из системы, запускаем антивирус и сканим системный диск. Блокировка в этот момент неактивна. Еще на всяк. случай проверить прогой Spybot — Search & Destroy

  346. Пострадавший говорит:

    Утром впервые столкнулся с этой пакостью — понял,что это вымогательство. До появления заставки работал минут 5,успевал почитал что люди пишут затем С+A+Del и завершить сеанс. DrWeb и Nod32 ничего не нашли (в безопасном режиме).В C:\Documents and Settings\User\Application Data модуль tkpzc.exe имел утреннее дату-время. Доступ для удаления оказался запрещен. Загрузка+ F8+ безопасн.режим с команд.строкой-> используя команду CD (и оболочку FAR) добрался до файла и удалил. Уже 2 часа я свободен !

  347. serg5x говорит:

    Программа" Ваш анинсталлер" определила несколько автозапускаемых. Среди них вызвала подозрение — wsock, по адресу
    C:\Do..and Set..\..\Appl.. Data\tvuag.exe
    Дальше написано Current User — Registry Key
    Исключил.
    Пока ешё зараза не проявилась!!!!

  348. Азат говорит:

    Седня 18.06.2009 поймал данную хрень, после перезагрузки удалил geogq.exe с директории %SYSTEMROOT%\Aplication Data\ю Убрал автозагрузку из msconfig, перезагрузился, и дааная хрень исчезла!!!

  349. Илья говорит:

    kirsby, у меня также появилась эта хрень, а потом врубил комп и она пропала)) большееё нет)))

  350. Fish говорит:

    прибил его drWeb cureit, процесс в оперативе otasa.exe, идентифицирован как trojan.Winlock.105 лежал в application data

  351. sergeant говорит:

    тут на днях эту хрень подцепил, типа отправь смс с текстом v1v1v1 на номер 4430. нод натравливал не ловит, outpost тоже. удалял вручную. когда вылазит окно, выловил в журнале запускаемые приложения, обнаружил левый adc***.exe весом >200kb. нашел его в папке C:\Documents and Settings\All Users\Application Data.

  352. Evelin говорит:

    Ничего из сказанного выше не помогло. На код не реагирует.Файлов с именем bloker на ноуте нет. Но из этого вируса выходит с большим трудом если пальцы держать на всех клавишах Ctrl-Alt-Del "снять задачу. Антивирус последний вчерашний Др.Веб не ищет вирусы. Что делать ума не приложу. Чайник по жизни.

  353. sand говорит:

    Вчера намотал! Что делать не знаю, так как невозможно войти в пользователя, тут же появляется эта гадская заставка!На клавиши CTRL-Alt-Del не реагирует!что делать?

  354. Камилла говорит:

    у меня та же проблема…сижу с компьютера мужа, ибо мой в осаде((( но у меня он вроде уже свеженький и новый((( хочет не просто код, а слово OPLATA на номер 7122 и ещё и написать номер телефона с которого будет смс отправляться!! а такого варианта на сайте доктора веба нету((( люди, помогите блондинке!!!

  355. Дмитрий говорит:

    sand, Камилла, пока решение виду только в записи LiveCD от DrWeb, загрузка с него и сканирование системного раздела

  356. FunD говорит:

    Увы и ах,DrWeb LiveCD от 22.06 (новейший на данный момент) не спасает от обновленного вируса (того, который пишет прислать слова oplata на номер 7122. Надеюсь, что в ближайшие дни появится лекарство.

  357. admishen говорит:

    Вечер добрый или день…ну вообщем не важно…
    Проблему решил таким образом:
    При появлении черного экрана с сообщением вызвал диспетчера задач (сделать это было сложно т.к. черный экран его перекрывал, необходимо нажать alt+ctrl+del и держать но не долго), диспетчер начнет мигать и в нем можно будет увидеть какое приложение уже запущенно, пока он (диспетчер) мигает правой кнопкой мыши щелкаем по этому приложению и в подтекстном меню выбираем "снять задачу", не забудьте запомнить как эта программа называется. В моем случае эта бяка называлась sound. Вообщем видите вы теперь свой родимый рабочий стол, запускаете поиск и ищите этот файл. Выскакивает большой список (ну это естественно) сортируете по дате, и файлы с таким названием того числа когда это произошло сносите. В частности у меня они были в двух местах C:\WINDOWS\Media и C:\WINDOWS\Prefetch. Принцип такой в папку Prefetch садиться загрузочная часть вируса, а в папку Media садиться его детище и при запуске системника, в тот момент когда система пытается спеть свой гимн, то и запускается эта шняга т.к. она стоит в качестве гимна. При выполнении того что я тут навоял после перезагрузки загружается рабочий стол, но система выдает ошибку мол файл C:\WINDOWS\Media\sound.exe не найден, оно и правильно ведь при запуске гимна не было… Заходим в настройку звука и ставим звуковую схему windows default, можно не перезагружать.
    Вотак вод. Вообщем мне помогло, надеюсь кому-нибудь тоже поможет, отпишитесь тогда если не трудно, тупо интересно…
    УДАЧИ!!!
    P.S.: любой антивирус беспомощен перед этим детищем.

  358. Proza говорит:

    Спасибо Вам большое, уже не знала куда бежать, а вы помогли smile smile smile Только этот код 3893879 мне не помог, пришлось перейти на сайт http://news.drweb.com/show/?i=304&c=5, там ввела текст СМС 841111, он выдал номера 26079 и 189, ничего из этого мне не помогло…Ниже по троянской программе можно код узнать, я тупо выбрала самую последнюю и ввела ее код aaaa8529 и все заработало вновь biggrin Удачи всем!!!!

  359. Никита говорит:

    я скачал образ CD запускаю Nero… делаю так как там (http://www.freedrweb.com/livecd/) вставляю пустой dvd диск нажимаю файл, открыть выбираю то что я скачал нажимаю прожиг потом пишет нет диска

  360. AkAToT говорит:

    ЛЮЮЮЮДИИИИ ЧТО ДЕЛАТЬ СО слово OPLATA Вообще ничего не спасает,у меня Виста !!!!!!!ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!перепробывал все вышеперечисленные способы…=(((

  361. sand говорит:

    Я чайник.Поймал в воскресенье.Комп не реагировал ни на что.В понедельник на работе переписал все что сказано на этой ветке и стал сумбурно претворять в жизнь
    Сначала ничего не помогало.
    И номера вводил, и часы переставлял и кнопки жал.Но вот в какойто момент вошел в систему как Гость.Толку было мало , но в папке application data удалил все файлы не включенные в папки.После этого вдруг зашел с учетной записи с правами администратора.(зашел это громко сказано, заполз, долго и не уверенно).Удалил у всех пользователей такие же файлы.Стало чуть лучше.Скачал Spybot , проверил и о!Чудо!Комп заработал!
    После этого включил NOD32, который вирусов не обнаружил!.Я его снес и поставил демонстрационную версию Dr.Web и он показал 93 проблемы!!!:вирусы, трояны, зараженные файлы и архивы! После лечения все заработало нормально.
    У меня только один вопрос: что делал два года в моем компе платный,обновляемый ежедневно, лицензионный NOD32?

    • Дмитрий говорит:

      После того как в организации, куда меня пригласили помочь я выгреб неимоверную кучу различных вирусов и еле отбился от эпидемии на компьютерах под "защитой" НОДа вообще его за антивирус не считаю

  362. sand говорит:

    25.06.09 Как я вылечился позавчера написал.А вчера мой Spybot сообщает: неизвестная программа хочет изменить реестр C:\Windows\system32\userinit.exe. Ага! Зараза ходит по сети!.я естественно отказал этому процессу , чем спас свой комп. Спасибо Spybot!

  363. Сергей говорит:

    Я уже голову поломал… wacko : сволочи предлагают прислать sms "elnii2" на № 6005 чтобы разблокировать якобы не лицензионный винт XP. Люди добрые помагите… cry

  364. Сергей говорит:

    Автор: printeX
    Против elnii2 на 6005 — загружаем винду в режиме отладки, ctrl+alt+del — выполнить и вводим explorer. Загрузили — ищем во всех системных папках файл hlp.exe, после чего и в реестре сносим записи с ключем, где встречается этот файл. Из реестра можно снести с помощью ccleaner…

  365. Сергей говорит:

    Только ищите все файлы hlp.exe и УНИЧТОЖАЙТЕ, ато я удалил только 1, теперь комп глючит…

  366. Посторонний говорит:

    elnii3 на 6005:
    alt-ctrl-del в режиме отладки не работает, помогла только загрузка с LiveCD и удаление hlp.exe из папки //Windows/Help/

  367. Tuman говорит:

    Ых по меньшей мере 2 раза было написано как стоит попробовать эту шляпу убрать:
    Загружаем комп—> появляется текст с смс—> жмем пару раз alt+ctrl+delete для вызова диспетчера задач—> зажимем alt+tab ( и не отпускаем )—> диспетчер будет мелькать над прогой с смс, пока он мелькаем ищим в диспетчере процессы которых раньше небыло, или те которые странно называются, —> жмем по такому процессу правой кнопкой мыши, завершить процесс
    , экранчик с текстом смс закрывается —> проверяем антивирусником др. веб подойдёт ( в реестре тоже просканить )—> заходим в мой компьютер, вбиваем в поиcк название того процесса который отключили в диспетчере ( пример ckpqg.exe можно без .exe )—> удаляем этот файл и рядом ещё должна быть парочка подозрительных файлов их тоже del.
    Пробуйте, только сразу после того как подцепили!
    Я сам такое уже проделал комп живой, не лагает.

  368. FunD говорит:

    Для варианта с "oplata"-ой паразит тупо создал файл в C:\Documents and Settings\NAME\Application Data и прописал его в автозагрузку.После удаления из автозагрузки (как раз хватает пары минут, пока комп работает) сообщение исчезает…но файл я все-таки на всякий случай стер biggrin

  369. gsp говорит:

    Лечил тут нетбук с ХР от "elnii3 на 6005".
    Сделал следующее.
    Подготовил две загрузочные флешки, одна с live CD от drweb (http://www.freedrweb.com/livecd/), вторая с Avast Bart PE 2.0 Eng (http://flash.orens.ru/).
    Загрузился с первой, удалил hlp.exe из C:\WINDOWS\Help.
    Загрузился со второй, поправил реестр [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] обратно на значение "C:\WINDOWS\system32\userinit.exe," (вирь изменил его на "….. hlp.exe")
    Ну и конечно прогнал Dr.Web LiveCD….
    Комп пока работает нормально…
    Единственное-этот способ доступен немного продвинутым пользователям, т.к. надо уметь создавать загрузочные флешки, безопастно править реестр и т.д. Поэтому прежде чем что-то делать в рамках предложенного способа, желательно спросить (если не знаешь как)здесь, или у др. опытных людей.

    PS. Хорошо бы, еслибы в дистр Dr.Web LiveCD внесли редактор виндового реестра…

  370. QWERT говорит:

    в некоторых случаях диспетчер задач и горячие клавиши не действуют. Безопастный режим – не помогает…
    как лечить:
    1.грузишь с CD Windows Life
    2.ищешь поиском все файлы, появившиеся в день заражения
    3.по ситуации, смориш и переименуешь все подозрительные (.exe .bat и т.п.)

  371. gsp говорит:

    "Лечил тут нетбук с ХР от "elnii3 на 6005"."
    Добавлю: — еще необходимо удалить из автозагрузки ссылку на "hlp.exe"…
    Вроде бы все…

  372. Cтас говорит:

    Народ а у меня тут какаето новая версия вируса он не куками вышепечерислеными способами не лечиться че делать?)
    и оформление у него нетакое как на картинке!

  373. Cтас говорит:

    Народ помогите у меня сомсем другой вирус совсем по другому выглядит но принцип тотже! там написано отправьте смс с кодом#complt4271 на номер 6008

  374. Cтас говорит:

    При этом я свободно могу выходить в интернет включать музыку и лазить в меню пуск через кнопку виндоус… но не таскменеджер ничего не открываеться из програм и я не могу запустить установочник

  375. Cтас говорит:

    Как выяснилось в ходе моего расследования ))))
    Окно с просьбой отправить смс вылетаает только при запуске любой exe программы
    я попробывал переиминовать exe B bat и воля программы запускаються
    но мне это нечем не помогло )))) решил написать может поможет вам

  376. sadomius говорит:

    Я нашел ещё его разновидность, он пишет отправить 6008 на #win1t5086. Не один антивирь его не видит, но он прописан в реестре и в автозапуске, у меня назывался nmdlw.exe и лежел в C:\Documents and Settings\User\Application Data

    вот…

  377. karmokov говорит:

    На работе впоролся в этот вирус. Появлялось полупрозрачное окно с предложением отправить смс, как и у sadomius'а. В процессах висел под именем a.exe. После снятия процесса окно исчезло. a.exe сидит в C:\Documents and Settings\User. Также есть ещё один вредоносный файл hlp.exe, который сидит в C:\WINDOWS\Help. Его тоже удаляем и сносим все ключи с этими файлами в реестре.

  378. Alex говорит:

    хм интересно, у меня вирус какраз разновидности sadomius, когда подхватил юзал оперу и стоял нод с новыми базами, вышеперечисленные способы в статье не помогают блокируется даже окно которое вызывается через залипание шифта, загрузился с лайвсд нашел файл в автозагруске pwdlocked.exe или както так удалил его эффекта 0, не знаю как мне править реест моей винды сидя из под лайвсд, знающие люди помогите

  379. прохожий говорит:

    Объясните пожалуйста по пунктам чайнику как побороть заразу под номером 6008 на #win1t5086

  380. Bolek говорит:

    Мой 6008 лежал в c:\windows\media и звали его sound.exe
    После того как его заархивировал и убрал оттуда стало все норм.
    virustotal.com его не определяет

  381. Alex говорит:

    как обнаружил что именно этот файл-вирус, можешь по пунктам написать предпринятые действия для устранения?

  382. bolekk говорит:

    просмотром всех файлов с датаой изменения на день появления вируса. Смотрел exe bat dll. sound.exe лежащий в папке c:\windows\media сразу бросился в глаза

  383. Alex говорит:

    удалил файл C:\WINDOWS\Help\hlp.exe, после перезагрузки блокировка уже была снята, но окна открывались очень медленно и при вызове диспетчера задач не было привычных вкладок Приложения, процессы, быстродействие и т.д.(получалось урезанное окно диспетчера задач), также нашел запись в реестре с ключом hlp.exe ее удалил, после перезагрузки перестало заходить в профиль, теперь видимо придется заниматься переустановкой системы sad

  384. grek говорит:

    немного другой интерфейс вируса с такой надписью
    в связи с повышеным уровнем распростронения пиратских копий windows….на вашем комппьютере обнаружена не лицензионная версия виндовс система была заблокирована для разблокировки и активации отправте смс, окно не сварачивается не отключается, безопасный режим не грузится, решил сделать востановление так на 33-й минуте вылазиет это же окно, не чего не смог сделать, лечил хард антивирусами, удалял подозрительные файлы но нужного не нашол

  385. emil говорит:

    у меня подобная проблема — только текст смс — text — переззагрузил нормально комп включился только ярлыки на рабочем столе не работают — выходит выбор программы(пытался установить нод32 не устанавливает!!помогите пожалуйста!

  386. Alex говорит:

    1) Первое что нужно сделать это загрузиться с лайв-сд
    2) Далее с уже загруженного live-cd запустить поиск файлов которые были созданы в день заражения, удалить подозрительные файлы
    3) После удаления, скорее всего, рабочий стол уже не будет заблокирован, но останутся продукты жизнидеятельности этого вируса, в виде тормозов системы(как у меня)
    4) Далее лучше всего использовать прогу типа __http://samlab.ws/soft/trojanrem/, я не использовал, а полез чистить реестр, видимо убил не все, результат — переустановка оси

  387. Александр говорит:

    такая же фигня, только бинарников и экзешников в папках док-с & сеттнгс нету, лайв сиди ничего не нашел

  388. олег говорит:

    Я усовершеннствовал вирус держитесь хаха! готовьте ваши денежки!Сеечас будет просто прозрачный экран и нечего больше НЕ ПОМОЖЕТ!

    • Дмитрий говорит:

      опишите подробнее, что именно пишет. Если есть возможность — пришлите картинку. Попробуем помочь…

  389. Аноним говорит:

    Я делал так: Win+U (экранная лупа) — запустить — Веб-узел Майкрософт — (открывается ИнтернетЭксплорер) — погуглил и нашел прогу ProcessExplorer (http://soft.mydiv.net/win/files-Process-Explorer.html), скачал ее, распаковал архив и установил.
    "Убил" ею 2 процесса: explorer.exe и programicon.exe (правой кнопкой — Properties — Kill)/
    Далее в ИнтернетЭксплорере — в поле адресной строки набрал путь к Program Files-Total Commander (C:\Program Files\Total Commander\Totalcmd.exe), открыл его. В нем зашел в system32 и удалил зараженные файлы explorer.exe и programicon.exe (в Коммандере выбрал отображение по дате, чтобы легче было найти). Кстати, в Коммандере эти 2 файла имели нехарактерную иконку — как будто для картиночного файла.
    Важно!!! До начала вышеописанных процедур скопировал с другого компа explorer.exe на флешку, и теперь, после удаления зараженного на его место перекинул новый.
    Удачи всем!

  390. Allion говорит:

    Сижу, читаю и понимаю, что я такая не одна..
    Началось всё с того, что зашла я на сайт Vkontakte.ru, вступила в какую-то сомнительную группу с тестами, и чёрт меня дёрнул пройти их (ведь знала, что ничего особенного там не будет, а оказалось ещё хуже).А что бы узнать результаты теста — надо было отправить смс, стоимостью от 250 рублей и выше. Я решила закрыть страницу, зачем мне это надо, потянулась к крестику в верхнем уголке..не тут-то было…монитор погас,экран стал чёрным и белыми буквами написано (немного подругому как было сказано, но с тем же смыслом)Жаль не сфотала, но приблизительно так: "За последнее время участились случаи использования пиратских систем Windows. Ваша система была заблокирована компанией Microsoft в целях безопасности, так как в ПК найдена не лицензионная операционная система. Для разблокирования отправьте sms (*стоимость 32 руб.)
    (P.S.дёшево, я подумала…НО ПРИ ЭТОМ НИ НОМЕРА, КУДА ОТПРАВИТЬ, НИ КОДА SMS НЕ БЫЛО УКАЗАНО!!!А моя ОС кстати лицензионная). В Вашем распоряжении есть 24 часа, после система будет автоматически удалена!! Тут у меня паника cry
    после нескольких перезагрузок, до меня дошло нажать трясущимися руками Alt+Ctrl+Del, с трудом удалось снять задачу, т.к. диспетчер задач сильно быстро мигал. А у этой самой задачи была аватарка(или значок) в виде девушки в купальнике и название sound. Но я рано обрадовалась, при вкл. ПК заставка появлялась снова…а вставляя флэшку USB компьютер сам перезагружался. Я так поняла, что это и есть программка пиратской ОС, которую мне нужно найти и удалить. Набрала в поиске имя файла .exe искать на дискеС. Нашла эту девку sound в купальнике! Рискнула просто удалить её из папки:\Documents and Settings\All Users\Application Data — удалилось!! А файлы blocker.bin и blocker.exe ПК не обнаружил..
    И представляете, как назло (а может в помощь мне) свет выключили на 2 секунды!! пришлось ПК вкл. заново, включила…..блокировки больше нет!! но выскакивает узкая табличка — "файл sound.exe в папке такой-то не обнаружен..попробуйте найти его самостоятельно через Пуск" (ага, щас,нужен он мне!!). Теперь надо с ней как-то бороться…
    И вот сейчас сидела, читала комменты,страху натерпелась, и много чего важного нашла!! Спасибо всем огромное!!
    совсем-совсем скоро закончатся 24 часа….не знаю что будет.., надеюсь уже лучше.. dry хотя, видимо я не всё правильно сделала, во всяком случае половину информации ПК сохранила на флэшках biggrin

  391. юлия говорит:

    что делать у меня наэкране написано ваш виндовс заблокироан отправте смс и не скрываеться не как не могузкрыть програмуу эту и выити в меню что делать

  392. khann говорит:

    ребята smile это же просто прикол а не вирус всемирного масштаба.
    разгадка в самом вирусе)
    потыкайте внимательнее по экрану там где соглашение лицензионное
    и увидите что откроется окно в котором будет много всякого бреда про МаКроЦофт
    а в конце будет незаметно указан ключик ) biggrin вводите его, перезагружаете, обрабатываете антивирусом и все smile
    удачи вам)
    примерные коды 107 ,307 и 404 . пока больше вычеслить не смог.

  393. Иван говорит:

    Ребята спасибо не то слово!!!!!!!!)))) happy happy happy happy никогда не пускайте младших братьев или сестер за компютеры и тем более в интернет

  394. Ксюша говорит:

    А я совершенно случайно ввела какой-то код, все отключилось. Не знаю только надолго ли…

  395. LinkCatcher говорит:

    Вчера это произошло со мной… В интете ключ подобрали, пока все работает. Антивирусом комп проверила. Решила пунк 4 использовать. (Обновления PreSP4 для русской Windows XP SP3 я выложил здесь.)-запускаю установку- Отказано в доступе к указанному устройству, пути и ли файлу. Возможно у вас нет прав… Что это такое?

    • Дмитрий говорит:

      тут скорее всего одно из трех:
      1. либо вирус все же остался и блокирует установку обновлений.
      2. у вас учетная запись пользователя а не администратора.
      3. скачался битый файл

  396. Евгений говорит:

    Всем привет. Помогайте(
    Недавно подцепил одну из версий этого вируса:
    Синий частично прозрачный экран, требует отправить смс на номер 3649. В процесах имеет название "cmon.exe". После загрузки компа, получается быстро запустить диспетчер и закрыть процесс.
    В главно директории диска С: нашел его файлы up2.exe и вроде clean.exe. В папке Виндовс файл cmon.exe. Удаляю их, но после перезагрузки и включения инета, сразуже загружаются эти файлы и запускают процес/вирус. Иногда успеваю тут же удалить.
    Аваст ничего не находит.
    В реестре с userinit всё норм.
    В документс и сетингс подозрительных файлов не нашёл.

  397. троп говорит:

    Поймал похожую штуку сегодня. Окошко такое как у trojan.winlock.169/172 (http://news.drweb.com/show/?i=304&;c=5), только номер для отправки смс другой — 7122. Подбор кодов на вышеупомянутой ссылке не помог, перевод времени в биосе, способ ykcyc'а, не помогли. Диспетчер задач и все остальное заблокированы, возможности поставить другую ось пока нет, помогите sad

  398. троп говорит:

    upd: попробовал перевести время биоса вперед (на три часа), и во время загрузки личных настроек пользователя зажал ctlr+alt+del, что из них сработало не знаю, но это помогло — диспетчер задач открылся хоть и со второго раза, ищу последствия. Всем спасибо)

  399. N1rdoSh говорит:

    Евгений, хех та же проблема и у меня. Поймал вчера, форматировал и полностью сносил ОС. После захода в инет вирус появляется снова.

    • Аноним говорит:

      та же самая фигня, форматировал и переустанавливал ОС, два других жестких диска не трогал, после выхода в инет вирус появляется снова. Перед этим постоянно выскакивает табличка Windows — диск отсутствует.

  400. Дмитрий говорит:

    Всем у кого Windows XP SP3 рекомендую установить пакет обновлений PreSP4 (скачать). Это защитит вас от уязвимостей, найденных после выпуска SP3. В пакет включены все вышедшие обновления до сентября месяца.

    Следите за этим постом — ссылка в UPD4 на пакет обновлений обновляется, как только обновляется сам пакет.

  401. Irena говорит:

    а у меня все гораздо веселее… кто знает что делать помогите… тоже пишет что ваша система заблокирована и пришлите смс на такой то номер и тому подобное… но дело в том что у меня в автозагрузках стоит командер и он на этом синем экране открывается и запускаются все проги, в плоть до аськи..так же могу все скачивать с инета и работать в любых программах… но диспетчер при этом не отвечает… антивирусники не находят вирусов… но было куча троянов… после нескольких проверок разными антивирусниками все вирусы удалились… ну я так думаю..))) так вот не знаю что делать с этим синим экраном… работать то можно и комп работает в полную силу… но рабочий стол то как то тоже нужен… ПОМОГИТЕ ПОЖ… и все что написано в постах выше было после прочитки сразу же сделано… но не помогло(((

  402. гоги говорит:

    мне тож помог код 0000000 тока винда терь ипёца па срашноу(сёдня востановление чрез консоль сделал терь диспетчер хз как включить(

  403. Денис говорит:

    Уважаемые чуваки кто хочет спсасти свою винду перед тем как появилась эта фигня перезагрузите комп при самой загрузки винды успейте нажать ctrl+alt+delete и закройте вирусняк сейчас он называется както на f ну в диспечере увидите полное название вот потом найдмте этот файлик и удалите

  404. Irena говорит:

    avz не находит вирусов, за то вебер при каждой проверке находит что то новое… вроде удаляет но изменений нет… что делать???

  405. Old говорит:

    Сосед вызвал спасти от этой хр… Антивирус не поймал (Касперский) Убрал чер Ctrl+Alt+Del На секунду появляется диспетчер, блокер в нем первый, нажал кнопку завершить (с третьей попытки) Потом ручками все вытер. Через день он же или новая напасть запустила Виндовый фаервол и Антивирус 2010. Блокировал всю работу, писал загружаю антивирус, и т.д. Пришлось чистить даже реестр и все пути.

    Поймать бы этого "великого" программера и всунуть ему этот блокер по самое нехочу!

  406. Korbu говорит:

    Знакомая отдала брату мининоутбук с этой фигней, поставили из безопасного режима авиру, проверили — находит файл к к-рому нет доступа, вирей не находит. Хотел скачать обновление базы и на флэшку скинуть — посадил себе через флэшку. Авира (обновлял буквально за час до этого) успела что-то закричать, удалила файлы какие-то, но эта фигня висит всеравно. Все вышеперечисленное не помогает. Сейчас скачал дрвебовский cureit и проверяю им, один файл он нашел и удалил, определил как win32.HLLW.Lime.22 лежал в корзине. В безопасном режиме чистил корзину до этого, но прои норальной загрузке в ней опять лежит файл. Еще интересно, сейчас я с безопасного с загрузкой сетевых драйверов скачал с инета cureit и им прохожусь, потом в нормальном режиме будет ли все работать, если убью все что найду в безопасном wacko
    Как чистить флэшку — не знаю, пробовал форатить из безопасного режима — доступ запрещен, авира нашла там инфекцию и убила, но ожет опять там есть что, если так не находит, так же появляется файл на флешке autoran.inf — с ним тоже ничего делать нельзя — доступ запрещен, хотя везде права админа %(((

  407. Korbu говорит:

    Полная проверка drweb cureit не помогла. Нашел пару рекламных вирусов и 1 тот самый win32.HLLW.Lime.22
    После перезагрузки всеравно та же фигня с смс((
    Генераторы на сайте двеба не помогают, блин, в инете пока ничего не могу найти по этому поводу, болванки тоже не могу найти чтобы нарезать liveCD. Может есть где-то как бороться, просто я не нашел?((

  408. Korbu говорит:

    Вроде убил. Скачал AVZ, при Ctrl+Alt+Del у меня не диспетчер задач, а окошко со сменой пароля, пользователя, менеджером задач и тп. Через смену пользователя есть какое-то время пока это окно вируса опять не выскочит, но времени мало, я сначала затупил и ничего толком не сделал, а потом окно почти мнгновенно выскакивает при повторных попытках, в итоге смог запустить лису и через нее запустить включить инет и запустить AVZ. Нашел в редакторе
    лишний файл, просто гуглил все подозрительные, оказался C:\WINDOWS\ctfmon.exe , а должен настоящий такой быть C:\WINDOWS\system32\ctfmon.exe
    Убил его — умерло окно вируса со всем эксплорером заодно, но зато уже запускался деспетчер задач, через него запустил userinit.exe, все заработало, потом в редакторе реестра AVZ отыскал все подозрительные записи и правил или удалял. Сам не очень хорошо разбираюсь в том что системное, а что нет, но ест полезная функция по правой кнопке "поиск в гугле/яндексе/рамблере", так что можно посмотреть что вам нужно, а что точно удалять. Ну и потом уже в менеджере автозапуска убил все подобные процессы, отыскал заодно пару троянцев (походу он их подгружает сам, ибо до этого проходился дрвебовской лечилкой и авирой со свежей базой). Потом опять обновил базы и прошелся авирой и дрвебовской лечилкой версией поновее, вроде пока все, тьфу-тьфу-тьфу, работает. Может кому-то это поможет, а то сам я сначала очень огорчился, ибо находил в инете инфу только за апрель, а все способы борьбы, указанные там, не работали =)

    • Дмитрий говорит:

      Спасибо за подробный рассказ.
      Действительно, с момента написания поста вирус сильно видоизменился — использует другие файлы, иначе блокирует доступ.
      Вам после победы я бы рекомендовал скачать PreSP4 (ссылка на него есть в UPD4 этого поста) — это поможет защититься от повторного заражения.

  409. LordMetal говорит:

    Уже опять какой-то новенький появился вирусняк. Смс номер высвечивает один из распространенных, однако код уже другой и опять же файл с вирусом уже другой и переехал по неизвестному адресу. Еле загрузил винду (Windows 7) что б не выскакивало окошко с активацией. safe mode не помог. Как ни странно норм. загрузилось в режиме с поддержкой командной строки. сча тестю последним cure it, благо комп не тронут, вирус моя благоверная успела только на ноут занести (через аську). Пока нашлось: Win32.HLLW.Lime.based.18. Создал странный файл svcgost.exe (жалкая подъебка на svchost.exe ?? =) ) в папке windows.

  410. LordMetal говорит:

    уря! система запустилась норм, даже рабочий стол не лег. Ща пробегусь eset ss и cure it'ом, попробую отловить остатки заразы

  411. александр говорит:

    Здравствуй гений, у меня к тебе совсем другой вопрос. Почти все тоже самое как и у многих пострадавших, типа на такой то номер отправить смс с таким то текстом…Только с компом все нармуль, появляеться окошко с этими данными (её не сдвинишь и не переместишь).Вобщем, не стал никуда ничего отправлять а просто антивиром удалил злополученую папку.Проблема теперь в другом, комп работает а вот в инет ваще доступа нет, что делать?

    • Дмитрий говорит:

      проверьтесь антивирусом еще раз. Тем же CureIt. По всей видимости в системе до сих пор вирус, который и блокирует доступ

  412. LordMetal говорит:

    а вообще если система после чистки антивирем кое-как грузится, но часть ее, эмм, опций, не работает, то прежде чем ковыряться в реестре (а может и вместе с этим, если первое не помогло) неплохо помогает команда "sfc /scannow" (восстановление системных файлов). Правда понадобится диск с виндой. В отличие от опции восстановления системы эта штука реально помогает. По крайней мере мне помогла, когда на работе подкинули комп (фактически сервак, винду убивать низя было) с еле живой виндой… (то были последствия неумелого обращения как раз таки с этим вирусняком)

  413. Сергій говорит:

    Недели две назад пришло мне сообщение:
    "заметно что фотка в фотошопе отредактирована или нет?
    http://polsovet.ru/img/foto20.gif"
    Так как я даже и подумать не мог, чтобы этого человека в чём-то подозревать, то, решил посмотреть, что там, прошёл по ссылке, смотрю — какое-то странное расширение у файла. Думал сначала спросить у приславшего, чем это дело открывать, а потом подумал, что это, наверное, специальное такое расширение фотошоповских файлов (так как хотя у меня фотошоп и установлен, но знаком я с ним мало), тем более, что и иконка, как у картинок. Ну и открыл. Вначале показалась на какоё-то момент моя программа для просмотра картинок, а затем сразу же появилась серая заставка с уже известной надписью. Антивируса у меня не было, так что ничто этой программке не препятствовало. Ну я давай, конечно же, активно нажимать на все известные и неизвестные мне сочетания клавиш, вызывать диспетчер задач (который, кстати, вызывался, но буквально сразу же, как только появлялся, исчезал) и ещё делать чёрт знает чего. После этого я решил зайти на свой компьютер с удалённого робочего стола, но и на другом компе отображалось то же. Зайдя вновь со своего компа, я вновь начал нажимать всё подряд, и как-то — я и сам не понял, как, — эта надпись наконец-то пропала. В первую очередь, я закрыл 250, или что-то около того (точно уже не помню), диспетчеров задач, а попытавшись его открыть вновь, узнал, что он заблокирован! Ну это меня, естественно, не удивило, я его быстренько разблокировал и полез копаться в автозагрузке. Но если до этого мой комп жутчайшим образом тормозил, то сейчас он вообще едва ли не подвис. Я переключился на диспетчер задач, и чтобы хоть как-то разгрузить систему, начал отключать ненужные процессы (а их там собралось немало, учитавая то, что до этого комп дней десять не перезагружался). И, видимо, я немного увлёкся, потому что в конце концов не оставалось ничего другого, как перезагружаться. И тут я пожалел, что так и не добрался до автозагрузки, так как и из безопасного режима эта надпись выскакивала. Загрузившись с поддержкой командной строки, я, по совету своего сожителя, удалил у себя в реестре (где точно, не помню) параметр winlogon. Не стоило этого делать, на самом деле.
    В общем, запустил восстановление системы, и, в результате, пришлось только переустановить daemon tools. А так, все установленные программы, все драйвера, все настройки — всё осталось.

  414. Maximal говорит:

    Если не работает диспетчер задач
    попробуйте так:
    залезть в реестр Пуск — выполнить
    regedit — HKEY_CURRENT_USERS/oftware/Microsoft/Windows/CurrentVersion/Policies/System и удалить ключ DisableTaskMgr.
    Перегрузиться.

  415. Maximal говорит:

    изначально грузится safe mode с поддержкой командной строки
    оттуда regedit.exe
    Вообще, так же советую держать Far на машинах на такие случаи ,когда не пашет ничего.
    P.S. в командной строке есть функция команда help выведет все доступные операции , по сути из командной строки можно выполнить что угодно
    основные команды:
    dir — показывает директории в папке
    cd " путь например с:\ " меняет папку
    Всем ГЛ в болрьбе.

  416. kost говорит:

    у меня просят написать текст 210000 на номер 8535, в безопасный режим не входит вылетает синий экран, винда почемe-то не ставится зависает, может кто-то сталкивался с такой ситуацией?

  417. Ляксандер говорит:

    Всем привет немогу достучаться до генератора ключей от веба окно вообще не загружается у меня проблема http://extremallife.ru/work/program/virus-sms-2 тут описывается точь в точь только нет антивирусника и инет отрубился ((( может кто подскажет что делать
    Заранее спасибо

  418. Алина говорит:

    У меня выскакивает очень правдоподобное окошко,
    что вроде как после обновления системы мы вас
    разоблачили и всё поняли — у вас виндвс нелицензионный.
    отпарвила сэмэсэ. код активации — 13616.
    но оно вылетает каждые 30 секунд, когда я в нете.
    днем не так часто, под вечер — зверствует страшно.
    аваст пока ничего не обнаружил.

  419. саша говорит:

    Советую всем что после того когда переустановили WINDOWS поставьте антивирус Panda Internet Security 2009… я так сделал и пока что у меня всё работает

  420. Дмитрй говорит:

    Я так понимаю все на этом форуме просто хорошо разбираются в компах? а что делать простым пользователям?! попробую дать версия как я избавился от этой хрени. просто при загрузка нажал F8 и загрузился в безопасном режиме. дальше восстановил систему за пару дней до начала появления этого окна. комп нормально заработал. ну и самое главное удалил файлы с папок C:\Documents and Settings\All Users\Application Data.

  421. Aert говорит:

    думал никогда не коснётся…ну славо богу у мну есть 2 акк на компе)
    помогает…Нашёл эти файлы и удалил)и вуаля всё работает) tongue

  422. Олег говорит:

    Была более современная картинка о активации, но принцип тот же. Справился зайдя в безопасный режим и восстановлением на день раньше. Жаль не могу выложить картинку (уничтожил) и не могу сказать сайт источник, т.к вирус схватила жена на свой ПК.

  423. halabuda говорит:

    мне drweb cureIt не помог решить проблему, помогла прога Malwarebytes' Anti-Malware. вирь сидел под видом с:\windows:svchost.exe

    всем удачи smile

  424. ВИТАЛ ИК говорит:

    Дмитрий, а как запустить этот файл, если у меня при загрузке безопасного режима перезагружается комп sad

  425. Роман говорит:

    angry angry Сука найду этого педика который деньги вымагает я ему голову оторву он за все ответит у меня такая же ситуация была не днях этот файл назывался Aktiwat он запускался в папку Автозагрузка (Пуск все программы Автозагрузка) файл азывался Quiq Office я перезагрузил Windows XP SP3 в безопасный режим удалил к чертям этот файл и все!! я педику покажу как Активировать винду по СМС я ему гаду все активирую!!

  426. рамир говорит:

    привет,у меня просит отправит смс на номер 8353 с текстом 15598712,подскажите пожалуйста какой код разблакировки?а на генераторе нет моих номеров.

  427. serYoga говорит:

    У меня таким же образом Интернет заблокировали, я прогу нашёл, которая заблокировала, удалил, все равно не входит в инет, чё делать? плиз ответьте на мэйл kingst-ss@inbox.ru

  428. CaNab1S говорит:

    блин ребят, на другом сайте(антивирусника, ссылка вот http://ipsgold.ru/?p=725 ) про4итал про изменение реестра и удаление файла, после подправки реестра винда стала выкидывать ваще накуй, сразу после ввода пароля юзера, кидает в завершение сеанса и опять в менюшку выбора юзаера, ПЛ3 ПРОХЕЛПТЕ, ЕТО Я РЕЕСТР НЕ ТАК ПОДПРАВИЛ ИЛИ ЕТО ЕЩЁ1 КАКЯ-НИТЬ ХЕРЬ ?)))

  429. Дмитрий говорит:

    serYoga, CaNab1S,

    можно попробовать следующее:
    Пуск->Выполнить-> sfc.exe /scannow
    Эта команда запустит проверку системных файлов на целостность. будьте готовы вставить установочный диск с ОС

  430. CaNab1S говорит:

    2 Дмитрий, Легко сказать пуск))) я впринципе в систему вхожу тока с лайф-сдшников, которые седни делал, а если запускать винду с харда, то она впринципе не грузица(после введения пароля юзера тут же кидает обратно в менюшку выбора пользователя с завершением сеанса(перевыбор пользователя), регистри код уже поменял, вирус грохнул(все), система все равно не грузица, команжу выполнить попробую )
    ЗЫ: спс за помощ

    • Дмитрий говорит:

      думаю тогда смириться и поставить ОС заново. У меня хоть и есть опыт в установке/настройке/поиске проблем, но удаленно очень часто диагностировать проблему явно не получается.

      Поставьте ОС заново и сделайте сразу образ системы (я тут http://dimapolyakov.ru/blog/2009-10-27-193 рассказывал)/ В будущем он поможет восстановить систему минут за 15 wink

  431. CaNab1S говорит:

    С этой проблемой разобрался(сделал ещё один загрузочник с ЕРД коммандером и изменил значение реестра), но почемуто даже после лечилки доктора веба и удаления тонны троянов и мусора, все равно выскакивает сообщение с этой хренью,не подскажете в 4ем проблема(сори что нагружаю, но я вроде все что нужно было сделал)

  432. CaNab1S говорит:

    УРЯЯЯЯЯЯЯЯЯЯ, я разобрался с этой ерундой, вирус достаточно туп, т.к. блокирует тока виндовский диспетчер задач, но не обращает внимание на ProcessExplorer(кстати полезная программка, советую всем), если успеть до всплывание окна запустить обозреватель, то можно зайти в локальную шару и запустить закачанный на лан комп процесс-експлорер, процесс назывался active.exe, файл лежал в C:\WINDOWS\active.exe, грохнул, все заработало, это название тоже проверяйте у себя )) wink

  433. Альберт говорит:

    Тоже была такая шняга полу прозрачная голубая заставка и посередине поле для ввода отправте смс 8353 на номер 151144 снизу вправом углу у вас пиратская версия Windows при попытке переустановить изменить какие либо файлы будет отправлено уведомление в Microsoft в отдел по борьбе с пиратством зашел на http://news.drweb.com/show/?i=304&c=5 ввел номер в генератор и воля вписал в вирус и чики пуки заработала запустил DR WEB работает отлично нашел два вируса Winlock b Torjan и удалил.)))) biggrin

  434. Квадрат говорит:

    Такая же фигня, только при попытке зайти в безопасный перезагружается комп, генератор выдавал введите 0 или 0, тоже не помогло)) Среди скриншотов на сайте др.вэба такую же разновидность вируса не нашел, нашел похожие, но тоже не помогло, при нажатии ctrl+alt+del не вылезает ничего, выскакивает после загрузки винды на фоне черного экрана маленькое окошко. Кто знает помогите пожалуйста sad

  435. виталик говорит:

    вот у меня вабще собираюсь делать как вы начал захожу в мой комп вот вэту документы и программы или чото а=в это роде нажимаю и отказывает в доступе что делать умоляю подскожите!!!

  436. Надя_Iriver говорит:

    Я переводила дату в биосе и назад и вперед, диспетчер задач и автозагрузка не запускаеться, восстановление винду пробовала делать,cd live нет у меня, комп как был залочен так и стоит, что еще можно сделать?

    • Дмитрий говорит:

      либо выбрать более раннюю дату в восстановлении системы и откатиться, либо переустанавливать систему с нуля.

  437. Владимир говорит:

    Переустановил винду…Пашет где-то час, а потом опять выскакивает эта дребедень..Почему после формата С эта фигня опять появляется?????? angry angry angry angry angry angry

    • Дмитрий говорит:

      у вас дырка в системе. Если еще не установлен СП3 — срочно ставьте! А потом поверх PreSP4, ссылка на который дана в посте

  438. aquarius говорит:

    Прежде всего выражаю свою благодарность хозяину блога и всем отписавшимся по существу проблемы. Спасибо. Помогло. up
    На днях друг подхватил, видимо слегка обновленную, версию этой пакости. Отличалась она наличием целых трех порно картинок, в горизонтальном ряду. С первого захода не удалось вылечить, avz4 (ver 4.32 с базами от 21.08.2009) не справился; генератор sms-ответов от Dr.Web не помог, а сама утилита «Dr.Web CureI», в виду малого объема оперативки и нехватки ее при работе с «Live CD» ложила машину на синий экран. Но основная идея (наличия распаковок в директории временных файлов c:\Documents and Settings\пользователь\Local Settings\Temp\ ) осталась в силе и благодаря этому вымогатель остался «с носом». smile
    При поиске решения было замечено появление во временной (-ных) (точно не помню, т.к. удалял во всех временных папках) разноименных файлов с датой файлов винды (у друга это 18.08.2004 12-00) и удивительно постоянным размером в 129 536 байт. Поиском по размеру нашел еще три библиотеки, две из которых были и на с «Live CD», поэтому их не трогал, а вот в c:\WINDOWS\system32\ файл «CSqZD.dll» грохнул. Помогло. Правда Диспетчер Задач был заблокирован, но это легко исправить, хотя бы той же утилитой AVZ (меню Файл\Востановление системы\ п.11).
    Если кого-то наведет на мысль как избавится другим способом, скажу, что при запуске exe-файлов, такой диспетчер задач как «procexp.exe» v. 11.02, указывал на запуск следом системного процесса «rundll32.exe», видимо ему отдавались инструкции как лочить запуск. Вот только его удалять не нужно. Он «свой». smile

  439. Даниил говорит:

    Сегодня случайно брат зашел по спаму в контакте. Результат не заставил себя ждать. Комп заблокировался,а диспечер недоступен.
    Часа 2 искал что-нибудь подобное на форумах, наконец, случайно прочитал коммент, какой-то девушки о том что её друг просто ввел кучу нулей. Я тоже решил попробовать, зашел через безопасный режим, набрал… И, о чудо, сработало! Ввел подбором 7 нулей. Затем скачал антивирус De.Web CureLt и удалил всю пакость.
    Говорят, что можно ещё зайти через безопасный режим с поддержкой командной строки, ввести msconfig и отключить все автозагрузки + неизвестные процессы, но мне не помагло.
    P.S. НЕ ОТПРАВЛЯЙТЕ СМС! ГОВОРЯТ, СЪЕДАЕТ ОКОЛО 300 РУБЛЕЙ и ответа НЕТ. cry

  440. Viva La Roma говорит:

    Помогите пожалуйста! Поймал такую же штуку , только еще с рекламой порнухи не рабочем столе, которая "отключиться" если отправить смс. Попробовал все что прочитал…. CureIt не помогает, AVZ тоже. Восстановление системы не включается , выдает какую то ошибку. ОТкрыть c:\Documents and Settings\пользователь\Local Settings\Temp\ не могу, так как комп не показывает скрытые файлы,тоже вроде из-за вируса…regedit не выполняется .. сразу синий экран выскакивает и перезагружается…МОЖНО ЛИ СДЕЛАТЬ ЕЩЕ ЧТО НИБУДЬ ???!!!

  441. Димас говорит:

    Спасибо, помогла база DrWeb, ввёл код и зашел в систему, что-нибудь после этого ещё делать надо?

  442. Maxim говорит:

    Новый вид вируса наверно, File Downloader блокирует интернет. Подхватил буквально пару дней назад, пробую все способы которые есть в народе, но не помогает. Отправить смс надо на 1350 с кодом 262016561. Кто от этой хрени избавился помогите!

  443. Maximus говорит:

    поймал наподобе трояна, только после лайв сд пишет что проблема с проверкой лицензии виндовс, и впускать в винду отказывается напрочь.
    Сделал очень просто, формат ц, я обычно всегда борюсь данным способом. У меня важного ничего не бывает на жёстком, всё важное у меня находится на съёмном жёстком
    smile

  444. Живой_пока говорит:

    Аграмедное спасибо-с хозяину сего блога! Чесслово оч.полезно.
    Хотя, мне пока не слишком помогло. Хрень в том, что вирус заблокировал все, что возможно: ESS, ProcessExplorer, AnVir Task Manager — это стояло в стартапе, затем — regedit, TC, не дает запустить АВЗ, ДрВеба… cry Я не понимаю как это умудриться чтобы этот понос работал также "успешно" и в Безопасном режиме. Я не понимаю аффтаров Винодовоза, которые разрешают посторонней проге нагло писАться куда угодно, как будто везде — дыра. Блииин.
    Ну что, ЛивСД не сильно помогають: ДрВебовский ничего не нашел; у него Линух, свою анвирь не запустить… Лив Панда — нашла пару мелочевок… Ну ща вот загрузил ESS RescueCD — вроде чего-то ищет. Капец полный.
    Ну разве что подцепить винт на рабочий комп и там бомбить. Еще грят, ежели подключить второй монитор, то на нем можно зделать все-все-все, что нужно. Эээээ….

    А ваще-то я на работе случайно нашел, считать, этого долбанутого аффтара, ядри его в Жэ,Хэ,Мэ и весь алфавит!! Он в форуме ХАКЕР продавал свою хрень за 10 уёвин. Народ торговался как на базаре, сидку просил. Кто-то запросил шоб аффтар збацал ему панель, в которой и набирается разный текст "бла-бла", другие СМС, оформление. Потому, видать, и вылезло столько разновидностей этой заразы. Аффтара ф топку!!!! angry
    (ЗЗЗЫЫЫыыы. Нащот аффтара не шутю. Но если сцылка на тот базар нужна, плиз, мыльте. А то я ща за чюжым кампом, случайно набрел сюды).

  445. Алексей говорит:

    Здравствуйте! меня WIN7 После удаления вышеописанного вируса с помощью программы Nod32?? компьютер видит интернет соед-е и показывает что оно рабочее, но не на один сайт не могу зайти. Помогите cry cry cry

  446. luccello говорит:

    у знакомой девочки та же фигня- она в компах не шарит- помогала ей удалённо через асю. та же картина — блокировал, зашли в безопасном режиме, почистили комп cure it- ом, нормально грузится, соединение есть, ася работает, бит торрент качает, а браузеры но одну страницу открыть не могут. кто справился с проблемой?

  447. Дмитрий говорит:

    Алексей, luccello, попробуйте проверить файлик windows\system32\drivers\etc\hosts

    в нем не должно быть ничего кроме
    127.0.0.1 localhost

    Если есть другие записи — смело их удаляйте. Так же проверьте параметры подключения к интернету. Попробуйте в качестве DNS установить следующие адреса:

    208.67.222.222
    208.67.220.220

    Отпишитесь потом о результатах.

  448. luccello говорит:

    вчера девочка сообщила, что удалила вирусы из карантина и инет заработал! зато не работают звуковые драйвера…. вот млин!

  449. Алексей говорит:

    Помогите плизз вирус некуда непускает ПРишлось удалить антивирус так как его полностью проели,Требует отправить смс с кодом к705913300 на 4460В инет выйти не могу антивирус установить или скачать тоже sad

  450. RexGRU говорит:

    Закончил борьбу 5 минут назад. Скажу сразу загрузка в безопасном режиме НЕ помогла. Вирусня блочит и там. Загрузился в безопасном с поддержкой командной строки.
    Затем:
    >msconfig
    Службы -> Востановление системы. Откат на предыдущий день (до того как появилась вирусня).
    После этого поиск файлов которые были созданы или изменены в день заражение или после. И убить все.
    Можно для уверенность прогнать парой антивирей.

    З.Ы: ОС: Виста

  451. Александр говорит:

    У меня на компе появилась такая же хрень,отправте смс на номер 4460 с текстом К705113100, я с другого компа стал искать что делать, делал загрузочные диски,пытался найти вирус доктором вебером, но всё оказалось проще.(на все предыдущие действия я потратил день).
    Потом прочитал гдето на форуме, что нужно обращаться к оператору которому принадлежит номер на который просят от править смс.
    Я набрал на яндексе номер 4460 и получил адрес владельца , в данном случае это компания А1 агрегатор,www.a1agregator.ru, я по всем их службам по почте отправил письма с просьбой прислать мне код разблокировки иначе завтра пойду писать заяву в милицию и у меня винда лицензионная, в течении получаса мне по почте прислали код, потом я ввел и вирус даже самоликвидируется и следов не найти, антивирус потом ничего не нашёл. biggrin

  452. Dez говорит:

    Действительно появилась новая модификация,во вирус блокирует редактор еестра, недаёт запускать exeшники и в безопасных режимах также. Пробовал искать везде этот вирус непомогает. Уже снёс операционкау(XP), правда забыл попробовать некоторые вещи то как перевод часов в биосе на день вперёд. А угрожать оператору что-то я и неподумал )))))
    Александр, действительно немогли бы вы поделиться кодом?

  453. Zebra говорит:

    Спасибо большое! решил проблему с с помошью друга свободного лайфа…Т.К блокирует панель задач сетевое окружение вобшем всё.! КСТАТИ У МЕНЯ НОМЕРА И ТЕКСТ БЫЛИ РАЗНЫЕ НО КОД ПОДОШОЛ, Я ДАЖЕ ЕКСЕШНИК НЕ ИСКАЛ (блокер) ТАК ЧТО НА НОМЕР НЕ ОБРАШАЙТЕ ВНЕМАНИЯ ПРОСТО ВЕДИТЕ КОД.

  454. Артём говорит:

    я тупо вводил всё вподряд и нажимал "ок", после 20-40 раз появилась панель задач и через минуту весь рабочий стол smile

  455. Юра говорит:

    До Нового года подцепил ту же хрень. Но как странно было ли у кого-то такое: хрень эта выскакивала только под паролем администратора, а под паролями обычных пользователей этой хрени небыло, но интернет был заблокирован у всех пользователей. Так как дома есть 2 компа, то проблему решил с генератором ключей на DrWeb. Антивирус стоит КАСПЕРСКИЙ, но хрень эту он пропустил. После скачал DrWeb Cureit, запустил полную проверку, нашел он вирус Trojan.Winlogon591, удалил его. Теперь под пользователем администратор все ОК, но под обычными пользователями интернета нет!!! При чем если войти в систему под обычным пользователем и запустить обозреватель (IE8, OPERA) под администратором (правая кнопка мыши — запуск от имени и выбираем администратора и вводим пароль), то все работает. Но раньше заходил под обычным пользователем и все работало без пароля администратора. Помогите справиться с этой хренью. Мучаюсь уже неделю — ни чего не получается.

  456. Юра говорит:

    Если создаю нового пользователя с правами опытного пользователя, то тоже ничего не работает, а если с правами админа — все ОК. В файле hosts ничего лишнего нет. Если честно, то уже запарился — сегодня целый день на эту херню потратил и ничего не могу сделать.

  457. Вадим Усков говорит:

    А я востановлением системы его грохнул, файликов этих не нашол но какоето грохнул

  458. axel-asm говорит:

    up Могу продать билд этого блокиратора написан он на Assembler

    Возможности программы:
    [+] Защита от повторного запуска софта. createMutex.
    [+] Изменяет аттрибуты на скрытый и системный у explorer.exe, regedit.exe, cmd.exe, taskmgr.exe.
    [+] Помещение окна блокиратора поверх всех окон (блокирует Alt+Tab).
    [+] Имеет достаточно простой и понятный интерфейс.
    [+] Возможно вписать любой текст на ваше усмотрение. (Опционально).
    [+] Не изменяет ключей в реестре. (работает по !другому принципу. Исключение, прописывается в автозагрузку и блокирует безопасный режим).
    [+] Автозагрузка вместе с explorer.exe, далее его принудительное завершение.
    [+] Возможность отслеживания и завершения любых процессов в памяти. (Опционально).
    [+] Блокировка безопасного режима\Disable Safe Mode.
    [+] Блокировка Alt+Ctrl+Del, Alt+Tab, Alt+F4, Ctrl+Esc, Win+D, Win+R, Win.
    [+] Добавляет себя в исключения виндового фаервола (доверенный источник).
    [+] Маскируется под файл Microsoft Office — ctfmon.exe (Иконка и versioninfo) (Опционально. Возможно изменить на любой другой).
    [+] Создает файл носитель и устанавливает ему атрибуты: скрытый, системный, только чтение.
    [+] Проверка на существование файла (защита от повторного запуска).
    [+] Полное самоудаление из системы при правильно введенном ключе.
    [+] Шифрование ключа(ей) алгоритмом ROTx.
    [+] Установка одного или нескольких ключей разблокировки. (Опционально).
    [+] Оригинальный размер файла 20 кб, криптованный Upack0.39f — 7.4 кб
    [+] Отслеживает и блокирует процессы: TASKMGR.exe, MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe. (Опционально).

    Все вопросы в e-mail:yurkovich83@gmail.com up

  459. sp1d3r говорит:

    что делать?
    меня просят отправить смс на номер 1350 с текстом 861282182 генератор , как впрочем и другие способы решения проблемы не помогли.
    помогите , пожалуйста )))) cry

    • Дмитрий говорит:

      попробовать обратиться на сайт http://www.smsrent.ru, как я понял — это они владельцы короткого номера (не вируса!!!). Возможно они подскажут код.
      Ни в коем случае не отправляйте смс — вот тарифы — спишут сразу 300р!

  460. Сергей говорит:

    Если после удаления вируса нет инета, возпользуйтесь AVZ (файл-восстановление системы-14 пункт ())

  461. Андрей говорит:

    Получил "подарок" в виде запуска некоего INTERNET SECURITY с сообщением о сканировании системных файлов, строкой состояния и в конце-концов нахождения 60-ти зараженных файлов. После меня пристыдили за то что я до сих пор не активировал эту чудесную программу и предложили выход-отправить смс для получения кода активации. При чем все так натурально, не поленились даже добавить кнопки типа "лечить","карантин","удалить". Ничего, естесственно, не сдвигалось и не закрывалось. Диспетчер задач,равно как и восстановление системы да и все остальное было деактивировано.
    Помог генератор Dr.Web. Потом запустил gpedit.msc, вернул все на свои места. Затем основательно,вручную, зачистил реестр и все папки TEMP.
    Пока вроди тихо…

  462. sasha говорит:

    Стоит w7 (антивирь аваст,ну и +) ноут на работе не разу не поймал такую дрянь, да и особо не куда не лазил. Дома все намного печальнее было. (Синий экран и Бла..бла..бла) внизу номер sms. Брат привез жесткий на работу, сканирование антивирусом 0 толку. ладно думаю посмотрим что там. Время переводил 0, искал указанные файлы 0. Помог банальный поиск (созданы ранее файлы таким то таким то числом отправились в топку)После приведение реестра в порядок. Ну и гвоздь программы прогон антивирусной системой happy

  463. tipic говорит:

    вирус мегаизменился, после ввода кода идёт обратный таймер,причём время увеличивается с каждым вводом в арифметической прогрессии… способ лечения вроде ест, проверюсь, если вылечил, выложу ссыль на источник.

  464. tipic говорит:

    кстати, генераторы

    INTERNET SECURITY с сообщением о сканировании системных файлов, строкой состояния и в конце-концов нахождения 60-ти зараженных файлов

    можете не использовать, не работают

  465. Popados говорит:

    Уважаемый бойцы с дрянью здравствуйте.
    У меня вылезло Internet security генератор кода не работает, он на каждый код пишет анализ 7-6…-0 а потом НЕВЕРНЫЙ КОД.
    Все безопасный режим тоже капут, cmd, диспетчер,regedit сладко спят, откатка времени в биос не помогла.
    Я скачал liveCD скажите как его правильно записать на болванку.
    1)запихал папку boot-тупо диск F:\boot\файлы папки
    2)запихал из папки boot-диск F:\файлы папки
    Ни так 1 ни так 2 не грузит livе CD(все в биосе правильно настроил-загрузчик, диск windows грузил)
    Что мне делать?

    • Дмитрий говорит:

      скорее всего файл LiveCD скачался в формате iso — это и есть образ диска. его нужно открыть программой для записи дисков (все современные проги это делать умеют, платный Nero или бесплатный CDBurnerXP точно) и записать с их помощью. А дальше всё как обычно…

  466. Дмитрий говорит:

    По совету добрых людей добавил в пост ссылку на новый раздел на сайте DrWeb, в котором можно получить код разблокировки, а так же на аналогичный сервис от Касперского.
    Ссылка на PreSP4 так же обновлена.
    Борьба продолжается!

  467. Aikus говорит:

    блииин, тоже вылез этот бутафорский Internet security cry и главное не могу понять откуда он появился. Вот, что значит подпускать к компьютеру нерадивые личности, но это все лирика.
    А вот как с ним бороться или есть ли у кого-нибудь код активации к нему? А то он все .exe-шники убивает и ничего не возможно запустить, даже архивы не распаковываются, а что уж тут говорить о regedit и диспетчере задач. Кстати при попытке запуска WinRar'a компьютер вообще завершает работу wacko
    Продолжаю борьбу и жду информации с других фронтов! Вместе мы его одолеем up

  468. Maleus говорит:

    Словил такую же фигню как описывается в последних постах, в режим защиты от сбоев не перейти, единственно если в мс конфиг в бут ини указать что грузится в сейф моде с указанием не помню какого режима сейф моде, но по моему крайнего правого, тогда загрузка в сейф моде идет но не под администратором, что т этого тоже толка я не заметил, а в норм режиме закрыт диспетчер, регедит, тотал, антивирус, куда не ткнеш вылазит это окно.
    Но у меня стоит 2 ОС , гружусь со второй, пускаю Аваст — результат 0, пускаю — Ад-аваре результат -0, пускаю Нод32 — результат 0, надоело
    Нахожу поиском все фалы созданные за дату когда подхватил, и все левые и непонятные удаляю.
    Нахожу все файлы измененные за ту дату, часть удаляю, часть заменяю файлами с 2 системы.
    Гружусь — все работает кроме диспетчера, регедита, антивира, и загрузки в режиме от сбоем, и восстановления системы — пишет что администратор все это отключил в политике — типа зайдите как администратор.
    Лезу через панель управления в политику пользователя, нахожу где включить регедит, диспетчер. Копии реестров не делал( так что реестр не импортировать. В диспетчере сидят вроде все свои.
    Но я помню что у меня работает восстановление системы — то что в служебных приложение. Но его не запустить — тоже ограничение, где снять не нашел, кто знает подскажите, хочу откатить всю систему.

  469. Popados говорит:

    Сука а не вирус, короче я грузился с livecd(не обновился и почему-то сканер не запустился)и rescue(обновился, нашел какй-то троян, лечил),загружаюсь зажав пальцы, а фигушки internet security.Кстати у меня тоже стояла,слава Богу 2 винда.Прогонял всем чем можно, ноль результата.
    Плюнул, решил переустановить винду, во время установки решил, а дай попробую воостановление. И сработало, вирус сдох, тока у меня как и у Maleus типо админ все отключил.
    Юзаю вот это (http://shkolazhizni.ru/archive/0/n-10631/)восстановил диспетчер и реестр,тока антивир(avira) всеравно мертв, переустанавливал несколько раз.
    Скачал все обновления windows и о чудо антивирь ожил, в дополнение поставил комодо.
    Прогнал опять всем чем можно систему, реакция ноль.
    Пока сижу держусь за яйца smile
    А еще с утра захотел поставит игруху Call of Duty:MW2.
    Не поставилась пишет Failed to run install script
    Нашел решение
    Мой компьютер -> Правой кнопкой на DVD-приводе -> Открыть -> Правой кнопкой на setup.exe -> Запуск от имени администратора.
    Тока вот он орет что типо не нулевой пороль или какая-та группова политика.
    Ни кто не знает как это исправить?

  470. dj_ermil говорит:

    История:
    вирус Internet security (ekav)
    при загрузке Windows не стартует:
    userinit.exe
    ccSetMrg.exe
    ccEvtMgr.exe
    alg.exe
    rundll32.exe

    заблокирован, не работает диспетчер задач, ctrl+alt+dell
    не стартует ни один .exe файл
    иногда открывается окно с требованием отрправит смс и ввести ключ

    Бился с самого утра, спасибо, помог стандпртный ключик 544625144 и

    сайт http://boltunishka.berserki.ru/archives/417
    Сейчас загрузился с LiveCD, провожу проверку CureIt

    За такие вещи людям надо яйца отрезать

  471. Ксана говорит:

    Добрый день! Помогите кто может!!!! sad
    У меня vista, а интернете я работаю на Mozilla Fifefox… так вот недавно заблокировала картину на сайте "Мой мир" (она была не очень культурного содержания). Это произошло так быстро, что я и не поняла как я это сделала при помощи мышки((( Теперь мне блокируются все картинки автоматически sad даже не могу посмотреть гостевую книгу, где мои друзья меня поздравляют с праздниками(((
    Пожалуйста, помогите разобраться, за раннее спасибо!

    • Дмитрий говорит:

      хоть вопрос и не по теме топика, постараемся помочь.
      Уточните, как именно заблокировали картинку? Стоит ли у вас дополнение AdBlock и AdBlock element hiding helper?

  472. Сергей Кобельников в личку сообщает:

    Я — компьютерный "чайник". Вымогатели заблокировали компьютер,но с помощью ребят с форумов,нашелся код активации. Спешу поделиться со всеми,у кого такая-же беда: текст СМС 585359763 тел.Для абонентов МТС 1350,других операторов 3353 или 8355. Подошел код 10149301. Удачи всем!

  473. fariz говорит:

    народ очень простой способ избавиться от этой заразы токой….просто возьмите телефон и наберите следующий номер.8(495)3631427 там вам ответит оператор "А1АГРЕГАТОР" продиктуйте ей или ему код который вирус предлагает вам отправить по смс… и там вам скажут код требующийся для разблокировки вируса. надеюсь это вам поможет мне помогло. всего доброго. smile

    • Дмитрий говорит:

      Если кто будет обращаться к автору комментария — напишите потом здесь — добросовестный помощник он или тоже чего вымогает.

  474. zool говорит:

    здрасте у меня была та же проблема на ноуте ситуация осложнилась тем что сломан сидюк и переустановка винды не возможна как тут посоветовал один друг по искать подозрительные файлы в апликатион дата нашол дельнул проблема самоустранилась но винда до сих пор блокирована не работает ни regedin ни диспетчер задач также не возможна работа многих эксишников из за изменений в груповых политиках ни востановление системы по этой же причине также иконка в пуске ссылающаяся на эти груп политики атстутствует и я подозреваю тоже не будет работать …..вот такое вот говно …этот аваст пропустил настолько глобальное изменение системы нафиг все бесплатные антивирусы касперский рулит )))

    • Дмитрий говорит:

      Что могу посоветовать:

      1. Утилита AVZ должна вам помочь.
      2. Запустить управление групповой политикой безопасности можно так: Пуск->Выполнить->gpedit.msc
      3. Запрет на запуск редактора реестра и диспетчера задач так же может снять XPTweaker

    • Дмитрий говорит:

      Если не поможет, может это как раз причина мигрировать на Windows 7?
      Где взять образ диска думаю найдете, а эта программка поможет сделать загрузочную флешку и установить Windows 7 с нее.

  475. Наташа говорит:

    три дня назад нод поставила, сегодня уже попалась! ничего сделать не могу — он отключил клавиатуру! Как с этим бороться??? Уже и коды нашла, а толку-то. В безопасном режиме тоже не зайти sad

  476. boroda4446 говорит:

    Я использовал Paragon Rescue Disk.Сначала нашел эту гадость-
    "C.\Program Files\plugin/exe" а потом загрузился с Парагона и
    просто удалил этот файл.Потом CCleaner вычистил автозагрузку
    и реестр.Желаю всем удачи в борьбе с замудонцами.

  477. Анатолик говорит:

    Походу вирус эволюционирует… Скачал с др.вэба загрузочный диск, вставил, в ноут запустил и всё теперь дальше выбора видов загрузок(обычная, безопасный режим, востановления посл. кудачной конфиг) зайти не могу cry

  478. Николай говорит:

    Мне реально помог только AVZ и прямые руки. А потом установил AVAST, он блокирует скрытое скачивание с сайтов и уведомляет об этом, а разрекламированные каспер и др веб курят бамбук. коды др веба не подходят. сканеры их не видят вируса, а аваст после того как я отключил загрузку вируса при старте системы нашол потом хвосты этого вируса. до него у меня стоят nod32 с последними обновлениями, который благополучно профукал сей вирус и умер скоропостижно после перезагрузки компа.

  479. Аноним говорит:

    У меня та же проблема, только я все таки решил переустановить ОС. Но только не достиг успеха. После форматирования диска начинается установка ОС, но только заканчивается копирование файлов, комп перезагружается и все начинается сначала. Если кто знает что нужно сделать, помогите пожалуйста. Заранее спасибо

  480. Wolf говорит:

    Только что подцепил эту гадость. Антивирус (Avira) не помог. Вылечил за пол часа руками без всяких фокусов. Тупо зашел в сейф моде под администратором, порылся в журнале событий. Засек точное время заражения. Затем вычистил к едрене фене и жукам майским все файлы на системном диске начиная с этого времени. В числе прочих под нож попал загадочный файл Postmap.exe. После ковыряния в регэдике он бодро нашелся в автозагрузке и был подвергнут страшной каре. До кучи для верности почистил весь кеш. После перезагрузки все стало нормально кроме заблокированого диспечера задач. Эта хрень что то меняет в групповых политиках. Видимо урезает права пользователям. Я не долго мудря перегрузился опять в сейве под админом и откатился до вчерашней точки восстановления. Благо в фортках такой фокус существует еще с Линолиума. Собственно все. Антивирус обновил. Сейчас он весело потрескивает винтом. В системных папках ничего не нашел. Видимо руками все правильно убилось. lol Ощущение как будто не комп вылечил а коту глистогонку дал. Не вирус это а спам убогий. lol Эх, вот были вируса в свое время. Янки дудл например lol

  481. Дмитрий говорит:

    на сайте drweb есть генератор кодов смс. Моего кода не было, Выбрал самый последний который был чтоб примерно подходил и ни че прокатило, комп включился. biggrin

    у меня был чёрный экран, написано в центре и слева внизу про операционку указано, что не пытайтесь переустановить. surprised

    Последствия: не работает Диспетчер задач и при переустановки Windows требует форматирование жесткого диска. wacko up sad

  482. Валера говорит:

    помогите пожалуйста. поймал блокировщика, просит отправить текст 8056534 на номера 9395 ;8385 или 2090. пытался зайти через F8, но не получается. пытался найти похожие блокировщики не нашел. коды тоже не нашел. подскажите как решить проблемму sad cry

  483. Млявый говорит:

    СЕРГ, странно, что не работает, мне всегда помогало. Все 3 номера пробовал вводить в поле номера(по очереди)?
    В любом случае KIS2010 при полном сканировании находит эту гадость, называется WIN32 NESHTA, у меня много раз была она. Заражается svchost.exe, после чего ни один экзешник не запускается и диспетчер задач отрубается. Мне каспер её удалял а все заражённые файлы вылечивал, теперь нет проблем. А всякие авасты можно сразу в топку отправлять.

  484. Млявый говорит:

    Точнее, не WIN32 NESHTA, а WIN32 RANSOM.
    Скачай хотя бы триал каспера 2010-го, просканируй — он тебе предложит лечение с перезагрузкой, после чего норм всё будет, а диспетчер задач можно вернуть восстановлением системы или реестром. Но вообще, ссылка, которую я тебе дал, мне помогала всегда.

  485. серг говорит:

    Спасибо канечно , но я немогу ниче скачать ибо виндоус не запускается . И ничего сделать не могу вообще . Коды неподходят никакие . Сейчас решил ждать 3 часа посмотрим что будет . Написано если в течении этого времени не отправить смс то писец будет . Остался час . Как думаете что будет?

  486. Oleg говорит:

    Разблокировка программ-вымогателей.

    1. Найди комп с выходом в интернет
    2. зайди по адресу
    http://www.drweb.com/unlocker/index
    3. Внимательно прочти всю страницу и введи в генератор свои данные
    4. Полученный ключ введи на своем домашнем компе
    5. Хватит лазить по порносайтам!

  487. Алекс говорит:

    есть такая проблема , диспетчер задач не работает блокеров нет , пароли не работают которые были написаны , а на сайты указанные здесь не заходит , помогите плз если что аська 470730750

  488. макс445 говорит:

    помогите мне пожалуйста! у меня заблок винду…
    просит отправить смс m21720009 на номер 8353
    не могу нигде найти код разблокировки
    cry

  489. DEN63 говорит:

    Прочитал статью, очень познавательно и полезно. На диске системном нашёл файл "UgWMa.dll — весит 15,5 кб". После его удаления просьба отправить смс исчезла.

  490. DEN63 говорит:

    макс445,
    Попробуйте зайти на сайт Dr.Web и там нужно скачать и запустить на исполнение "лечащаю утилиту Dr.Web CureIt". Найти можно в разделе "программы", бесплатные утилиты.
    Сегодня лечил комп, так тоже невозможно было найти код разблокировки, спасение нашёл в этой утилите. Интересно что номер смс тоже 8353. Удачи.

  491. LoneWolf говорит:

    Поймал эту заразу, тел. 8553 CureIt не помогает.

    Людй, куда еще можно ткнуться? Без компа как без рук

  492. skerrourl говорит:

    Кино и немцы…
    Всё бы это было очень смешно, если бы не было так грустно

  493. LoneWolf говорит:

    Не первый раз ловлю. До этого помогала утилитка, или вручную удалял
    blocker.* и иже с ним. Сейчас на компе файлов с такими именами просто нет. Что-то новое

  494. LoneWolf говорит:

    Да.

    прогнал весь С:/ в безопасном режиме
    — толку никакого — 0 найденных объектов

  495. Сергей говорит:

    Всё намного проще.заходим на dr.web там есть ссылка на разблокировку всего.Сам проверял.

  496. plift говорит:

    Здравствуйте!
    Сегодня товарищ позвонил и попросил помочь с разблокировкой. Сам я про такую штуку только слышал, но не сталкивался. Благо есть такой наш спаситель — Дмитрий Поляков:) По ссылочке отсюда перешёл к ДрВебу и как ни странно с первого же раза прошли коды(на удивление их было 2). Коды я продиктовал по телефону и в итоге винда заработала, а интернет по обыкновению нет:) Требует опять отправлять смс, но поля для ввода кода уже нет:( Завтра еду на встречу с тем компом, чтобы попробовать вылечить его. Собрал всю инфу из комментов: имена файлов вирусов, проверку файла hosts, воспользуюсь AVZ и CureIt — посмотрим что получиться. Пишу к тому, что может кто подскажет ещё какой-нибудь способ, который прошёл у него, дабы быть вооружённым завтра до зубов. Заранее спасибо.

  497. plift говорит:

    Сегодня всё отлично решилось. Прошёлся CureIt по компу. Воймал файл TaskKills.exe в папке system32. После воспользовался по инструкции AVZ и теперь всё работает отлично. Спасибо АВТОРАМ!

  498. max говорит:

    спс большое создателем сайта я на трекере 2 банера всхватил и 2 раза сайт помог а деньги тратить нехоца :dollar:

  499. romaXA говорит:

    висит банер вы успешно зарегистрировались на портале для геев и просят положить 300 руб на номер +79670584495. вся система заблокирована ничего не могу сделать…Что делать?помогите плиззз!!!! sad

  500. сашулька говорит:

    привет!! помогите, какая то херня вылезла на раб столе( просят отправить смс с текстом:41771027 на номер 3381!…. помогите,4то мне надо сделать?!?! sad

  501. раф говорит:

    Вчера принесли бук. При загрузке на весь экран вылазит окно с просьбой, пополнить счёт абонента. В безопасном режиме тоже самое. Скачал minDrWebLiveCD. В биосе поставил загрузку с CD. Загрузился с диска LiveCD, запустил сканирование на ночь. Утром! LiveCD всё ещё в процесе(сканирует). Не выдержал, остановил. Сегодня в течении 8 часов перерыл весь инет, советов куча, только путных нет( для меня обывателя ). Итог, сделал так:
    1) На другом компе скачал Dr.Web CureIt с оф. сайта
    2) записал его на CD.
    3) Загрузился на больной машине в безопасном режиме с поддержкой командной строки.
    4) Вставил диск и в командной строке вбил путь к файлу Dr.Web CureIt на диске ( d:\(название файла с расширением)) + энтер. Вместо d, пробуйте f,e.g
    5) Грузится Dr.Web CureIt, сканируем. Находит вирус, удаляем. И всё.
    6) В биосе востанавливаем загрузку с жёсткого диска.

  502. Monstr говорит:

    romaXA,

    C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr00VKF-это удалить
    Вирус называется Trojan-Ransom.Win32.PornoBlocker.vu

  503. Dima говорит:

    у меня тоже такая штука была)) я даже не знал тогда про ее существование… так мучался и ввел просто код который надо было отправить и вуаля))) щитал себя таким генеем))

  504. Vik говорит:

    На днях такая же фигня была — висит красный баннер с тремя картинками, требующий отправки смс на номер 3381 и блокирующий практически любые

    действия в виндосе. После многих часов бесплодных попыток убрать эту заразу, мне посчастливилось совершенно случайно найти способ обрести

    контроль над своим компом. Комп я не раз переводил во все виды безопасного режима, но этот баннер все равно висел и там. И вот, находясь в таком

    режиме, я пооткрывал кучу окон с диспетчером задач (также блокируемых), и уж было собрался выключить комп — нажал кнопку, но комп не

    выключился, баннер с экрана пропал, но контроль не восстановился, и тут я нажимаю клавишу виндоуса и затем F3 — и, о счастье!, появляется

    полностью управляемое окно поиска! С его помощью открывались любые папки, также через него открылась опера с которой я и скачал необходимые

    утилиты (DrWeb CureIt к примеру). Прошелся ими по компу — были выявлены трояны TaskKill.exe, Trojan winlock 1897 — 2 штуки и Trojan hosts 373 XIfk.exe.

    После перезагрузки комп снова заработал! Естественно просканировал все диски впоследствии с помощью нода, нашел еще несколько троянов и

    вирусов. Что интересно, в конце дня в статистике антивируса было написано что на комп было совершено 1350(!!!) атак. Только я не знаю — может ли

    каждая такая атака быть следствием лишь одного вируса или нет? Прошелся еще раз нодом и утилитами — опять нашел трояны, лишь после этого

    количество атак снизилось до 2-5. Возможно такой оригинальный способ лечения это лишь следствие особенностей моего компа — не знаю, но может

    кому и пригодится. Ищите и обрящете smile ПыСы: поменьше скачивайте всякую фигню, и все будет ок, я так же установил самораспаковывающийся архив якобы патч для игры сталкер — и вот что вышло. Впредь буду осторожней и вам тоже советую…

  505. Алексей говорит:

    50091054 текст 9693 номер
    вот на это нада выслать если у когда было уже это или знает код скажите пож

  506. kop444 говорит:

    у меня тоже вчера такая бяка была,я её удалил командой ctrl+alt+shift+f,можно ещё попробовать ctrl+alt+shift+p и ctrl+alt+shift+i smile

  507. Иринчик говорит:

    Три дня маялась с такой х… Потом наткнулась на бесплатный телефон 88001007337. Код разблокировки дали сразу! За две минуты закрыла эту заразу! Потом конечно же, комп лечила Dr Web. Всем советую! up

  508. Olesya говорит:

    Здравствуйте
    ПОМОГИТЕ ПОЖАЛУЙСТА
    после перезагрузки сайт одноклассники выдал сообщение "ваш комп заражен вирусом и рассылает сообщения спам". Для разблокировки отправьте смс 353031310 на номер 3354
    спасибо cry

    • Дмитрий говорит:

      Олеся, кодов разблокировки на сайтах популярных антивирусов пока нет.
      Сейчас могу посоветовать скачать DrWeb LiveCD, записать его на диск, и загрузившись с диска просканировать жесткий диск на наличие вирусов.

  509. KING413 говорит:

    Ох чует мое сердце..сами антивирусники это придумали..чтоб проггу совю раскрутить да рейтинг поднять lol )))

  510. Вен говорит:

    У меня такое же говно было на днях (пополните счет на билайн там чета 890…… дальше не помню на 400 рублей и из терминала выйдет чудо т.е код для разблокировки, но какого хера, номер та обычный я каждый день счет пополняю и небыло таникако кода, ну лан суть не в это,— что делать?) лазил через биоз изменял дату,там безопас режим ни споддержкой строки, кроче исе Ф8 перепробовал , на сайте доктора В был кодов 30шт перепробовал, Вовщем в моем случае охиреть хитрожепая модификациях, ну я чел простой програмирования не заканчивал, хотел все по простому и по быстрому, а винда нужна (которая заблокирована)
    Вариант1 Быра установил другую винду на другой раздел, без форматирования, ( со Zverем- сборка такая,30 мин иустановлена) потом скачал D.web.6.0 (тока одно разовый не качайте) потом ключ найшел в нете(много сайтов перерыл)обновил , потом начал искать, (у меня 500Г сканировал он их часов 8, хотя троят почти в самом начале нашел потом спасибо немного еше кала нашел, который нод 32 не находил в упор, кстати у меня троян.Siggen2.3 тут был C:\Documents and Settings\Admi или какая у вас учетка\Application Data\Opera\Opera так как лажу всегда через оперу рекомендую, поудалять эту и подобные папки, в други, кроме той что в програм файл, думал все захожу в зараженную винду, а тамО_О роче таже песня хотя таблички для кода уже нет, тупа голый раб стол, опять ни хера не работает ни пуск ни деспечер файлов, и тогда делаем так(должно помоч мне помогло,) потом выполняем вариант2( попробуйте вар2 без первого, может установ 2 винду не надО)
    вар 2 зажимаем правый шифт на более 8сек и делаем все как тут http://kadetoff.ru/blocker.html сказано (чваку огромный респект за идею, ) МОЖНО ПОПРОБОВАТЬ как он делал тоже один из вариантов, ИЛИ так ну вылезло это окно, и потом параметры ,- кликаем правой кнопкой по тексту ,- левой по что это такое, потом правой по тому что вылезло БЕРЕМ ПЕЧАТЬ РАЗДЕЛА если есть принтор то все кул, ЖМЕМ настройки потом справка и по справке в мой компьютор — а там быстренько качаем AVZ — http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip делаем как написано тут http://sonikelf.ru/windows-zablokirovan-otpravte-sms-ili-naglost-vtoroe-schaste/ вариант 2 ( челу тоже респект за знания ) или тоже как вариант нажимае win+U (кстати таких комбинаций много, поишите в нете, какая нибудь да прокатит) справка, в справке в поеске пишим мой комп, или проводник или др потом любое из заданий открываем окно мой комп, и далее через AVZ , удаляем (ссылка с инструкциями выше) потом чистив доктором вебом, или каспером, говорят он ихтоже находит, ХОЧУ ВЫРАЗИТЬ ОГРОМНУЮ БЛАГОДАРНОСТЬ Александру Кадетову http://kadetoff.ru/ И Sonikelf http://sonikelf.ru БЕЗ НИХ НЕ СПРАВИЛСЯ

    • Дмитрий говорит:

      для веба кстати можно было ключик не искать.
      Можно было либо скачать CureIT — он бесплатный, либо после установки DrWeb запросить пробный ключ на 30 дней. Во втором случае никаких ограничений на работу антивируса не накладывается.

  511. хэппи говорит:

    у меня вчера появилась такая фигня( окно на пол-рабочего стола о том, что я якобы смотрела гей-порно 3 часа подряд и типа пора и честь знать, отравьте 500 руб на на номер 964-628-73-43, и оплатите ваши..ээ.. увлечения.
    мне помог сайт Касперского, где можно подобрать код для разблокировки подобных баннеров.
    короче, если у кого-то такая же проблема, на в окно нужно вводить EYE OF NEWT.
    надеюсь, вам поможет)

  512. vandal говорит:

    привет всем кто столкнулся с этой проблемой(отправте смс на номер ххххххххххххххх с текстом хххххххххххххххххххх или положите нам денег на номер ххххххххххх)Простой способ избавиться от этих ху….нов.Когда появиться эта ненависная табличка с прозьбами о мат.помощи смело нажимаешь кнопку перезагрузки и держишь F8,после этого тебе дают на выбор загрузку винды.Надо выбрать с загрузкой командной строки.там нажимаете с:\ и если у вас есть "чистелка" или название вашего антивируса(проги уже должны были раньше стоять-до зарожения)и убиваете вирус.Если нет то в этой строке добиваетесь дотупа до одминистрирования и тупо делаете востановление компа с той точки с которой уверенны что невылазили на всякие незнакомые сайты.Если не помните,то лучше с самой возможной раней доступной точки.
    Заранее удачи.
    Если кто знает другой способ или проще-выкладываайте.
    Надо бороться с этими уродами всем миром,может тогда многое измениться!!!!!!!!!!!!
    Vandal

  513. Квеста говорит:

    Надо бороться с этими уродами всем миром,может тогда многое измениться!!!!!!!!!!!!

    Наивный Вы человек, Vandal biggrin

  514. Дмитрий говорит:

    Ради интереса: а что будет, если всё таки, не леча, переустановить систему (formatнуть и т.д.)?

  515. олег говорит:

    после запуска windows выходит сообщение компьютер заблокирован … и требуют 400 руб на мтс 8-911-288-42-54 но номер при каждом перезапуске меняется подскажите пожалуйста кто что знает?

  516. Влад говорит:

    народ я не могу найти не blocker.bin и blocker.exe где мне его искать везде искал нигде не нашел подскажи пожалуйста

    • Дмитрий говорит:

      Вирусы давно модифицировались. Теперь файлы могут называться как угодно

  517. Эльнур говорит:

    Помогите, пожалуйста, разблокировать компьютер. Сынок по ссылке ВКонтакте скачал программу на повышение рейтинга, запустил и тут же голубой экран, написано, что стоит Windows пиратская копия и просят отослать смс на номер 1151 с текстом regaicq 19612. Знаю что это троян. Кто умеет, помогите, пожалуйста в этом вопросе. Диспетчер задач не работает, на рабочем столе пусто, никаких значков, только картинка.:dry: shy shy shy wacko wacko surprised cry cry

    • Дмитрий говорит:

      попробуйте код 6548961 или 135797531.

      Пробовали выполнять действия, описанные в статье?

  518. AIBon говорит:

    Позвонила знакомая с аналогичной проблемой.
    Она сразу призналась, что "зашла на российский порносайт".

    1) Avira Antivir Rescue System Linux version сраза после загрузки с Live CD обновил базы и нашел 20 вирусов и троянов;
    2) после него загрузка с Live CD Se7en и AVZ — уже не записывал количество обнаруженных, но по-моему не более 10-ти;
    3) после этого загрузка с Live CD Se7en и ufs — еще несколько, по-моему не более 4-х или 5-ти;
    4) страничка DrWeb с генератором кода так же не помогла, хотя пересмотрел все скриншоты и перебрал предложенные коды (не более 50-ти кодов);

    Ни один из методов так и не помог.

    И только ссылка из UPD9 (версия для печати):
    http://support.kaspersky.ru/viruses/solutions?print=true&qid=208641245
    вылечила ноутбук знакомой.

    Т.е. записал образ на CD, загрузился с него и еще обнаружил
    4-ре штуки:
    Hoax.Win32.ArchSMS.rar (лечение невозможно, выбрал — удалить);
    Hoax.Win32.ArchSMS.idzd (лечение невозможно, выбрал — удалить);
    Exploit.JS.Pdfka.eih (лечение невозможно, выбрал — удалить);
    HEUR:Trojan.Win32.Generic (предложен был карантин, но я выбрал — удалить).
    Первые три вируса были в файлах типа:
    00F00000.VBN (записал название только первого, остальных двух не записывал), а четвертый в файле:
    C:\WINDOWS\system32\drivers\System32.exe.

    Теперь баннера нет.

  519. DemoN говорит:

    Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре — это просто встроенное в Windows система восстановления Rstrui
    1. F8 при загрузке Операционной систмы
    2. выбор пункта безопасный режим с поддержкой командной строки
    3. вводим команду rstrui
    Подробная инструкция https://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov

    • Дмитрий говорит:

      А если восстановление системы отключено? (99% случаев)

      И что если точка создалась когда компьютер уже был заражен?

  520. PairmPalPep говорит:

    Попробую объяснить в двух словах.
    Каждый из нас не еднократно сталкивался с ситуацией,
    когда приходится заново инсталлировать Windows.
    Уверен, что для всех это ситуация неприятна тем,
    что:
    — инсталляция занимает примерно 2 часа;
    — после установки Windows
    должен инсталлировать кучу
    программ, которые используются на компьютере.
    Так вот, чтобы избежать этих неприятных моментов
    помогает создание образа системного диска.
    Как мы будем делать образ диска?
    С помощью программы Acronis True Image.

  521. Oleg говорит:

    Бедненькие виндусятники, могу Вам только посочувствовать… free linux — и никаких вирусов и антивирусов, жрущих ресурсы похлеще самих вирусов!.. biggrin

Комментарии отключены