Windows заблокирован. Для разблокировки отправьте смс.

Сегодня знакомые попросили посмотреть компьютер. Говорят «что-то про активацию пишет и смс». Думаю, дело неладное, собрал свой «боекомплект», выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
«Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649.Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные.»

Давным давно сталкивался с такой бякой. В уже упомянутый «боекомплект» у меня входит LiveCD от DrWeb. Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.

UPD. C мест сообщают, что случай знакомых не единичный.
Хабраюзеры ilzarka и ykcyc тоже стали жертвами вируса. И если первый «вылечился» как и я, то второй пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение «Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные.» НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше.

UPD2. C мест сообщают, что вроде подходит код активации 3893879.

UPD3. В комментах подсказали, что специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://www.drweb.com/unlocker/index/?lng=ru, вводите цифры с сообщения ВАШЕГО компьютера — получаете разблокировачный код.

UPD4. Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 я выложил здесь. Этот пак сам установит все обновления, которые появились после выхода SP3.

UPD5. Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его smile Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!

UPD6 Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.

Если после удаления вируса пропал рабочий стол

В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.

UPD7. Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать — если уже случилась беда — качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы — ставьте PreSP4 и IE8, если пользуетесь эксплорером.

UPD8. C момента написания поста вирус очень изменился, и его поведение тоже. Читайте последние комментарии к посту (в частности вот) — они помогут в решении проблемы. Ну и если побороли сами — найдите минутку — поделитесь опытом.

UPD9. Сотрудники компании DrWeb создали специальный раздел для получения кодов разблокировки на своем сайте. Специалисты Лаборатории Касперского сделали подобный сервис.

Напомню что лучшей защитой от напасти являются 4 действия:

UPD10. На Хабре появилась еще одна статья-руководство по борьбе с вирусом.

UPD11. Методы защиты от вируса, блокирующего windows по смс.

Автор

Windows заблокирован. Для разблокировки отправьте смс.: 703 комментария

  1. По сообщениям с Хабра, злодей, на чей номер нужно было слать смс наказан. Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

  2. Спасибо я тоже с этим столкнулся, удалил blocker.bin и blocker.exe все в норме biggrin

  3. Я больше не могу, это надо же быть сволочами, что бы такое придумать… Игорь, а скажи мне пожалуйста как у тебя получилось удолить эти файлы? :((

  4. Здравствуйте.у меня такая же проблема с компьютером.только в каком режиме комп не включу все равно выказает это сообщение.напишите мне пожалуйста что делать.в каком режиме заход

  5. вчера сидел на баше. Там прочел про эту проблему, думал меня никак не коснётся. И тут СЕГОДНЯ же у самого такая беда… ((( но умные люди с баша подсказали какие файлы надо удалять. К счастью у меня стоит 2 ОС. Я зашёл со второй, удалил данные 2 файлика и вуаля-всё работает!)))

  6. Меня тож такая ерунда коснулась. Сам потерялся всех пытался обзвонить —короче жена подсказала попробуй включи(обычно из-за неё глючит) — и запустилась Винда. За день до этого переустановил NOD32 но базы не мог найти. Только обновил но не перезапустил и вот тебеЭТО. Спасибо теперь буду знать что ЭТО и ГДЕ

  7. Спасибо) попробуем спастись от напасти)

  8. У меня вчера была такая х… не знаю как прошло. просто тупо комп включенный постоял минут 30 и все прошло. Сейчас все нормально

  9. Пытался удолить через гостя, неполучилось (нет прав), пихал диск с антивирусником, не вышло, вводил код, неа… Зашёл через безопасный режим, вроди нормально всё было, удолил всё ненужное, и вуаля всё заработало… НО: теперь комп НЕВЕРОЯТНО глючит и тормозит, пользоваться невозможно, думаю переустановить Винду… Файлы жалко sad sad sad

  10. Да, народ… Вчера ночью эта история меня коснулась. Винт 1, ОС 1, пользователь 1, сдуру пробовал смс-ку отправить — хорошо, денег не было на счету (не знаю, сколько стоит этот код, но больше 100 рублей — точно, денег сняли как за простую смс-ку, с номера 3649 пришел ответ, что "Недостаточно средств для пользования услугой")
    До безопасного режима не добрался. Переставил ОС.
    кстати, цифры в смс-ке другие предлагали вставить
    412 894 6393
    подцепил эту байду, судя по всему, когда лазил в поисках мп3 на "халявные" сайты
    сразу подозрение возникло, когда через оперу со скоростью 0.1 кб/с файл лился (в то время, как параллельно шла закачка с нормальной скоросью)

  11. А что делать,если компьютер просит отправить смс на номер 3649,но с текстом 4125451011

  12. Просто наберите в диспетчере задач выполнить команду "C:\WINDOWS\system32\userinit.exe" И всё тут же станет прекрасно… =)

  13. А что означает "Просто наберите в диспетчере задач выполнить команду "C:\WINDOWS\system32\userinit.exe" ???????? Обясните что это даёт???

  14. Седня зацепил эту заразу, но спасибо други Вам и второму компу, по которому нашел ссылку http://news.drweb.com/show/?i=304&c=5
    При последующих переагрузках это не проявляется, а то код сгенерировали, NOD 32 запустил, но он чет ничего не находит

  15. небось, сам ДрВеб и придумал эту заразу, чтобы бабло срубить
    а потом, мол, мы сделали код разблокировки, дрвеб — надежная защита ващего компьютера
    ни слова при кризис!

  16. Огромное человеческое спасибо biggrin !!!! за исчерпывающую инфу!! странно тока как нод32 смарт секьюриту пропустил эту хрень, и более того , после даже не нашёл sad

  17. вчера такая же хня была у моей подруги,винду переутанавливали sad еслиб знал не переустанавливали бы,буду теперь знать…

  18. Да, было дело. Только вот что странно: после появления этого сообщения перезагрузила комп 2 раза, ничего не изменилось. А поскольку я в этом вообще ничего не понимаю, то выключила комп. Утром встала, включила biggrin всё замечательно работает. Сегодня попала на этот сайт, пыталась найти эти дурацкие файлы blocker.bin и blocker.exe, но их нет. Проверяла комп Нодом, всё хорошо. Может чего-нибудь еще сделать?А?

  19. У меня на Windows 7 тоже самое было вчера,когда отец за компом сидел.Он чуть было не отправил смс-ку-перепугался.в последний момент я его остановил.После перезагрузки всё нормально загрузилось и до сих пор работает,NOD ничо не нашарил,только какие-то трояны TBinstall.***.Приду домой,пощупаю эти bloker-ы.Спсб.

  20. нод меня чёто последнее время расстраивает. Эту фигню уже пропустил и недавно whatulikelol.exe даже не заметил angry

  21. Моё мнение — программеры доктор веба создали эту херню … и сами же выложили генератор … В то время как другие информеры низачто не исчезают сами … и не убираются путём ввода верного кода … так что делаем вывод господа … это реальная конкуренция и провакация … просто если программисты ESET кинут в сеть тоже какой нибудь вирус … загнётся и Каспер и Др. веб … Война антивирусов не прекращалась никогда …
    Давайте подумаем … у многих возникло желание перейти на Др. Веб ? Думаю да … и у меня возникло … но это не более чем как релкмная акция … не будьте дибилоидами … и трезво смотрите на вещи …

  22. файлы blocker.bin и blocker.exe по указанному адресу (впрочем, как и вообще в машине) отсутствуют. Проверка в реестре:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    (Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe") помогла выявить файл, на который зверюга и ссылалась. Весьма признателен!

  23. maradona, не соглашусь. Хотя вероятности такой не исключаю, но думаю тут больше задумка была навариться на смсках, нежели сагитировать "переход на зеленый" (ДрВеба). Многие люди, даже думаю большинство жертв вируса ни слухом ни духом не знают о генераторе от др.веба.

    А то что нод32 косячит — это для меня не новость. Сталкиваюсь с его косяками постоянно. Поэтому рекомендую всегда либо касперского, либо др.веба. Причем лицензию ОБЯЗАТЕЛЬНО! Думаю заплатить тысячу в год — это не так много…

  24. Hеlp! Вводила код активации, который выдает указанный выше сайт, не помогает. Запустила сканирование вирусов — пишет, что вирусы не найдены. Файлы blocker.exe тоже комп не ищет. Может из-за того, что я смогла зайти только как гость? Что делать, чтобы снять блокировку windows?

  25. Уфф, на ночь выключила комп, утром все нормально. Антивирусная системы выдала несколько сообщений о том, что кучу вирусов направила в карантин. Спасибо владельцу сайта!!! biggrin booze hands

  26. Му-ха-ха? Была такая беда, но т.к. все равно собирался "почистить" Винду…то после пары безуспешных загрузок, поставил поверх новую ХР:-)
    Но докторе вебе молодцы!отреагировали быстро …

  27. та же проблема! как запустить Dr.Web LiveCD из ДОСа? гостевого входа у меня нет, только администратор, пишу со второго компа. с залипанием шифта тоже не получается, не залипается) прошло больше трех помогите!!! cry

  28. не могу найти файлы, прицепил винт к другому компу, запустил нод со свежими базами, он ничего не нашел. Запустил launch.exe тоже никаких действий. На сайте Доктора Веба генератор тоже не помог!
    Унификация произошла вируса?

  29. а что делеть если такаяже проблема,но в \Documents and Settings\All Users\Application Data этих файлов нет?

  30. Только что боролся с этой же проблемой.
    Файл "C:\Documents and Settings\All Users\Application Data\blocker.*" отcутствовал, отправка кода, сгенерированного DrWeb тоже не помогла. Проверил реестры — тоже чисто.
    Нашёл в "C:\Windows\Temp" файл donB.tmp после удаления система воскресла.
    Всем удачи в борьбе с заразой!

  31. тоже заработало! только одно но: удалила из реестра строчку userinit.exe , как писалось в первом постике, но в самой папке не удаляется, после удаления появляется снова, что делать? surprised

  32. Та же хрень — опять появился.
    Сейчас провожу зачистку DrWeb-ом. Завтра скажу результат.
    Можно использовать Launch.exe (DrWeb-овчкую) тоже находит.
    Погдозрителен тот факт, что в системе в TEMP'ах висит троян Autoruner (gj крайней мере у меня). Подозрение, что они завязаны м-ду собой. Полная зачистка покажет кто, где нагадил)))

  33. люди… у меня такая же херь.
    но у меня виста, мать ее..
    подскажите че делать??? cry

  34. По всей видимости червь модифицируется постоянно, а для загрузки использует дыры в ОС. Сейчас выложу обновления PreSP4. Ищите ссылку в конце поста.

  35. ребяты вот вам реально работающий способ при любых модификациях виря заходим с автозагрузчика и правим реестр
    HKEY_LOKAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\CurrentVersion\Winlogon
    находим значение Userinit щткрываим иго все что после C:\WINDOWS\system32\userinit.exe является путём к тушке виря смело удалям сохраняем и резетим всё робит проверено cool

  36. skinskraper , в том то и проблема, с реестра удалила, а в самой папке C:\WINDOWS\system32\userinit.exe удаляется, а через минуту этот экзешник опять на том же месте, посмотри у себя, может после удаления опять его у себя найдешь)

  37. Тоже столкнулся с этой проблемой, однако, по-видимому уже с модифицированной версией вредоносной программы. Documents and Settings не содержала никаких подозрительный *.exe и *.bin, однако проверив пункт реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] (см. комент №1 by Дмитрий) в поле Userinit нашел кроме стандартного "C:\WINDOWS\system32\userinit.exe" еще и указание на какой-то файл в папке c:\docume~1\%username%\local settings\Temp удалил этот файл из папки (и походие на него), а так же исправил поле в реестре.

    Насколько я понял, эта штука устанавливается конкретно под 1 пользователя. Запустил в безопасном режиме и залогинился под администратором (обычно пользуюсь другим юзером с админскими правами). Как вариант, если что-то нужно, чего в безопасном режиме нельзя, можно там создать еще одного админа, под которым зайти в нормальном режиме и полечить комп, после чего юзера удалить. То есть под другими юзерами система запускается спокойно.

  38. 2юю: не юзеринит надо удалять))) а то, что после него написано в реестре))) (см. пред. посты)

  39. юю, Кирилл Герасимов всё верно написал. Сам файл, ровно как и ветку реестра удалять не нужно, нужно удалить всё, что написано ПОСЛЕ userinit.exe

    Да, кстати все файлы в следующих папках
    c:\Documents and Settings\%USERNAME%\Local Settings\Temp\
    c:\Documents and Settings\All Users\Application Data\TEMP\
    c:\WINDOWS\Temp\
    могут быть безболезненно удалены! Это НИКАК не повлияет на систему. Рекомендую при "лечении" всё оттуда удалять.

  40. я не успела удалить по вашим советам(( перезагрузила комп после своего последнего поста и теперь новый сюрприз. грузится винда, вбиваю пароль администратора, только мелькнет рабочий стол как начинается завершение системы(( диск разбит на два раздела, зашла со второго (здорового), захожу с него на свой основной Documents and Settings\… папка All Users доступна, но она пустая, там ничего такого небыло, а моя основная (где важные файлы)недоступна. пишет что папка пустая и невозможно ее открыть, хотя по общему размеру диска вроде как было sad ну на что такие гады на свет рождаются sad

  41. ошиблась, пишут отказано в доступе к папке, а когда навожу мышкой, показывает типо она пуста.

  42. так как же их искать, если отказано в доступе к этой самой папке?)))
    c:\Documents and Settings\%Имя пользователя%

  43. с рабочей системы скопируйте файл userinit.exe (c:\windows\system32\) обычно при его отсутствии это происходит —
    -…и теперь новый сюрприз. грузится винда, вбиваю пароль администратора, только мелькнет рабочий стол как начинается завершение системы…
    wink

  44. А эта "проблема" —
    — …так как же их искать, если отказано в доступе к этой самой папке?))) c:\Documents and Settings\%Имя пользователя%….
    можно "вылечить" Totalcommander ом — создать новую кнопку с командой cm_EditOwnerInfo (сделать себя владельцем) и потом еще одну — cm_EditPermissionInfo (изменить права NTFS) …
    В Totalcommander Podarok Edition эти кнопки уже выведены на панель …

  45. Это просто развод!!! Не надо отправлять никаких смс и ничего удалять!!! Просто пускай часов пять комп постоит выключенным и все пройдет! Проверено на себе!

  46. вчера так же столкнулся с этой х ! каспер пропустил его ! и даже не среагировал на него ! я все сделал радикальней ! отнес винт другу слил от туда всю инфу и форматнул ! теперь сижу на оф винде 7 ! biggrin

  47. Сегодня словил эту заразу. Причём на втором харде (на нём винда про запас стоит — типа для горячей замены). Подключен как файло-помойка.
    Сегодня потребовалось с него загрузиться — опа! Scandisk с заменой уймы файлов (очень странных файлов). о_О Ну и ладно. Грузим дальше — а вот и наша блокировочка (слышал о ней пару дней назад).
    С горем пополам удалось запустить систему на основном диске — Касперский откинул копыта и не дает себя снести/переустановить/запустить.
    В итоге, прорвался в инет — нашел эту рекомендацию. Но найти файлы-блокеры не смог. Накатил НОД32 — он что-то долго шаманил.
    По завершению работы подключил второй диск — хрен там — блокировка на месте.
    Сейчас закончил работу AD-Aware — пожелайте мне удачи — ребутаюсь. smile

  48. Вчера лечился, спустя пару часов опять всплыло. Оставил комп вкюченым на ночь. С утра чисто.

  49. все починила, Totalcommander чудо!! получила права доступа к папке, скопировала нужные файлы в надежное место, ща на всякий форматну чтоб наверняка! все равно давно хотела почистить мусор на своем компе tongue
    Большое спасибо всем за советы!

    а вот каким теперь обзаводиться антивиром ума не приложу, стоял нод32, больше не хчочется, до этого был касперский, но как вспомню это раздражающее грузилово — лучше с вирусами, чем с касперским wink

  50. хм, интересно, а где его взять? я тоже себе такой на комп вирь хочу…

  51. Спасибо большое за наводку на генератор кодов!

  52. Ввели код, все исчезло без следа. Касперский 6 с актуальными базами пропустил эту гадость. Тоже думаю, что кто-то из антивирусов запустил черный PR

  53. спасибо!!!! буду юзить только ваш товар!!!!!!!!!!!!пасибо паибо пасибо!!!!!!!!

  54. Спасибо, помог генератор кодов и потом лечение

  55. У меня всё намного интереснее: Поймал заразу ввёл код с сайта доктора веба, и вуаля—— флэшки не видит, в управлении компом диспетчер логических дисков видит только сиди ром, и как с этим быть?

  56. у меня так: никаких *.exe и *.bin нету антивирус не находит страницу генератора не грузит. К тому же целый день уж стоит и не проходит. Скажите что делать

  57. к тому же я могу зайти только как гость и (если что) код, который отправить надо: 4149469949

  58. Я сегодня тоже подхватил этот "трипер" Отправьте мол смс!!!Мучался долго,включал ,перезагружал все безполезно.Через пару часов решил снова включить….комп загрузился без проблем!!!! Моментально запустил антивирусник Доктора Веб., был поражен файл c:\windows\sysnem32\drivers вирусом tROJAN.NT ROOTKIT.1601 Вирус удалил,все нормально сразу заработало.Спасибо очень хорошему человеку который дал мне эту ссылочьку на этот сайт!!!

  59. Словил недавно эту ерунду. Я ребятам, кто сделал этот Кейген памятник поставлю когда денег будет много.:) пасибо от всей души. Помогло.

  60. Значит так. Словил. Блокеров ни где не было. Реестр C:\WINDOWS\system32\userinit.exe, был в порядке. Приглашение на смс через двачаса пропало. Прикаждой перезагрузке дрвеб находил donB.tmp, который удалялся…до следующей загрузки. Был отловлен автозагружающийся процесс и файлик services.exe, находящийся(ВНИМАНИЕ!) C:\WINDOWS\services.exe. При удалении его автозагрузки через Startup Extractor он тут же помещал сам себя обратно в автозагрузку….Процесс был остановлен через Windows Defender, затем грохнут физически, и автозагрузка удалена через Startup Extractor… ВНИМАНИЕ! Файл services.exe, который находится C:\WINDOWS\system32и и процесс, связанный с ним ПРАВИЛЬНЫЙ, его удалять НЕЛЬЗЯ!
    После этого возникла непонятка с виндовым брандмауэром (SP2). наверняка ни кто не обращает внимание. поэтому посмотрите.Я никак не мог его включить, т.к. кнопки были неактивны. Помогло вот это :
    "Чтобы полностью убрать надпись и восстановить управление брандмауэром в windows XP Home надо в реестре раздел
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
    полностью удалить.
    Видимо вирус просто добавил указанную ветку в реестр, вырубив тем самым брандмауэр."
    Видимо вирь постоянно модифицируется.
    Что интересно, хватанул неизвестно как, просто запустил браузер (Опера), никаких мр3 и ехе не нажимал….

  61. ЗЫ Обезательно провепяйте все папки TEMP, указанные ранее. Туда тоже занесло (у меня в C:\WINDOWS\Temp)
    …..Во блин как нагнуло wacko Давненько я так не попадал angry

  62. дада, мне вот тоже сильно интересно, где люди его нашли, хочу посмотреть.. расскажите в кратце кто и по каким порносайтам лазил)))

  63. хм, а у друга я просто через безопасный режим загрузился, сделал откат на сутки(стандартным восстановлением системы) и никаких хвостов уже не видел, ни файликов блокеров, ни в реестре…

  64. только сегодня с таким столкнулся.
    загрузился с загрузочного диска и нашел файлик:
    C:\Doc&Set\maria\maria.exe
    соответственно maria — имя учетки, и файлик так же обозвался.
    рядом лежал он же, но с именем file.exe

    переместил оба в другую папку — винда загрузилась нормально. потом уже нашел и стер в реестре автозапуск программки.

    Достаточно тупая и слабоватая.
    Но антивирусники в большинстве своем ее не замечают:
    http://www.virustotal.com/ru/analisis/9a9a4a55b047a3ba386af89677f85071

  65. у меня этот вирус был под названием nod5c.tmp и nod5c.bin в папке Windows/Temp

  66. У меня проблема я ввела код но ничего не вышло, что мне делать???

  67. К сожалению генератор от Dr. WEB мне НЕ помог! crazy

    Вирусо-писатели изменили код! Остается только ручками в БЕЗОПАСНОМ режиме попробовать почистить автозагрузку, а потом провериться у Dr. WEB'а.

    book

  68. Безопасный режим не помог. Вирь остался. (Слава Богу машина не моя)
    Решение видимо и правда загружаться с LiveCD и искать эти злосчастные файлы. Правда исходя из комментариев — ума не приложу где они могут быть.

  69. Я установил время в BIOS на 6 часов вперед, комп нормально запустился. Этот вирус устанавливается на пару часов.

    booze

  70. Вот жеж блин! Я первый раз об этой штуке услышал от своего папы!:( он сказал что появилось окно с номером….типо"Отправьте смс… бла бла бла" ну он взял и отправил…:( 600 рублей сняли,тока так:))) сегодня опять столкнулся с этой штукой! видать она возникает через какой то промежуток времени! типо смс отправил, тебе допустим дают неделю а потом опять эта штука срабатывает…и блокирует винду!…:) хорошо что я залез в БЕЗОПАЧНЫЙ РЕЖИМ и Nod32 все на**р удалил! (я имею виду вирус smile )

  71. Да нод 4 тоже никаких подозрений не давал, а во всем виноваты баннеры с порнухой!!! Брат пытался сегодня посмотреть на ноуте что-то вышеописанное, при запросе установки кодека — нажал продолжить и установил блокировку… Сейчас с помощью LiveCD сканирую sad Пытаюсь так сказать исправить

  72. Поставьте время в BIOS на день вперёд. После разблокировки, скачайте Dr.Web и прогоните его. Потом, смело можете удалять.

    Да, ещё. Этот вирус, воплощающий весьма хитроумную задумку, обычно подхватывается (впрочем, как и другие) пользователями Internet Explorer илм людьми, качающими левый софт с левых сайтов.

    Вывод: 1) ставьте Firefox; 2) качайте только то, чему можно доверять, и только оттуда, откуда качает большенство. (Официальные сайты авторов П/О)

  73. Молодец чувак который придумал такое!!!! Уважаю!!! А еще уважаю тех кто придумал порнуху на весь экран на любом сайте! Сразу видно извращенцев которые по порносайтам лазают! Еще и денег зарабатывают на извращенцах, молодцы чуваки!

  74. Спасибо тебе товарищ!!! Респект и уважуха!!!!! Реальная помощь!!! А хотел винду сносить и заново ставить smile в итоге решили проблему за 2 минуты!!!

  75. ВНИМАНИЕ ТОТЖЕ ВИРУС СТАЛ НАЗЫВАТСЯ NOD32.DAT в Temp катологе профиля пользователя

  76. Есть еще одна разновидность вроде…все там же…nod69.tmp…в каталоге Temp…вир работает часа два…потом отрубается…магину не перезагружал…что будет, не знаю…но лучше антивиром прогнать…удачи всем..
    P.S. Автору большое спасибо…

  77. Vendicator, Виктор, ерунду говорите, первый про всякие мазилы (я на оперу хватанул), второй про порносайты (ко мне из сети залетело)…От сумы, тюрьмы и, добавлю, от виря не зарекайтесь, господа, поменьше гонора angry

  78. Саша: не за что.

    Niruksorp и makst0r: у меня самого вируса нет, но рискну предположить, что он генерирует имя файла либо тщательно продуманным механизмом, либо используя определённый набор слов. Конечно, существует вероятность, что авторы/соавторы просто изменяют в нём параметры каждые пять минут и скидывают в сеть, но для столь неординарного вируса, это было бы слишком просто.

    gsp: Это статически доказанный факт. Если сравнить количество различных инфекций, которые подцепляют компьютеры пользователей Internet Explorer и Firefox, то будет видно, что инфекций через Firefox не более 10%. IE же легко уязвим практически в каждой версии. Opera тоже сравнительно уязвимый, к тому же без открытого исходного кода. Вирусы приходят и уходят, здравый смысл – остаётся. Гонор тут не причём, просто глупостей делать не надо.

  79. Vendicator, т.е. иными словами ставь Firefox и спи спокойно& biggrin ….Научите людей, они поверят, потом как отмываться будете? Ваш гонор состоит в безапеляционности утверждения (в первом посте yf 'ne ntve). Во втором уже теплее, оказывается все таки 10%…ВНИМАНИЕ — 10 % от кого -от всех, кто ухватил вирус? Если этО имеется ввиду, то весьма вероятно, что от общего количества людей, смотрящих в инет через разнообразные браузеры, использующих Firefox значительно меньше, чем 10 %, и уж точно меньше чем использующих IE…

  80. Пользователи броузера Firefox гораздо реже страдают от вирусов встроенных в сайты. Это факт. Совершенных броузеров нет, Firefox всего лишь безопаснее. Его используют, по разным данным, от 22% до 46% всех пользователей сети потому, что он надежнее и быстрее в эксплуатации. С технической точки зрения, он наиболее совместимый со стандартами.

    Из личного опыта: за 5 лет работы с Firefox был только один подобный инцидент, два года тому назад. Для сравнения, с Internet Explorer’ом таких случаев было более 30.

    Популярность Opera, при этом, всего от 0,5% до 2,5%. Отчасти это обусловлено тем, что он долгое время был trialware, а потом стал adware-ом, что в принципе недопустимо. Его движок медленнее Gecko, что не позволяет использовать его в полной мере на слабых компьютерах, которых в мире ещё много. Его разработка ведётся ограниченным коллективом, что делает его непривлекательным для сторонних программистов и бессмысленным для вебмастеров.

  81. Спасибо огромное!Уже 3 час ищу помощи в интернете про эту проблему!Сегодня на работе такая фигня случилась с сервером,хотя NOD 32 стоит sad Вы молодец!Завтра попробую все восстановить!С Пасхой Христовой!

  82. Vendicator biggrin biggrin , эта статистика вилами на воде. интересно, откуда она вдялась? очень напоминает заклинания махровых линуксоидов (ни кого не хотел обидеть)…
    Вот статистик посещений одного из сайтов (по хотлогу за лве недели):
    MSIE 7.0 3042 20.51%
    MSIE 6.0 2585 17.43%
    Firefox 3.0.8 2205 14.87%
    Opera 9.64 1020 6.88%
    Opera 9.63 891 6.01%
    MSIE 8.0 833 5.62%
    Mozilla 5.0 504 3.40%
    Opera 9.62 366 2.47%
    Opera 9.60 338 2.28%
    Opera 9.27 179 1.21%
    Ради интереса пробежался по первой десятке…
    Выводы:
    1. Конечно же, как и предпологал в отрыве пользователи IE разных версий;
    2. На втором месте Опера разных версий;
    3 На третьем — Firefox 3.0.8, но ни о каких 22 % (не говоря о 46) и речи нет….
    Блажен кто верует biggrin wink

  83. Vendicator,очень понравилось про зловредную Оперу, мол "trialware">"adware"…ерунда какая-то…
    С сайта Каспера — "Adware — программы показа рекламы на компьютерах пользователей, часто такие программы входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего программного обеспечения (Gator и подобные)"
    Никогда не являлся безумным фанатом Оперы, но НИКАКОГО ПОКАЗА РЕКЛАМЫ в ней никогда не было…Интересно с чего Вы это взяли?
    Сначала этот браузер был (выражаясь по вашему) freeware, потом стал shareware, потом вернулся в freeware…
    Вобщем какой-то некопенгаген получается biggrin

  84. Фома неверующий, вот статистика не "с одного из сайтов", а от фирмы анализирующей статистику, из одного очень популярного ресурса для вебмастеров.
    http://marketshare.hitslink.com/browser-market-share.aspx?qprid=0
    http://www.w3schools.com/browsers/browsers_stats.asp

    Далее об Опера:
    http://en.wikipedia.org/wiki/Opera_Browser#History
    Цитирую . ". But version 5.0 (released in 2000) saw the end of this requirement. Instead, Opera became ad-sponsored, displaying advertisements to users who had not paid for it.[9] Later versions of Opera gave the user the choice of seeing banner ads or targeted text advertisements from Google.", т.е. с 5-ой по 8-ю там в нём содержался adware.

    Согласно той же статье, она была trialware с начала и до версии 5.0.

    Но я видимо Вас не убедил.
    Возвращаясь к теме, уважаемый Дмитрий, описанный мною (и, по-моему, ещё одним человеком) способ борьбы с «проказой» WinLock – действует. Может Вы добавите его в Updates?

  85. gsp, Vendicator, вот вам средняя статистика за 3 месяца с моего блога

    Opera 9 30.3%
    Firefox 3 24.2%
    Explorer 7 17.4%
    Explorer 6 14.3%
    Explorer 8 2.8%

    остальные (гугл хром привет :)) меньше 2%, поэтому выкладывать думаю смысла нет.
    Моё мнение — опера, ФФ — пофиг, главное не ИЕ! Особенно ИЕ6

  86. Сегодня столкнулся с этой проблемой, с http://news.drweb.com/show/?i=304&c=5 ключ не подошел
    нашел заразу сдесь
    c:\Documents and Settings\%USERNAME%\Local Settings\Temp\
    unloker-ом грохнул процесс и удалил 3 файлика cool

  87. Berta, если не знаешь как в бивасе время переводить, мой тебе совет — не решай эту проблему через инет, найди знающего чела, который поможет физически.

  88. После установки Security_preSP4_9.3.14.exe перестал запускаться редактор реестра, вернее, наверное пытается запуститься, но что его сразу закрывает. Кроме того не запускается ни один файл c названием autorun.exe — эффект тот же, сразу закрывается. Очень похоже, на то, что ссылка в UPD4 это тоже вирус.
    Перед тем как устанавливать проверил обновленным антивирусом, он ничегоне нашел. :/

  89. Я винду уже из-за етой хни 3-ий раз переустанавливаю…надо попробовать ваши методы:)

  90. Тоже схватил вирус. Часа три назад. Хотел обновить GreenBrowser. Когда шла загрузка то через сек. 10 вылезло окно "отправь смс итд.". Перезагрузился в безопасный, скопировал все себе необход., думаю дай с тел. зайду в инет, почитаю, может кто сталкивался с такой фигней, хотя прошло минут 30 не больше, я вышел с безопасного, перезагрузился окна ни какого уже не было, может сам удалился не знаю, blocker.bin и blocker.exe я не нашел, папки темпы почистил, GreenBrowser еще раз обновил и он обновился нормально на новую версию. Получается не чего не делал. Антивирусником не пользуюсь.

  91. Дмитрий: молодец.

    Berta:
    1). Выключите компьютер.
    2) Затем включите, и как увидите первые надписи (заставку BIOS или логотип фирмы производителя материнской платы), жмите DEL (или то, что сказано жать для входа в Setup).
    3) Войдя в Setup, выберите первый пункт меню, нажмите Enter.
    4) Далее, Вы должны увидеть текущие дату и время. Стрелочками на клавиатуре, выберите то, что хотите изменить (например, дату) и введите её.
    5) После того, как вы изменили дату, нажмите ESC один раз.
    6) Теперь выберите пункт меню с названием вроде “Save changes & Exit” (или нажмите F10).

    vasko: Маловероятно, конечно, хотя с другой стороны, это именно то, о чём шла речь выше: это обновления от Microsoft, следовательно, и скачивать их лучше с их серверов (прямо или через Windows Update).

  92. У меня наверно модифицированная эта хрень просит отправить смс t767062004 на номер 3649 только экран весь черный а не как на скрине

  93. Ильдар: у одного моего знакомого он тоже черный. Перевод даты сработал, при следующей загрузке появилось это окно, но тут же само исчезло. Работает ли это у Вас?

  94. Vendicator, человек не знает как время переводить, значит с бивосом дела ни когда не имел, ща залезет, накрутит, и вообще комп положит…Поедешь к нему ремонтировать?

  95. gsp: С чего Вы взяли, что он не умеет переводить время? Да и потом, если будет строго действовать по инструкции, т.е. менять только дату/время, то ничего не положит. Что касается ремонта — если он действительно накроет своё компьютер, и даже по телефону это нельзя будет исправить, то да, поеду. Почему не помочь человеку?

  96. Vendicator, "….если он действительно накроет своё компьютер, и даже по телефону это нельзя будет исправить, то да, поеду. Почему не помочь человеку?" up — достойный ответ, уважаю smile

  97. gsp: Просто я помню, как 15 лет назад ко мне приходил один парень. Каждую неделю я ему звонил потому, что что-то не работало или я что-то "случайно" удалял. А он приходил и чинил это. Если бы не он, думаю, я бы разочаровался в компьютерах как таковых, и увлекся бы чем-то другим…

  98. Спасибо, никогда не думал,а попался тоже.
    Слава богу,не стал переустанавливать,ведать уберег.

  99. вот буквально только что вылечил эту фигню… испробовал много способов нифига не помогало…

    короче все просто.. т.к. эта дрянь и в безопастном режиме грузится, то выход следующий. — грузимся в безопастном режиме..
    злорадно наблюдаем эту хрень в последний раз..!! комбинациями клавишь пытаемся в слепую (на память) запустить какие-нибудь процессы.. дале делаем все быстро.. — нажимаем на системнике кнопку повер и сразу же методично жмем esc!!! комп не сможет перезагрузиться из-за процессов.. хрень дохнет, а раб стол оживает.. стартим антивируску и се!!! удачи!!

  100. Зашел из под bios — а сменил время… вирь сам себя убил

  101. Здравствуйте! Несколько дней назад я тоже словила эту фигню, получила код http://news.drweb.com/show/?i=304&c=5,в общем избавилась от вируса, но нетбук стал себя странно вести: сначала не выключался, потом выдавал сообщение, что система восстановлена после серьёзной ошибки, потом появлялся синий экран с белым шрифтом, который не успеваешь прочитать и перезагружался.Сейчас проверила на вирусы и вот результат:[img]http://foto.mail.ru/cgi-bin/photo/editphoto?id=58&album=57[/img]
    Мой вопрос состоит в том, что делать с этими файлами, я так понимаю, что удалять их нельзя. И ошибиться с решением не допустимо, так как у меня нетбук ,а в нем нет CD-ROMа и я не знаю как в случае чего установить Windows XP. Подскажите пожалуйста, что сделать с минимальными потерями!

  102. Извените, не получилось вставить скришот!

  103. Татьяна, а флэшку моно в твой нетбук включать? А в биосе нетбука моно сказать — загружаться с флэшки?
    Сейчас есть недорогие флэшки 1-2 Гб и туда моно залить дистрибутив Windows и если чё восстанавливаться с флэшки! Удачи!

    v

  104. Татьяна, а если для тебя потеря оболочки на нетбуке — смерти подобно, то нужно делать бекап оболочки на флэшку. Есть проги и одна из них "Acronis true image — rus".

    А по теме — так везде пишут, что ЭТОТ вирус ничего плохого, кроме вымогательства денег, не делает и убивает себя через 2 часа! Значит у тебя был ещё какой-то вирус, а может и не один. Нужно предохраняться при выходе в интернет — КИС2009 неплохо это делает, но только не с настройками по умолчанию! Его нужно настраивать, чтоб всю заразу лечил, а неизлечимую удалял БЕЗ ЗАПРОСА — АВТОМАТОМ!
    Вот и все ответы на твои вопросы.

    booze

  105. Спасибо за ответы,скажу честно,в биос ещё не смотрела,т.к. купила 2 недели назад.Флешку,конечно, включать можно, но она ведь должна быть какая-нибудь загрузочная или образ,а я не знаю как это сделать.А Windows стоит лицензионный и терять его не хочется.Сергей, а Вы скриншот видели? Что делать с этими файлами?Спасибо!

  106. Андрей: у моих знакомых, вход в Защищённый режим не осуществлялся – система просто висла.

    Татьяна: да, действительно, как говорит Сергей, сделать Резервную копию необходимо. Но поскольку в ней уже есть проблемы, то я не вижу в этом особого смысла. Я бы сделал так:
    1) Проверить всю машину антивирусом;
    2) Запустить командную строку и выполнить: sfc /scannow ;
    3) Запустить обновление системы и скачать все необходимые (т.е. Важные и Рекомендованные, кроме драйверов).
    4) Перезагрузить компьютер.
    5) Если проблема исчезла – хорошо, если нет – пишите.

  107. Vendicator, А как Вы считаете McAfee достаточно хорошо проверяет?А как можно здесь выложить скриншот?

  108. Татьяна, а нетбук какой? Обычно на них (напр на MCI Wind U90-100 и Lenovo S9-10), да и на просто ноутбуках, есть фунция восстановления системы со скрытого раздела жесткого диска, на котором записан образ системный рекавери (дистрибутив) диск…Просто при начале загрузки жмешь на кнопочку (напр. F3 на MCI или OKR на Lenovo)- и вуаля, нулевая заводская система wink ….

  109. gsp Нетбук Acer Aspire one .При первом запуске пошла установка, но я не знаю как её запустить, например, из биоса, где находится установочный файл….

  110. gsp, Никакого описания в руководстве нет.

  111. Татьяна, все ремонтируется, глянь http://4pda.ru/forum/index.php?showtopic=101651 , пост от 5.12.2008, 12:34, раздел "2. Все о Windows и Linpus на Acer Aspire One" , ссылка "Как можно восстановить систему до ее заводского состояния со всеми драйверами и программками?"
    Удачи smile

  112. gsp, Спасибо большое, пошла, не буду больше Вас мучать…..

  113. Татьяна, отпишись потом, удалось ли восстановить систему?

  114. gsp, Спасибо огромное за обалденную ссылку и за участие!!!

  115. gsp, Я сделала как посоветовал Vendicator
    1) Проверить всю машину антивирусом;
    2) Запустить командную строку и выполнить: sfc /scannow ;
    3) Запустить обновление системы и скачать все необходимые (т.е. Важные и Рекомендованные, кроме драйверов).
    4) Перезагрузить компьютер.
    5) Если проблема исчезла – хорошо, если нет – пишите.
    Пока все работает нормально,все это время сижу с нетбука, только остался вопрос с файлами, которые нашел и поместил на карантин McAfee. И после sfc /scannow ничего не высветилось,значит, все нормально?
    Но стало значительно спокойнее после прочтения Вашей ссылки,т.к. теперь знаю куда обратиться за информацией,там очень хорошо все расписано. Пока радикальных действий производить не буду, посмотрю, что будет дальше, в сучае чего отпишусь.Спасибо!

  116. Татьяна, те файлы, что на карантине у McAfee желательно всё же удалить. И сменить его на другой антивирус. Касперский или ДокторВеб. McAfee у вас установился автоматически так как по соглашению с производителем распространяется на новых ПК и ноутубуках/нетбуках.
    Кстати, обратите внимание, что поставляется он в пробной версии на 30 или 60 дней.

  117. Татьяна: я считаю, что нет. Один из вариантов — F-Secure + Kaspersky, но это громоздко, да и есть вероятность, что будет подтормаживать систему.

    Оптимально — NOD32 (версии 3 и выше) + какой-нибудь из Anti-Rootkit’ов, Root Kit Unhooker если ОС XP или ниже, Root Kit Revealer если Vista или Выше. Впрочем, это не обязательно.

    В идеале ещё отдельный Anti-Spyware, например тот же Spybot-S&D.

    Но, если речь идёт именно о трояне WinLock, то, судя по комментарием других людей, стоит попробовать старый добрый Dr.Web.

    Еслит после выполнения sfc ошибок не обнаружено (т.е. не было сообщений о нарушении целостности), значит, проблем быть не должно. По крайне мере, системные файлы не повреждены.

    Файлы из карантина, если они конечно ненужные (т.е. не инфицированный Word-документ с работой всей Вашей жизни) конечно лучше удалять. Правда сами они оттуда вряд ли вырвутся, да и вирусы которые «ищут других и воскрешают их» мне не известны, но чем чёрт не шутит…

    Кстати, Христос Воскрес!

    gsp: оперативно работаете. smile

  118. Подскажите пожалуйста,что делать если код не подходит?И что произойдёт по истечении времени?

  119. Появилась новая разновидность пример таков
    windows заблокирован
    для разблокировки необходимо отправить sms с текстом
    t7010620006 на номер 3649
    введите полученный код
    Все это на черном фоне….
    Дак вот старые методы не помогут изменилось и название файла и расширение и место нахождение…
    Для избавления такой фигни грузимся с LiveCD и полностью чистим папки
    c:\Documents and Settings\*имя пользователя*\Local Settings\Temp\
    и
    c:\Documents and Settings\*имя пользователя*\Local Settings\Temporary Internet Files\
    и после перезагружаем
    потом заходим
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    находим там "Userinit"
    и оставляем только "C:\\WINDOWS\\system32\\userinit.exe" без ковычек естественно
    И меньше по порносайтам лазайте…

  120. Вчера вечером тоже подцепил эту дрянь только у меня наверное модифицированная версия т.к. экран черный и пишет, что осталось 3 часа. Времени вчера разбираться не было поэтому поменял дату на всякий случай на день назад. Подскажите как его лечить точно также? Если перевести время вперед это поможет?

  121. А что касается антивируса пользуюсь KIS8 никаких тормозов и проблем с ним на современных машинах нет и не надо меня переубеждать, ловит все что лезет хоть откуда… Да и в основном те кто такую хрень ловил сидели на других антивирусах, только один умелец с KAV8 словил, и то из-за того что разрешил ругавшемуся касперскому установить подозрительное ПО…

  122. Ребята при чем тут время, вот если удалось временем зайти под винду дак в чем же у вас проблема, делайте как я описал выше особое внимание уделите строчке в реестре если не знаете как туда попасть то вот
    Пуск—>выполнить—>regedit
    И смотрите ту строчку что я вам показал
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    Там должно быть только C:\\WINDOWS\\system32\\userinit.exe при чем у всех одинаково
    И почитите папки темпа тоже описанно выше, да и вообще в этой ветке реестра указанно где сидит тот файл что вам нужен… Вот и мочите его нах…

  123. http://habrahabr.ru/blogs/i_am_clever/56923/
    Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей…
    Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
    Ну вот давайте дерзайте робяты все для вас…

  124. Время назад поменял в Биусе. Ранее писали, что если время поставить вперед то вирус сам себя убьет! Вопрос такой если в модификации как у меня (экран черный и пишет, что осталось 3 часа)если в биусе поменять время вперед вирус сам себя убьет?

  125. Спасибо, братишки!!! Очень помогли!!!
    Эту гадость словил, ища фильм в инете… Не скачивал ничего, просто видимо загрузилась какая-то страничка, Symantec AntiVirus успел выдать сообщение и через секунд 5, пока я переваривал происходящее вылезла "WINDOWS заблокирован, ля-ля-ля… СМС…" и отсчет времени по убывающей (с 02.59.59). Отключил, вытащил батарею из компа (ноутбук)… С утра залез в инет со старого стационарного компа и нашел вас! biggrin
    Ноут запустился, отсчет времени был 00.00.00 (значит вытащенная батарея не помогла). После секундной этой черной заставки загрузился как обычно.
    С http://www.freedrweb.com скачал CureIt и проверил ноут. Нашел пару троянов и убил…
    После перезагрузки все было ОК (кажется wink ).
    Теперь проверяю по полной им же…
    Всем удачи! Спасибо!

  126. Дима! А экран в твоей версии вируса был черный?

  127. Сергей,
    Что ты волнуешься так тебе черный экран это только разновидность, одного и того же вируса и ведут они себя совершенно одинаково, ничем этот вирус не опасен а только создает проблемы читай выше что я писал и делай так же…

  128. Да, Сереж!
    При выключении через кнопку "включения" (у ноута) На пару секунд появлялся мой (нормальный) рабочий стол, и все…

  129. Кстати для прикола этот вирь в последние несколько минут на форуме выложили, и говорят пойман на порно сайте просил скачать видео кодек для просмотра видео… Могу выложить для прикола людям… biggrin

  130. DenverD да я не волнуюсь вирус друг подцепил (он волнуется biggrin ) а я хочу потратить как можно меньше времени, что бы его восстановить и мне совсем не хочется тратить время на переустановку винды и диск загрузочный не хочу создавать все это время. Если бы сам подцепил другое дело!

  131. А может Сереж твой друг подождет как я biggrin и само пройдет? А потом, когда включится нормально — убить вируса? Хотя не уверен…

  132. Сергей,
    Тогда повторюсь специально для тебя
    http://habrahabr.ru/blogs/i_am_clever/56923/
    Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей…
    Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
    строчку находишь
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре C:\\WINDOWS\\system32\\userinit.exe и проблем как ни бывало…
    При таком случае никаких переустановок и Live CD не требуется

  133. Дима! Я так и хочу сделать просто я ему сказал что бы он дату на день назад в биосе поменял вот я и выбираю по какому пути пойти. Попробовать как ты время вперед поставить или пойти по пути как предлагает DenverD. Просто друг боится что у него особая разновидность вируса (черный экран и время идет) вдруг все сотрет! Волнуется!

  134. Сергей,
    Пусть не волнуется ничего не сотрется, а чтоб не волноваться лучше по моему пути пойти, а то если вперед время переведет включит а там 0:00:00 вот тогда у него очко больше заиграет 8))))))) biggrin

  135. У меня разновидность с чёрным экранчиком вчера образовалась.
    Со второго ноута зашла в инет, нашла эту ссылку.
    Прочитав всё, попробовала в биосе изменить дату на сутки вперёд. Загрузилось. Потом поменяла дату на сутки назад. Опять загрузилось. Вроде работает.

  136. Дмитрий, Nod32 со свежими базами после манипуляций со временем ничего не нашёл.
    Попробую ещё вариант с реестрами и темпами, который предложил DenverD.

  137. У меня на ноуте такая же хрень!Я не знеаю как с нею справится командной строки нет DOCа нет!!Не могу войти в систему чтобы установить Д.Веб, и удалить файлы.Геннератор не подходит!Помогите!

  138. А гениратор поможет только в том случае если окошко как тут вверху темы, а новый вирь где чисто черное окно с Белыми буквами нужно другими способами мочить, как к примеру я выше описывал…

  139. Всем доброго время суток!!! У меня такая проблема: Вирус тоже просит послать смс, есть номер, есть текст смс, есть строка ввода кода активации,но идет время отсчет от 3х часов, после того как пройдет 3 часа заходит в винду и через некоторое время происходит все заного…! bloker'ов нету, эта программа для генерации кода не помогла (кста код начинается на "t", весь код не помню) и что самое страшное форматирование не помогло!!! Антивирусники ничего не находят — пробовал нод и др.вэб(базы новые)!!! Может ктонибудь мне поможет плз… wacko

  140. pro1ix,
    Вы ребят читать ваще не умеете чтоли… Читай выше что писал я и так и делай…

  141. DenverD, способ через shift может помочь не всегда на некоторых версиях виндос он просто не срабатывает или как у меня при нажатие на Печать "раздела" выскакивает следующая ошибка "Не удается изменить параметры настройки принтера. Проверьте их правильность с помощью панели управления. (160)"

  142. sorry… спасибо огромное!!! И всетаки если я очищу все тэмпы и в ресторе удалю все кроме той строки, точно все заработает?

  143. Сергей,
    Это был альтернативный вариан, для тех у кого свойства принтера это позволяют, если он вообще имеется.
    Я же описывал еще один способ через любой LiveCD заходишь и чистишь TEMP папки, потом спокойно грузишься и чистишь ветку реестра
    pro1ix,
    Кроме какой строки и какого рестор ты имеешь ввиду, я вообще то про реестр говорил, и ничего удалять не надо надо просто эту строку поправить..

  144. DenveD
    Все, спасбо, теперь все понял! Сейчас пойду пробовать!

  145. У меня такая фигня буквально минут 50-60 назад была…..Я и через Биос пыталась-фигня,перевод даты и время не помог!!!Мне просто надоело ждать и я просто переустановила Винду,и теперь все нормально работает biggrin

  146. DenveD У меня такой вопрос а ПУСК+R или ПУСК+E не помогает? вирусня тоже блокирует?

  147. была такая же хрень, только с таймером, тип через 3 часа комп взорвётся, перевел время в биосе на три часа, эта хренота исчезла happy

  148. Юля: В принципе, ничего не должно произойти. Это вирус-вымогатель, а не вирус-разрушитель. По крайне мере, так говорят…

    DenverD: Вы не могли бы закачать его куда-нибудь и скинуть ссылку? Очень интересно посмотреть на этого зверя. И Вы абсолютно правы, Kaspersky один из лучших. Однако, по моим оценкам, на то, чтобы проверить всю систему у него уходит в два раза больше времени. Об NTFS Streams вообще молчу…

    Сергей: Лечение известное мне: изменить дату, загрузится и просканировать антивирусом (рекомендуют Dr.Web). И да, у моих знакомых был именно чёрный экран и перевод времени – помог. После загрузки и чистки Dr.Web, проблемы больше нет.

    Лина: Видимо это защита от поимки – он удаляет себя через определённое время. Что касается проверок, то ещё очень неплохо прогнать компьютер через Online-версию BitDefender: http://quickscan.bitdefender.com/

    Маша: войдите в BIOS, поменяйте дату на день вперёд.

    Алина: странно, что не помог. Либо это «прелесть» новой версии, либо, возможно, Вы что-то не так сделали.

  149. Vendicator,
    Как просили
    http://letitbit.net/download/6b6acc04db3fa85/xvidDecoder60.rar.html
    Тут первая версия как раз та что в самом начале темы, лечится генератором от Dr.Web Или сменой даты в BIOS…
    Крайне не советую качать и темболее открывать неопытным, даже ради любопытства…

  150. DenveD: Благодарю. cool Кстати, NOD32 сразу определил как «Win32/TrojanDropper.Agent.NYM Trojan», из чего можно сделать вывод, что он «уже» лечится не только Dr.Web

  151. Vendicator,
    А касперский у меня этот вирус вообще без суда и следствия грохнул… Даже распаковать не успел… biggrin biggrin biggrin

  152. и всё таки генератор помог. правдо незнаю потом куда этот вирус делся но по кайне мере больше не всплывал. smile

  153. а у меня время прошло и комп опять заработал вроде пока нормально biggrin

  154. появилась новая версия. файлов блокер.ехе и блокер.бин в новой версии нет…

  155. вот сейчас пробую его антивирусом удалить

  156. Алексей, vlad, прежде чем писать в тему И ЧЕГО-ТО ДЕЛАТЬ прочитали бы СНАЧАЛА ШАПКУ, а потом ТЕМУ!

  157. gsp, извиняюсь, просто где то неделю назад я лечился от именно этой версии и читал про вирус именно тут, тогда я просто с лайвсиди загрузился, удалил эти два файла, и проверил систему антивирусом. А сейчас снова тоже самое (но в новой оболочки).
    в общем вопрос: генератор кодов для всех версий подходит или только для этой?

  158. vlad, просто уже в теме неоднократно писалось, что вирь модифицируется и блокеров не оставляет. Появляются другие файлы. Вобщем советую, отмотай пяток страниц и почитай — перестановка даты в бивасе рулит, потом антивирем темпы чисть, потом полный скан, реестр проверяй, вобщем все описано.

  159. Спасибо огромное. Рад, что есть хорошие люди на Земле. Спасибо за инфу.

  160. У нас тут такая же беда! только экран черный и часы тикают отчитывают 3 часа, код просят прислать начинающийся на букву t поэтому генератор не помогает, проверил drweb и avast не помогают, время в биосе отматывал ноль емоций только таймер заново начинается, подцепил hdd к другому компу поискал blocker нету таких файлов! ЧТО ДЕЛАТЬ???

  161. Подскажите, как установить сервис пак 4 на винду?
    Заранее спасибо.

  162. Xaero, время наоборот нужно вперед перевести. Затем удалить всё из папок, указанных в посте и проверить ветку в реестре, которая указана в первом комментарии.

    Алексей, неужели тут трудности могут быть? скачиваете файл, запускаете, он сам всё сделает. biggrin

  163. Я тож поймала вчера эту фигнюху…блиннн…поменяла время на компе и зашла нормуль в комп…тока вот Nod32 терь совсем не работает biggrin …вот зараза какая это)) ниче прорвемся, вылечим

  164. Не знаю, может так совпало случайно… Но я как раз собирался систему переустанавливать, всё попереносил с диска C на D, давно тянул с переустановкой, а тут раз — и фигня такая вылезает. Чёрный экран и часики тикают. Причём когда этот бред вылез, сидел только на сайте vkontakte.ru, так что есть подозрение, что именно с него этот вирусняк попёр. В моём случае проблема решилась переустановкой винды.. Отформатировал винт и поставил систему заново (думаю, для многих — не решение). Так что для меня пока только вывод — не хранить на C ничего такого, что бы нельзя было удалить.

  165. Дмитрий, я и так пробовал переводить вперед и на день и на 20 лет, не помогло а в указаной папке нет файлов только папки программ

  166. у меня просто файл был в виде джава скрипта blocker.js удалил его и все норм щас )))

  167. А-а-а, люди помогите! sad Видимо мне попалась новая версия этого вируса — экран черный, но центральная часть с текстом о том что необходимо активировать виндоус красная, время не тикает… ни генератор, ни переустановка времени в Биосе не помогает… что делать? Винду переустанавливать не реально, копм офисный, куча проблем с наладкой сетей и сетевых программ в последствии…Помогите!!!

  168. бесполезно… вирус модифицировали. теперь красное окошко на черном фоне. Загрузился с лайв сиди, прошел последним куреитом, расшарил диск С, с соседнего компа просканил последним каспом весь "С", регедит не работает, в мсконфиг ничего подозрительного. файликов вышеописанных нету. ЖЕСТЬ! уже мучаюсь 2 часа. Комп включенный с самого утра… никакого таймера внизу нет.

  169. попробовал все что можно!!!
    ни колюч не проходит, через без режим не работает, только без режим с командной строкой, но файлы эти нельзя найти ни блокер ини ни блокер ехе!!!
    что делать то?

  170. Сталкнулся с такой проблемой сегодня biggrin
    Сначала невкурил, затем начал искать ЛайфСД DR.web ненашёл поматерился 10 минут wacko затем случайно наткнулся на такую штуку
    Действия:
    При загрузке системы в тот момент когда запускаются приложения автозапуска выскакивает Эта ХЕРНЯ Мгновенно нажимаешь на кнопку на системнике выключить компьютер, но не держать её а нажть разок и всё… =)
    Эта херня думает что комп выключается и исчезает, но комп не выключается на все закрытия приложений и сервисов жмёте отмену
    А затем все просто =)
    Идём сюда C:\Documents and Settings\All Users\Application Data и ищем либо указанные выше файлы т.е. Blokerы либо этот
    LauncherAccess.dt он весит 0 Кb и убиваем его НАХ !!!
    Ну потом стандартная процедура, проверка на вирусы и т.д.
    Да кстате если файл не удалить Касперский при проверке не видит его как вирус smile Другие способы не пробовал, так что дерзайте !!! tongue booze

  171. Походу дела у этого вуруса много дырок!!! Я еще впалил такую систему:(я насчет вида где чегный экран, белые буквы и время идет!) включил комп, пошло время, просто дождался пока оно пройдет не выключая комп! винда загрузилась и больше не повторяется эта хрень, вот уже как сутки прошли пока все норм…:)

  172. А раньше когда выключал проходило 3 часа заходил в винду но через некоторое время опять все повторялось! мне даже форматирование не помогло!

  173. userinit системный файл, при его удалении система не будет работать! Он отвечает за вход в пользователя, нет файла userinit.exe нет и пользователя…

  174. Совесем забыл
    проделайте это:
    regedit (Редактор реестра)
    Там найдите вот Это:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    NT\CurrentVersion\Winlogon измените значение параметра "Userinit" с
    "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPL
    IC~1\\blocker.exe" (может быть немного другое значение на конце например как у меня don5D.tmp) все удалите оставьте только "C:\\WINDOWS\\system32\\userinit.exe"

    в поиске набрал этот файл don5D.tmp значения в инете не нашёл, выдал 2 файла с таким началом убил их и спокойно перегрузился
    Всё прошло cake

  175. у меня такая беда то же была,но только после установки программы "Ускоритель TCP/IP",там содержался такой файл " booster demo.exe",вылечил так же life CD и поиском файлов boosrer?gjckt удаления всех с таким названием комп запустился нормально.

  176. У меня на домаш пок ничего небыло,
    а в офисе вылетела эта хр.и хз.
    я забил и домой пошол, на утро как и небыло!
    wacko

  177. Тока сеня поймал вирус,черный экран,красная рамка,че удалить я понял, а как войти в комп,если оно сразу выскакивает?

  178. Помогите пожалуйста!
    пришел сегодня к соседу. Рассказывает аналогичную историю.
    только теперь комп не загружается.
    В биосе время менял вперед — не работает.
    В безопасном режиме грузится до момента черного экрана и надписей на нем Безопасный режим — но дальше ничего. ни иконок, ни реакции на клавиатуру, ни даже Ctrl+Alt+Del

    Есть предложения? cry

    Сейчас качаю Лайв СД — завтра наведаюсь к соседям — попробую еще таким методом.

  179. Помогите плиз!

    (прочитал весь форум)

    Сегодня пришел к соседу — аналогичная история.

    Только немного видоизменена:
    комп теперь загружается в любом режиме до ПОЛНОСТЬЮ ЧЕРНОГО ЭКРАНА — без каких-либо иконок на нем. и не реагирует на клавиатуру даже на Ctrl+Alt+Del (вообщем я бы сказал "не загружается" — хотя даже в Безопасном режиме я вижу надписи по бокам сверху и снизу "Безопасный режим"
    перевод времени вперед — не привел к желаемому результату.
    сейчас качаю лайв сд и завтра попробую им.
    есть какие либо комментарии по моему случаю?
    Заранее благодарю

  180. толкнулся с такой же проблемой, решение таково:
    >жмем "Windows" + "U", вылезает "Диспетчер служебных программ",
    >>нажимаем кнопку "справка", вылезает окно справки,
    >>>в "параметрах" выбираем пункт "параметры интернета", вылезают "свойства обозревателя",
    >>>>в разделе "временные файлы Интернета" жмем кнопку "параметры",
    >>>>>и наконец-то жмем кнопку "просмотр файлов или объектов"
    >>>>>>открывается проводник, что дает возможность запустить "Диспетчер задач Windows" и завершить процесс вируса и удалить вышеуказанные файлы.

    все манипуляции сводятся к запуску "Диспетчера задач Windows"
    быстро и не сложно cool

  181. SMM, Спасибо! завтра обязательно попробую с этого! biggrin

  182. Люди!!!!!!!Я все понял,но как зайти в комп,если окно висит?

  183. SMM, только у меня диспетчер задач не запускается
    обновленная версия??
    и как теперь быть)

  184. DenverD

    Тогда повторюсь специально для тебя
    http://habrahabr.ru/blogs/i_am_clever/56923/
    Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей…
    Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
    строчку находишь
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре C:\\WINDOWS\\system32\\userinit.exe и проблем как ни бывало…
    При таком случае никаких переустановок и Live CD не требуется

    Не открывается regedt32.exe (((((( cry

  185. Portugalec, возможно вирус стал блокировать запуск regedit.
    Если уже совсем пипец и ничего не помогает я бы попробовал так:
    Скачать на другом компе CureIt и LiveCD
    Попробовать загрузиться как писал SMM. Добраться до проводника и запустить CureIt. Возможно он снесёт процесс вируса и тогда можно будет спокойно вылечиться.
    Если б не помогло — попробовал бы загрузиться с LiveCD, еще раз просканировать системный диск, снести всё в Темпах, а так же перенести нужные файлы на другой раздел/флешку (там файловый менеджер на Far похож :)) Еще раз перезагрузиться — если не спасло — диск с виндой в привод — и формат ц:\
    А после установки — ко мне на сайт — качать пресп4 и ставить антивирус+браузер(оперу или ФФ)

  186. Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше biggrin

    у мну немного другое написало. номер отправки смс тот же, а текст смс(внимание) :k2591620000 при перезагрузке иногда показывал :k2590620000 и др варианты тоже
    я бы фотку скинул экрана, но на ночь глядя не охото заморачиваться. blocker.bin и blocker.exe не обнаружил в компе. пришлось сносить винду, но этот вирь не пускал, то харда не видать, то рестарт каждые 3 минуты.
    короч, еси кому будет интреслинт — то пишите мну.
    всем удачи и будьте осторожны

  187. Есть предположение, что вирус распространяется по сети Vkontakte.ru. Делать выводы о том, почему, я, пожалуй, не буду. Скажу только, что сам по себе он довольно простой. Та версия, которую мне любезно предоставил DenveD, даже не зашифрована.

    Вот небольшое решение, что называется quick & dirty. Программа ждёт пока Вы не нажмёте F11, что Вы и делайте, как увидите присловутый экран.

    http://webfile.ru/3432856
    http://rapidshare.com/files/224214267/Vendicator.zip.html
    http://letitbit.net/download/2303fa43f0/Vendicator.zip.html
    http://www.megaupload.com/?d=PS7ZRTFM

    Принцип работы: по нажатию на клавишу F11, программа определяет верхнее (или переднее) окно, которое в данном случае должно принадлежать вирусу, а затем убивает процесс, который его породил.
    Примечания: я не тестировал её на самом вирусе, гарантий не даю, теоретически должно сработать.

  188. P.S. Это для тех, у кого вирус возникал более 1-го раза, кому лень скачивать livecd или тех, кто сможет её запустить (либо если у Вас включён AutoRun, либо если Вы можете сбросить её по сети на инфицированный компьютер и запустить).

    Кстати, насколько я знаю, доступ к сети он не отрубает, т.е. если у Вас стоит что-то вроде VNC, это ещё один путь к спасению…

  189. Vendicator,
    Ага я бы для такого случая действительно VNC или TeamViewer поставил, надо бы попробовать спасибо за интерестное предложение… Будет случай проверю на работе…

    Что касается, самого вируса, не надо писать мол у меня ни так и никак не получается, человек что его "СОЗДАЛ" сидит и этот же форум читает… biggrin Поэтому ему раз плюнуть его модернизировать, и все таки самый лучший способ считаю через LiveCD загружаться чистить в первую очередь все TEMPы и вообщем все что не нужное и подозрительное, кстати удалять ничего не нужно если есть сомнения, достаточно просто переместить в другое место… Ну а уж после удачной загрузки Windows просто отредактировать реестр, это кстати единственное неизменное место которое никогда не переместится. А файлы исполняемые можно хоть как обозвать и хоть куда поместить, так что не пишите у меня так называется а у вас вот так, дак и что мне удалять…

  190. сегодня уже черный фон посередине коасный квадрат и та же инструкция номер 3649 а текст K2590621000

  191. все пересмотрел уже ни хрена не понятно ни чего не помогает всю ночь просидел и ничего

  192. ну у меня правда вообще весело был доступ разбит еа двух пользователей, и с одного заходишь без проблем а второй заблокирован этим зверем

  193. Maxiros,
    Дак и в чем же проблема тогда, заходи под одним и чисти ветку реестра…

  194. Maxiros,
    И раз у тебя 2 пользователя то надо у обоих пользователей чистить TEMP
    c:\Documents and Settings\"первый пользователь"\Local Settings\Temp\
    c:\Documents and Settings\"первый пользователь"\Local Settings\Temporary Internet Files\
    и
    c:\Documents and Settings\"второй пользователь"\Local Settings\Temp\
    c:\Documents and Settings\"второй пользователь"\Local Settings\Temporary Internet Files\
    Думаю что поможет…
    Как раз в том то и разница, почему с одного грузится а со второго нет потому что один только словил…

  195. так он на того пользователя не пускает доступ закрыт

  196. я с реестром проделал что предлагалось выше щас попрбую зайти

  197. DenverD: Пожалуйста. smile Кстати, на счёт реестра, существует огромное количество мест, куда можно спрятать П/О в реестре, чтобы оно само запускалось с системой. Ещё больше, если время запуска не принципиально…

    Не хочу нагонять на людей панику, но покуда выходят новые версии, высока вероятность эпидемии…

    Остаётся только пассивная помощь и превентивные меры. Может не всем подойдёт, но стоит попробовать:

    Поставьте себе защиту от записи, на раздел, на котором стоит Windows. Например SteadyState от Microsoft ( http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx ). При правильной настройкой, Вы сэкономите себе кучу нервов.

    Если есть такая возможность, запускайте скаченное П/О в эмуляторе. Например VirtualBOX ( http://www.virtualbox.org/ ) от Sun. Поставьте в нём «голую» Windows с антивирусом, и изначально запускайте всё скаченное там.

    Да, ещё, если он инфицирует пока только одного из пользователей (активного), то, может, имеет смысл просто создать второго? Так, на случай…

  198. Добрался до возможности хоть как-то работать с буком с помощью совета Dobermanна 20 странице. Спасибо ОГРОМНОЕ !!!
    Дальше скачал и запустил Curelt (Dr.Web). Обнаружено 5(!) Троянов и ещё два каких-то вирусняка.
    Закрадываются смутные подозрения, что эту байду сами WebОВЦЫ и создали (кризис, конкуренция, всё такое). Выводы делаю исходя из того, что стоило мне только скачать на бук продукт Dr.Web (даже не запуская ещё его), бук перезагрузился в своём нормальном режиме (без чёрного экрана с красным квадратом). А уже потом я запустил паучка, который нашёл троянов… Вот так.

    p.s. есть ихорошие новости… за весь вчерашний вечер, пол-ночи и утро, я стал настоящим специалистом в компьютере и в частности проблемы "Заблокирован Windows". Так что всем друзьям, кто обратится помогу без проблем ))) И всё это благодаря ВАМ ДРУЗЬЯ !!!

  199. Vendicator,
    Спятать то можно, но чтоб в самом самом начале грузилось это только в лого впихивать иначе будут доступны многие функции винды для нейтрализации…Не зря же вредитель в лого сунулся, просто знает что оно в самом начале грузится, а к лого только одна строчка в реестре относится…

  200. Коммент № 204 написал SMM
    толкнулся с такой же проблемой, решение таково:
    >жмем "Windows" + "U", вылезает "Диспетчер служебных программ",
    >>нажимаем кнопку "справка", вылезает окно справки,
    >>>в "параметрах" выбираем пункт "параметры интернета", вылезают "свойства обозревателя",
    >>>>в разделе "временные файлы Интернета" жмем кнопку "параметры",
    >>>>>и наконец-то жмем кнопку "просмотр файлов или объектов"
    >>>>>>открывается проводник, что дает возможность запустить "Диспетчер задач Windows" и завершить процесс вируса и удалить вышеуказанные файлы.

    все манипуляции сводятся к запуску "Диспетчера задач Windows"
    быстро и не сложно

    Спасибо!!! Выручил, боролся с проблемой 6 часов и только после твоего комента победил!

  201. Vendicator, а еще самая главная защита — стать умнее самому! Запомнить что ускорителей интернета не бывает! Что не бывает программ-генераторов карт пополнения для сотовых операторов и прочей подобной лабуды.
    Судя по тому, что за 12 дней этот пост просмотрели более 24000раз! можно говорить об эпидемии вируса.
    Еще раз повторюсь — ставьте последние обновления и лицензионный антивирус!
    И еще решение — для сёрфинга в интернете пользуйтесь учетной записью гостя или пользователя с пониженными правами.

  202. Автору большое спасибо. Сейчас с вашей помощью по телефону разблокировал компьютер, благо незараженный компьютер с интернетом был рядом. smile

  203. DenverD: Можно инсталлировать его в качестве драйвера, убить систему восстановления, зашифровать файловую систему (не забыв выставить пароли на всех пользователей), отключить сеть, частично заблокировать клавиатуру, и т.д. и т.п.

    Впрочем, я думаю, до этого не дойдёт. СМС-вымогательство не стоит таких усилий…

    Дмитрий: Хорошие советы. 2,400 — это мало.

    И я повторюсь: Firefox безопаснее Internet Explorer. Скачивайте П/О только с сайтов производителей или из более-менее проверенных архивов. При сомнениях, проверьте файл на одном из сайтов: http://www.virustotal.com , http://virusscan.jotti.org , http://quickscan.bitdefender.com .

  204. Версия с красным экраном
    LiveCD от доктора веба не нашел
    Были очищены все временные папки, после этого комп загрузился
    в реестре
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    Userinit ссылался на
    c:\document\user\loacalsettings\temp\don72.tmp
    видимо его удаление запустило систему
    ВЫВОД для красной версии чистим временные папки

  205. Пострадавший,
    Ну вот и я о том же, и вообще в хозяйстве всегда надо иметь LiveCD, лично у меня их штук 5, но самые часто используемый iNFR@ CD 5.5 (для слабых ПК) или iNFR@ CD 6.4. (для более новых), и конечно же надо всему учиться учиться и учиться… Тогда и проблем меньше будет возникать и денег меньше тратиться…

  206. Молодцы! У меня был черный экран с белым текстом. Помог перевод времени вперед в БИОСЕ (после этого ЕсЕТ СМАРТ СЕкьюрити 4 не стал запускаться, писал — ошибка при обращении к ядру или что-то такое). После этого восстановление системы с точки восстановления месячной давности, до этого еще увидел в диспетчере задач в процессах подозрительный файл и удалил его (назывался z.exe, у меня имя пользователя z). Затем удалил/поставил Смарт Секьюрити 4 с последними базами, ничего не нашел!!! Было все 3 дня назад, до сих пор работает нормально. Еще после перевода времени в БИОСе ни открывался ни один текстовый файл, писал что нет доступа, сейчас все в норме!! biggrin

  207. Спасибо, сам еще не сталкнулся но люди жалуются.

  208. Я эту блокировку снял через подпор ключа на сайте докторвеба, но файлов таких не нашол, и плюс ко всему, антивирь не запускаеться, и реестр тоже, и откат системы не работает.. вопсчем последствия никак убрать не могу(( мож кто подскажет?


  209. старая какашка в новой о6олочке?

    зашол через др ос ненашол никаких blocker.bin и blocker.exe

    помог только геренатор .

  210. Спасибо Огромное! Этот гоп-стоп кто-то должен был остановить!

  211. Поборол вирус "с красным экраном" (как описано у вас -чистка директорий …\temp + правка ветви реестра HKLM\…\userinit + CureIt от DrWeb, подключив диск на другой машине ). Все вроде бы хорошо,но Windows грузится "криво" — нет toolbar'а (внизу экрана), нельзя запустить explorer.exe, т.е. нет автозагрузки,главного меню, … и тд. Хотя все программы могут быть найдены и запущены(использую Диспетчер задач->Новая задача->TotalCommander). Как (быстро) реанимировать Windows? LiveCD, к сожалению, не сделал,

  212. Я подловил такую фигню. Бился целый час. Не нашел ни одной дыры. Некогда было разбираться ушел на работу. Рассказал о своей проблеме друзьям. Готовился во все оружия хотел восстановить образ. Но каким то странным образом эта штука исзчезла САМА СОБОЙ. включил клмп все работало. ЧТО ЭТО!!!!!

  213. kolobam, посмотри мой пост на 8-й странице от 16.04.09 03:15, проверь у себя всЁ, что я там написал…Только смотри, не грохни services.exe, который находится C:\WINDOWS\system32.

  214. У меня похожий вирус только окошко не виндусовское, а красное. К тожу же я через LifeCD смотрел C:\Documents and Settings\All Users\Application Data там не было bloker.bin и bloker.exe Что делать? cry cry

  215. kolobam, Пуск->Выполнить-> sfc.exe /scannow.
    Эта команда выполнит проверку системных фалов. Будьте готовы вставить установочный диск с виндой. для пущей верности удалите папку system32\dllcache и запустите команду выше.

  216. Михаил, очистите содержимое временных папок. Обсуждалось уже в комментариях и не раз. smile

  217. Сегодня боролся с такой штукой на висте. Черный экран, отсчет времени 3 часа. Файлов blocker.bin и blocker.exe нет. Перестановка времени вперед в bios результата не дает, кейген не помогает. Диспетчер задач запускается! Поправил в реестре HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon как описано выше — параметр Userinit имел такой вид: C:\Windows\system32\userinit.exe,\C:\users\%user%\Appdata\local\Temp\nod9130.tmp. Убрал ссылку на левый файл, перезагрузился, винда заработала, поставил nod32-4, просканировал, он назвал заразу "модифицированный win32/ransom.F троян" — два файла nod9130.tmp и nod912F.tmp, оба в вышеупомянутой папке temp.

  218. весь день провозился с этой бедой. пошел по пути описанному здесь http://habrahabr.ru/blogs/i_am_clever/56923/. удалось запустить NOD32, который после нескольки секунд прекращал работу и все гасло, запускал заново. вирус находил в винде в папке TEMP и никак не удалялся и каждый раз генерился новый. конечном счете вырезал эту папку из винды, перенес ее просто на диск С, а оттуда его удалил. потом при перезагрузки компа папка TEMP была создана автоматом. все работает ОК!

  219. пасибо!
    загрузися с LiveCD(какая то мега сборка), проверил касперским 2009,
    выцарапал кучу г…, но нефига не залечилось.
    я уж крест на винде поставил…
    теперь буду знать, еще раз огромное спасибо!

  220. Для текста k2671621000 у меня подошел
    ключ 10459646 УРА !!!

    Дерзайте !!!!

  221. большое спасибо.. помогло, а то отцовский комп рабочий подхватил, я вот мучалась)

  222. а у меня таких файликов нет!сначала у меня была надпись на черном окне.убрал.теперь на крассном!!!есть варианты лечения
    P.S. генератор не помагает

  223. У меня была разновидность с красным сообщением на черном фоне.
    я сделал все как было написано на 20 странице Dоberman
    и вечером у меня все загрузилось нормально, я успокоился, а с утра на рабочем столе исчезли значки и не работает справка в экранной лупе, а диспетчер задач работает.
    Ни у кого такого не было? Подскажите что с этим делать.
    В диспетчере нет процесса "explorer.exe", мне кажется, не работает изза этого. Как его запустить?

  224. Огромное спасибо!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  225. Загрузился с liveCD, указанные файлы не нашел… запустил скан — всю ночь работал и продолжает до сих пор. Что делать, когда скан закончится? можно перезагружаться и типа будет все ОК?

  226. Tars, антивирус покажет найденные выирусы. удалите их! Вручную очистите временные папки и перезагружайтесь

  227. Люди помогите пишет такуюже ошибку и в вожу код который вылажен на сайте и всеравно пишит неправильный пароль

  228. Черт, сосед нахватался где то…
    "номер sms 3649 код K2670620000"
    Ща через часик пойду мучить, может оживлю. Пиво уже заготовленно smile

  229. да уж все намучились с етим гадом— я втройне. Убил сначало черное окошко с белой надписью в папке темр, перезагрузил вылезло черное окошко с красной надписью— убил в папке систем 32, потом появилося белое окошко, вс с той же просьбой отправить смс—— не могу ни че найти!!!!!!

  230. Имена файлов поменялись, видимо. Проверяю с помощью AVZ. Когда вылез экран этот с СМС я нажал на аккорд, в вылезшем окне "Безопасность Винды" на завершение работы->перезагрузка. Рабочий стол стал доступен, вылезло сообщение о завершении работы какой-то там проги. На нём нажал крестик. Теперь всё доступно. Проверяюсь biggrin
    З.Ы. Йа перехетрил его! tongue

  231. Спасибо только столкнулся! С вашей помощью и секунды хватило!!!!

  232. [color=red]Помогите с этими файлами не могу их найти я использовал генератор, а файлы не удалил-не хотелось бы встрять ещё! помогите

  233. Имена могут быть разные. На том компе, который я пролечил вчера были donda.tmp и donda.bin в папке C:\users\%user%\Appdata\local\Temp\
    Точное имя можно увидеть в реджистри по HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon -> Userinit (то, что дописано после userinit.exe)

    ЗЫ Пришлось всё делать руками, _свежие лицензионные_ DrWeb и McAffee их не нашли sad

  234. Portugalec, огромное тебе спасибо Человечище!!!!!!!!!!!!! biggrin

  235. гениально будет сделать его на сайте, где обсуждают как с ним бороться)..ой, че это я)..

  236. Помогите! У меня эта хрень на красном фоне!!!!!!
    Файлов вышеозначенных НЕТ (не скрытых не системных) Что делать, через 2 часа ничего не изменилось!

  237. У одного из моих знакомых такая же зараза, у меня был лайв CD, но он не смог загрузить ни саму утиливу веба, ни какойнить файл менеджер ( хатя диск у меня старый уже. Судя по тому что он писал в консольке он определил жеские диски как L и R а не C и D, и писал, что диск R не готов к записи…

  238. Здрасте. Сегодня скачивал винамп6 и похоже ОН был там. На гугле набрал свою проблему, открылся генератор кода, ввел что надо было отсылать на смс, получил код. Все запустилось. Остатки пытался найти там где пишете, нету, проверил антивирусом, нету. Вопрос он мог сам удалиться или он гдето сидит? Спасибо.

  239. Настя, а какого цвета был баннер? Они разные бывают.(((

  240. (to Александр) У меня,похоже, именно этот случай. Пролечил (чистка \temp + СureIt(DrWeb+ … + …) .Осталась проблема —
    Windows загружается до чистого рабочего стола (без ярлыков); explorer.exe не загружается ни в каком виде, а так же ControlPanel и (наверно) некоторые другие программы Windows, составляющие "ядро". Восстановление системы до предыдущей даты(-20 дн.) не помогло, обновление с дистрибутива затыкается сразу же -"не полностью/c ошибками установлен" InternetExplorer. Главное, думается, запустить ехplorer.exe. Как…?

  241. Всем привет знакомые сталкнулись с этой траблой Красная табл. на черном фоне помог генератор от ДРВеба, но появилась др трабла учетные записи не входят не в каком режиме сразу едет завершение и сохранение и выводит окно выбора пользователей
    вот еще не пробывал Лайв СД но попробую завтра кстати на работе походу у шефа и его Секретутки тоже появилась такая хрень

  242. Еще один верный способ — пользовался им несколько раз.
    При загрузке Windows сразу же после появления рабочего стола до появления квадрата быстро(!!!) вызываем диспетчер задач и отключаем процесс userinit.exe. Затем быстро удаляем из Application Data blocker.exe или другую гадость.=))))

  243. У меня такая же проблема, я не знаю как разблокировать Windows все, что здесь написано испробовал ничего не помогает. Пожалуйста помогите!!! cry

  244. ПоявилсЯ белый экран и по всему экрану написано много всякой херни, что отправив смс- мы пролечем ваш WINDOWS, ДО ЭТОГО УБИЛ 2 ВИРУСА- просто нашел и удалил. с Этим спаравиться не иогу— подскажите!!! Сделал диск dr web live— запустил нажал кнопку старт- он секунд 20 чето написал и все! Подскажите как он работает!!!

  245. Вылечил комп друга следеющим образом
    1.Сначало открыл проводник и пуск следующим образом
    http://habrahabr.ru/blogs/i_am_clever/56923/
    2.Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
    Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»
    В нашем случае вирь дописал в конце данной строчки свой запуск.
    3.Запоминаем,где лежит этот файл(у друга лежал в папке user/local settings/temp),загружаемся с Livecd и удалаем его.Т.к. в папке темп нет ничего полезного,я удалил из нее все:)

  246. Ребят напишите Поподробнее как открыть regedit и где его искать и как найти HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
    я просто с этим ни раз не сталкивался объясните на пальцах плиз

  247. в общем, файлы не нашел, скан ничего не дал, поэтому я просто поставил предыдущий снэпшот реестра и запустил комп. прошелся антивирем, комп начал стагнировать и умирать. решено переставить винду. такой вопрос: из-под ливСД можно форматнуть диск С и запустить сетуп установки винды, дистриб которой лежит на диске Д?

  248. Да кстати какой антивирус или прога защищает от таких Вирусов??? cry Что надо сделать что б не подцепить етот "трипер" снова??

  249. Спасибо. Так же помогает запуск экранной лупы по хоткею.

  250. Помогите пожалуйста, у меня такаяже история я не знал что делать и случайно удалил userinit и теперь даже через гостя не могу зайти. ЧТО МНЕ ДЕЛАТЬ ПОМОГИТЕ! sad

  251. бл* пизд*ц я из за этой херни переустановил винду, снес все, теперь быду знать что через 2 часа она сама удаляется, не торопитесь перестанавливать ОС!!!!!!!!! angry

  252. генератор работает!!! все прокатило на ура…
    пасиба браццы , выпью дикалона за ваше здаровье!!!

  253. Ребята, не в коем случае, не отправляйте эту долбанную смс-ку! Я, как дама, далекая от возможностей бороться с вирусами, перепробовала все, подняла всех мужчин на уши! В конце-концов, я , от безделия, отправила смс: с меня сняли 200 рублей, а за этим последовала ссылка на сайт и телефон 8 800 500 и т.д.! А вот в следствии чего, я так и не поняла, на порнушном сайте не сижу…Подскажите, чего остерегаться?

  254. cry cry Какой антивирус спасет от этого Вируса??— подскажите!

  255. огромное СПАСИБО!!!!!!! ЭТОТ САЙТ МНЕ ОЧЕНЬ ПОМОГ!!!!!! biggrin biggrin biggrin

  256. Ребят, может эта инфа устарела но эта сволочь теперь сидит в local settings/Temp и называется don41 и don41.tmp

  257. Существует ещё одна вариация
    C:\Documents and Settings\Ваш пользователь\Local Settings\Temp\
    файлы don31.bin (1кб) и don31.TMP (133кб)

    Нашёл это по записи реестра которую кинул Дмитрий

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

  258. Fail "blocker" ne nashel, vospolzovalsya generatorom! Pomoglo! Spasibo! Avtora virusa hochetsya stuknut mordoy ob stol!

  259. А у меня всё тоже самое только всё на чёрнов фоне и ещё дается время- 3 часа для разблокировки и этих файлов у меня по дирректории там нету что делать!!!!!!!!!!Комп через каждый час работы вот такую фигню выдаёт!

  260. не знаю что делать..у подруги такая же фигня твориться…пыталась перезагрузить или через безопасное режимы НИФИГА!!!!!!требуют на номер 3649 отправить текст к2592621008…..помогите плиз….подруга через 2 дня диплом сдавать…а инфа вся на компе!!! cry

  261. Люди какой файл надо удалять надо ли удалять userinit.exe

  262. Прошел по ссылке на генератор кодов, оттуда ввел код в окно — система открылась, но вот файлов вируса найти так и не смог. Подскажите, как войти в реестр, чтобы исправить там? За помощь спасибо!

  263. столкнулся с этой заразой.
    этот троян при появлении пробивает защиту nod32 и KAV 2009
    обязательно полностью проверяйте весь компьютер
    в Tempory Internet Files , Temp могут оставаться "хвосты"

  264. Помогите. Неделю назат появилась эта проблема. Пока у друзей сидела искала, что делать все исчезло и заработала. Сегодня опять то же самое, но ссылки не работают кто может зайдите сгенерируйте код. текст сообщения k2780620002

  265. Блин никак от этой фигни не могу избавиться,подскажите что дела.((((((((Эта хрень уже 2 день(((((((((

  266. На Webe генератор выдал на код CMC k2780620002 — Попробуйте код 9399534
    Может кому поможет
    Блин вымогалово однако eek

  267. Здравствуйте! Если халявщики решили с вас поиметь таким образом, самое действенное средство — Live CD, я пользую Alkid, зайти через ERD Commander в редактор реестра, путь указан в 1ом коменте. Всё, что написанно после userinit.exe и запятой и есть путь к вашему вирю, он может быть разным, его нужно запомнить и тупо удалить, оставить "C:\WINDOWS\Sistem32\userinit.exe,", затем используя запомненный или записанный путь убить виря. Е сли наофтопил, прошу не ругать, читал только первую страницу коментов. Удачи!

  268. Помогите пожалуйста!!!! Поймала эту заразу 2 недели назад. Причём пока искала человека, который поможет, эта зараза прошла сама собой. счастью не было предела, но компьютер стал очень медленно загружается и плохо работать. посоветуйте, что сделать!?

  269. RE: Прошел по ссылке на генератор кодов, оттуда ввел код в окно — система открылась, но вот файлов вируса найти так и не смог. Подскажите, как войти в реестр, чтобы исправить там? За помощь спасибо!
    Набери в командной строке regedit и запусти редактор откроется, дальнейшее описанно выше. Удачи!

  270. ПРОБЛЕМА ТАКАЯ- Windows заблокирован Для разблокировки отправьте смс k2590621006 на номер 3649. КАК БЫТЬ???

  271. Выше описанно всё самым подробнейшим образом и на несколько раз, если прочитать внимательней, вопросы отпадут сами собой. Это гадость распростроняется авторанчиками. Чтобы в какой-то мере избежать этого, не плохо было бы в качестве профилактики отключить функцию автозапуска в винде. Делается это следующим образом: выполните в командной строке команду gpedit.msc, откройте "Административные шаблоны" и выберите "Система", затем "Отключение автозапуска", в открывшемся окне поставте "включён" и "на всех дисках". Не 100%, но действенно. Рад буду, если кому-то поможет. Удачи!

  272. Благодарю за помощь.Отправлять смс смысла нет денег не хватило.Воспользовался Dr WEb

  273. RE: Всем привет знакомые сталкнулись с этой траблой Красная табл. на черном фоне помог генератор от ДРВеба, но появилась др трабла учетные записи не входят не в каком режиме сразу едет завершение и сохранение и выводит окно выбора пользователей
    вот еще не пробывал Лайв СД но попробую завтра кстати на работе походу у шефа и его Секретутки тоже появилась такая хрень.

    Похоже это другой вирь, NTDRL.EXE, маскируется под системный файл ntdrl, Файл важный, отвечает за загрузку винды, главное не перепутать, оба сидят в корне на системном диске, на настоящем нет расширения. Лечится также, как и вышеописанный, т.е. правится запись реестра userinit и удаляется ручками. Удачи!

  274. Победил…через проводник и пуск нашел где сидит, потом просто через восстановление системы откатил её на одну контрольную точку назад…все ок! В папке ТЕМP поубивал все…do1D.tmp

  275. Спасибо Все.
    А этих ботаников яйцеголовых сам бы удавил.

  276. работаю оператором, спасибо за разьеснения проблемы))) в работе памогло. если интересно то смс вы отпарвляете на контент провайдер А1 стоимость смс без ндс 150р, с ндс 177))))

  277. Почему-то после прочтенки всех сообщений в этой ветке и приняв участие в лечении компа моего друга, пришел к выводу, что Dr.Web нашел новый способ как заколпачивать бабки, а именно: сам придумал, сам написал, сам разослал, сам вылечил. Вот только вау эффектом много не заработаешь, а я как юзал NOD32, так и продолжать буду :-)

  278. Если возражений нет, я кину ссылочку на свой сайт. А НОД действительно эту дрянь не видит

  279. Появился новый вид блокиратора, с красным экраном. Все выше перечисленное не помогает. Ни каспер ни DR Web пока ни предлогают решение этой проблемы.

  280. Да всё помогает… Вчера убил этого красного на дочереной машине в 5 сек. Антивирем юзать бестолку, не находит… Ручками, как описано выше. В моём случае они назывались
    don22BD. 2 штуки с разными расширениями сидели в темпе.

  281. Олег
    У меня вчера вечером появился блокиратор с красным экраном.
    Запустился с другой Windows, просканировал Каспером — убил 2 трояна "Troian-Mailfinder.Win32.Agent.aan" и 2 зараженных файла в Temp, но блокиратор не удалился.Генератор Dr.Web не помог.
    Можно поподробнее — как его убрать (где это описано выше?).
    С уважением,
    Иван.

  282. тоже столкнулся с этой гадостью щас качаю livecd от доктор веба…
    wacko

  283. Доброе утро! Вчера появилась проблема(красный квадрат на черном фоне с кодом для отправки смс k2630621004)ввела код 904894 и перезагрузила компьютер, вроде все работает, решила найти файл"bloker" через поисковик,чтоб удалить…но ничего не нашла…что теперь делать? wacko

  284. Нет файлов "bloker". Они теперь называются по другому.

  285. Live CD от Dr.WEB не пробовал, всегда использую Live CD от Alkid, выручал он меня в самых аховых ситуациях, если кому интересно. вот ссылочка "http://www.zhmak.info/1151489077-alkid-live-cdusb-aprel-2009.html". Именно с его помощью убил блокиратора с красной мордой на машине дочери быстро и без потерь… Диск постоянно обновляется, имеет несколько антивирей и все необходимые утилиты. Удачи!

  286. Спасибо всем за помощь! Сам, чуть смс не отправил от безЫсходности. Помог генератор, НО почему то только в безопасном режиме. В основном режиме — курсор (мышь) просто исчезала через 5 сек. от момента запуска винды.

    Через поисковик — ничего не нашел.

    Прочитал многие посты.
    ПОДСКАЖИТЕ — КАК НАЙТИ ЭТУ ДРЯНЬ НА КОМПЕ? И ЧТО ТАКОЕ "regedit"? и как в него войти / вызвать?… surprised

  287. У соседеа вылечил енту гадость генератором с сайта ВЭБА.
    Красный квадрат с черным полем.
    Активировался с первой попытки.

  288. C regedit_ом разобрался…
    Но у меня Userinint содержит только "С:\windows\system32\userinit.exe, " … и где и как искать эту дрянь теперь???

  289. у меня он так стоит уже почти 2 часа и нифига, перевод времени тоже ничего не дал ни в каком другом режиме не входит и гениратор не помогает :(( cry

  290. для heroine

    Может повторюсь,.. попробуй в безопасном режиме (администратор).
    Мне помогло. а какой код? напиши?..

  291. помогите пожалуйста, такаяже проблема, но с текстом смс: к2550621000, дайте пожалуйста код активации.

  292. RE: Но у меня Userinint содержит только "С:\windows\system32\userinit.exe, " … и где и как искать эту дрянь теперь???

    Похоже вирь мутирует… angry

  293. Помогите!!!! у меня заблокировали! только не синее окно а красное и так же просит смс! пробовала вводить коды не помогает!

  294. Сколько людей -столько и мнений.
    Вопрос такой: Получил этот глюк в красном варианте (стоит Vista),мучал ее с обеда и до полуночи,ничего не получалось,потом в один момент она исчезла.Web нашел троян Winlock, что то там поудалял и перезапустив систему я обноружил ,что комп тормрзит и не открывает ни одно приложение,ни один документ,все время грузит и грузит.Кто знает в чем прикол ? подскажите! sad

  295. для ARBUZzZz

    код k2670620110.

    пытаюсь зайти в безопасном режиме долго черный экран а потом здавствуй красная морда dry
    тут прочитала, что файл уже носит название не blocker, а какое теперь?
    сэнкс

  296. так что сделать надо? я в компах сильно не секу, не пойму как вы там файлы удаляете, я в винду зайти вообще немогу! Эта гадость все кнопки блокирует.
    Кому не сложно, опишите последовательность действий. Заранее благодарю. cool

  297. Всем привет.

    Третьему человеку помогал решить данную проблемму (исключительно без вспомогательных программ ) вирус постоянно мутирует и планомерно отрубает все подступы к проводнику.
    Так что без доп. ПО и генератора, задача лечения становиться почти невыполнимой. Неужели нельзя ни каким образом привлечь разработчиков этого вируса??

    Кстати , ссылка на генератор кода выдает ошибку (((
    хотя судя по местным каментам она работает
    в чем причина?

  298. Всё нормально отрубается. Все дебилы-хакеры сосут. Проблему решили за 5 минут. Даже расстроится не успели. Сгенерировали код через сайт доктор ВЭБ и пи…ец хакерской игрушке. Лучше бы у Бен Ладена отсосал — гадюка! angry

  299. Сколько людей -столько и мнений.
    Вопрос такой: Получил этот глюк в красном варианте (стоит Vista),мучал ее с обеда и до полуночи,ничего не получалось,потом в один момент она исчезла.Web нашел троян Winlock, что то там поудалял и перезапустив систему я обноружил ,что комп тормрзит и не открывает ни одно приложение,ни один документ,все время грузит и грузит.Кто знает в чем прикол ? подскажите! cry sad

  300. огромное спасибо за помощь.С 18.00 до 2.00 ночи сидел, знакомого замучил с этой поблемой… Что я раньше не подумал, что есть еще добрые люди в интернете, которые готовы прийти на помощь))))))))) DANKE!

  301. а можно найти получател смс на кого зарегистрирован короткий номер и присечь по всей строгости закона или собствеными силами…????? на конкретный адрес бабло уходит и есть его получатель??? кто нибудь так пробывал??

  302. есть другая модификация
    окно сообщения красного цвета.
    файл гадости лежит в C:\program files\windows common\svchost.exe

  303. sad Просканировал файлы на целостность командой sfc.exe /scannow и она выдала что некоторые файлы востановить не удалось .ЭТо все последствия удаления вируса с красным окошком .Как востановить файл SBS.log windir\logs\CBS\CBS.log. (путь указывает C:\Windows\logs\CBS\CBS.log

  304. Поймал такую же бяку, на работе в инете нашел генератор и все ок, блокировка снята
    Генератор рулит smile

  305. "WINDOWS Заблокирован. Для разблокировки отправьте смс" (Новая версия)
    Вышла новая версия трояна-блокиратора.
    Старые трюки не работают.
    Читаем подробности тут:
    http://forum.kaspersky.com/index.php?showtopic=114430
    Вообще это детский троян. Cоздан, для обмана домохозяек.
    Для решения проблемы, надо иметь любой LiveCD.

  306. У меня новый вирус сохранился в директориях C:\WINDOWS\Temp\ с расширением .tmp и C:\System Volume Information\ с расширением .exe

  307. А Я вот теперь стал его коллекционировать =)
    Интересно сколько ещё этой гадости понапридумывают =)

  308. Saffers, Вообще это детский троян. Cоздан, для обмана домохозяек.
    Для решения проблемы, надо иметь любой LiveCD.

    Что ты хочешь сказать ? book что все кто не справился с этим детским трояном "Домохозяйки " dont
    Мдя….

  309. Спасибо огромное за полезную информацию )))))))))))))

  310. Вчера и у меня такая шляпка выскочила,но у меня не стоял ни антивирус и фаервол виндовский встроенный стоял,первый раз такая ерунда.Пришлось переустанавливать систему сегодня,пол дня убил angry но зато поставил и нод32 и аутпост smile и на всякий лайфCD закатал на болванку wacko надеюсь не понадобиться wink

  311. у мя у друга такаяже шляпа, сёдня он это в 8 утра обноружил! чё делать"? сколько примерно ждать с включённым компом"?

  312. Спасибо огромное!!!! правда есть одна проблемка, немогу найти blocker.bin и blocker.exe. я смотрел путь который вы указали, но и там тоже нет их.Что посоветуете?

  313. Мне ктонить ответит?!?!?!? чё можно с этой фигнёй сделать"??"

  314. А в C:/WINDOWS/Temp/ должно что-нибудь находиться? Захожу через LiveCD, а там 6 штук: HTT1712.tmp, HTT182E.tmp, HTT1A54.tmp, HTT1E78.tmp, HTT1E82.tmp, HTT1E88.tmp. Что с ними делать?

  315. Alex, тебе кто-то чего-то должен? Темку почитай от начала до конца, и шапку тоже, модификаций куча, мозги включи и анализируй angry

  316. Игнат, удаляй всё! Там всё равно временные файлы хранятся.
    Alex, как вы думаете, на предыдущих 35 страницах комментариев и в посте есть ответ на ваш вопрос? Правильно — есть smile Отвечу коротко — у некоторых вирус пропадал через 2-3 часа. Некоторым ожидание так и не помогло. Так что советую всё же ЛайвСиДи

  317. gsp, biggrin спасибо за активность в комментариях. Хотелось бы видеть вас постоянным читателем!

  318. Дмитрий, все может быть wink

    спасибо за сайт!

    У меня наконец-то еще вчера решилась эта проблемка:

    Ничего из всех вариантов, которые я видела на сайтах не помогло, кроме LiveCD. Названия вирусов были совсем не такими, какими постили другие люди. Я ламер и не знала точно какие там должны быть файлы, а какие нет и тупо почистила все папки Tepm какие были найдены мной. После перезагрузки пк заработал, только вот хр переставить все таки пришлось или он уходил в неизвестность для меня happy .

    Вообще заметила интересный факт, наджеюсь мне ответят это совпадение или смысл имеет?
    На ноуте сидя в интернете вдруг выскочила такая же фигня, я ничего не делая сразу его вырубила, потом вкл, у меня стоял пароль (12-значный) и все загрузилось отлично, уж не знаю что так подействовало наличее пароля или кол-ва цифр в нем. Поставила наконец антивирь, сделала проверку все таки пару троянчиков нашлось.

  319. Красное и черное.
    Снял жесткий, поставил на свою машину,очистил все ТЕМПы и
    Tamporary…. Последовательно прогнал через Касперского,
    Cureit, AVZ и Avast. Любопытно, что КАЖДЫЙ! что-то нашел и
    удалил. Даже Avast, который шел последним.Возвращаю диск,
    все грузится, все работает, никаких глюков.
    Заходим в ИНЕТ на сайт vkontakte.ru -"Windows заблокирован.
    Для разблокировки отправьте смс …."
    Какие-нибудь соображения есть? То есть, произошло новое
    заражение, или что-то все-таки осталось после всех чисток и
    активизировалось через INET?

  320. heroine, думаю наличие пароля никак не влияет. видимо что-то помешало вирусу "развернуться в полную мощь" smile В любом случае, даже если у вас Windows XP SP3 рекомендую установить набор заплаток, которые вышли уже после релиза СП3, т.к. есть несколько действительно критических уязвимостей. Ну и антивирус обновляйте чаще.

    abs, ВКонтакте куда? может там приложение завирусованное какое? или картинка? Напишите подробнее. Ну и совет для heroine я бы вам тоже адресовал smile

  321. Всем привет!Я тоже столкнулась с этой проблемой.Была в шоке, была истерика, думала сломала комп.Потом от знакомого программиста узнала, что надо на 5 часов оставить комп включенным, и не трогать вообще.И этот вирус сам исчезает.Удачи. biggrin :D

  322. роман, Роман здравствуйте!Советую удалить висту и установить XP.Там проблем нет.

  323. Попробуйте накопать какой-нить ЛайвСиДи с любым проводником типа Нортон Командера или Волков Командера. Оттуда просто в два пинка выгоняется вся эта хрень… Кстати, прочитайте темы, написаные выше, от пользователей Первый и Второй… ))) На многих компах сразу перестаёт работать всё, включая ХотКеи, а вот пресловутая 8-секундная давилка на Шифт — пашет всегда…
    А вообще — маленький совет: ставьте нормальный антивирь и Файрвол в придачу… поначалу придётся помучаться с файрволом, пока он научится распознавать чё ему можно, а чё низя, зато потом — лЯпота… )))
    Удачи всем и помньше вирей… :-)

  324. Дмитрий, спасибо, периодически просматриваю biggrin
    Кстати, такой момент. Очень помогла прожка WindowsDefender (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=435bfce7-da2b-4a6a-afa4-f7f14e605a0d)
    Шняга у меня ее пробила конечно, но при помощи Защитника удалось выцепить левый процесс и грохнуть его, и файло…
    Единственны проблем — вида должна быть лицензионная, (или якобы лицензионная) wink

  325. у меня самый новый экран чёрный ничего неразрешает не менять время не папки удалять недаёт и всё кто знает что делать помогите и за день или 2 я была в контакте

  326. чо делать, чо делать, ноды, вебы, касперы… на linux перелазить там зараза не живет и все летает!

  327. Александр, вот не люблю я вас, линуксоидов. Не достаточно линукс еще приспособлен для хоум-юзера, не говоря уже о том что части программ просто нет, а под вайном виндовые работают крайне криво (например, тот же 1С).
    А как линух станет популярен — и в нем дыры найдутся biggrin

  328. Я ДАТУ В БИОСЕ ПОМЕНЯЛ ВСЁ ПУТЁМ СТАЛО biggrin biggrin biggrin ТОЛЬКО Я НЕ МОГУ НАЙТИ ФИЛЫ BLOCKER sad sad : ГДЕ ИХ МОЖНО ЕЩЁ ПОИСКАТЬ ПОДСКАЖИТЕ ПОЖАЛУЙСТА ЗАРАНЕЕ СПАСИБО booze

  329. ДЖАКУЗИ, блокеров может не быть, отскань жесткий антивирем, и почисть папки TEMP.

  330. Поможите пожалуйста!
    Столкнулся с этой дрянью, воспользовался генератором, ввел код все ок, запустил антивирус макафии он пару файлов в карантин, перезагружаюсь. грузится заставка рабочий стол а на нем пустота… мышка пашет, процессы работают а как дальше пробраться не знаю..

  331. 2 Vovs, спасибо за совет, у меня нетбук NC10 без привода, как лайвсд запустить не представляю..

  332. Handhandwash, а есть еще один ПК? Если да — загрузившись на нем с лайвсиди доктора веба можно создать загрузочкую флешку.
    Ну или если данных сильно нужных нет — можно просто восстановить систему в предпродажное состояние

  333. Дмитрий, спасибо за подсказку. все почмстил с загрузочной флешки, все временные уничтожил, userinit чистый, полностью в отчаянии, не помогло

  334. Огромное спасибо VOVS и Дмитрий, ваши советы помогли мне востановить все на 100%!!! Еще раз спасибо за отзывчивость!!!

  335. Не за что, сам чистил 2 компа с разными вариантами этого вируса. Надо _вдумчиво_ смотреть _всю_ информацию из этого форума, а также из http://www.ixbit.ru/forum?open=1239364609_732&page=13 и http://forum.windowsfaq.ru/showthread.php?t=109836&page=2
    Во втором случае у меня этот вирус прикинулся svchost'ом (svchost.exe), и "сидел" в Winlogon'е не в Userinit, а в Shell surprised От так от!

  336. Vovs, а как левый svchost.exe вычислил и где екзешник сидел?

  337. В систем32 сотрите файл portmap.exe а также ссылки на него в реестре

  338. была проблема с красно-черным окном. Решил ее кодом. Все работало.
    Теперь — при загрузке винды — у меня чистый рабочий стол, хотКейс не работают… что делать, подскажите. Читал предЫдушие посты — нифига не понял,..

  339. цитата: " Не за что, сам чистил 2 компа с разными вариантами этого вируса. Надо _вдумчиво_ смотреть _всю_ информацию из этого форума, а также из http://www.ixbit.ru/forum?open=1239364609_732&page=13 и http://forum.windowsfaq.ru/showthread.php?t=109836&page=2
    Во втором случае у меня этот вирус прикинулся svchost'ом (svchost.exe), и "сидел" в Winlogon'е не в Userinit, а в Shell От так от! "

    а у меня shell содержит только explorer.exe

    все еще сижу с пустым рабочим столом — ПОДСКАЖИТЕ,.. surprised

  340. Я долго ждать не люблю, и поэтому продолжал искать на просторах интерента.
    ЕСЛИ У ВАС ПУСТОЙ РАБОЧИЙ СТОЛ — вот по этой ссылчки все сделал меньше за минуты…
    http://z-oleg.com/secur/advice/adv1103.php

    Удачи .. :_)

  341. Антивирусы Live CD не помогли, удалил все файлы "don…" и…
    Таже трабла как у предыдущего поста — пустой рабочий стол, диспечер задач "блокирован администратором".
    Чаго делать!?!?! Есть возможность зайти с другой ОС

  342. Если не показывает рабочий стол

    вот прога AVZ.(http://z-oleg.com/secur/advice/adv1103.php)

    скачиваем ее — и решаем проблему пустого стола!
    ПЛЮС — там а куча настроек по проверки компа, . С ее помошью нашел вирусы, которые и вызывали смс_провокацию и исчезновение иконок с рабочего стола !!

    Удачи всем! biggrin

  343. ARBUZzZz, спасибо за информацию. Думаю сделать отдельный топик по этой проблеме, т.к. судя по отзывам, многие с ней уже столкнулись и не раз.

  344. To: gsp и Дмитрий
    Я же написал smile — сидел он в Shell'е, там был прописан его путь, после explorer.exe (хорошо, что не вместо smile ), по нему увидел, что он поместил себя в C:\WINDOWS. Потом поиском нашел его и в C:\WINDOWS\Prefetch, там же были парочка "левых" pf-файлов, которых я тоже снёс. Был вариант с красным окном, но не самый серьёзный, regedit и прочее работали, HKLM\Software\…\Image File Execution Options Он не тронул…

  345. Vovs, интересует алгоритм поиска — ведь svchost.exe стандартный процесс. Я например свои вычислял тупо поставив два компа с одинаковыми системами рядом и сравнивая процессы.

  346. Ну какой-такой алгоритм… smile То что он может прописаться и в Shell а не только в Userinit, прочитал на каком-то форуме. То что он может назваться svchost, прочел на этом форуме (Коммент №338 от Константина), про каталог Prefetch тоже где-то читал. А дальше включил мозг… biggrin

  347. Всех приветствую!Или я что-то пропустил или это новая хрень!День назад схватил одну из этих "КАКАШЕК"(красное окно на черном).Сам не продвинутый user поэтому за пом обратился к другу,временно решили проблему с пом регенирации кода на сайте Web-а, а дольше уже начал долбить антивирями(результаты дал Dr.Web).Следом почистил реест, заглянул в автозагрузку все лишнее выкинул и вроде бы на этом страдания закончились.И как только я отписал другу,что с гнусным червем покончено,-ВОТ ТЕ НА! Уже не (красное на черном) а (синие буквы на белом) сфоткать не смог но помню содержание! Автор сего текста описывает следущее:"Ваша система заражена вирусом… а дальше история с SMS повторяется, только теперь даже стоимость указывается и перечень работ по спасению ОС(обещая прислать нужный алгоритм действий).(т.е. автор как бы честен перед нами= biggrin )обьясняя за что он просит эту сумму и номер на который отправить просят изменился не помню точно или начинается на 11 или заканчиваеся.И еСчё из предложенных вариантов "ВВЕСТИ КОД" там еще есть "ОТМЕНИТЬ"(или что-то вроде этого", решив проэсперементировать smile нажал отменить!- появилось окошко с обратным отСчётом времени(системное а не очередная занавеса) с ссылкой на какоето дольнейшее действие по окончании времени! surprised -с таким поворотом событий я когда-то сталкивался и в прошлый раз пока я читал и разбирал что это значит у меня безвозвратно пропадала вся инфа( поэтому я со злости и испуга отрубил питание biggrin !Проблему решил с помощью безопасного режима но перед этим перевел часы в BIOS-e на пару дней вперед.(хотя думаю и так бы зашел, но не факт :)) а там (Dr/Web,AVZ чистка реестра).Диспетчер задач тож заблокирован был, восстановил так: http://netler.ru/pc/taskmgr.htm.
    P.S/ в бою были уничтожены и обезврежены /portmap.exe, /1[1].exe, /updater123_72[1].exe, /rdl963.tmp.exe.
    Думаю война толька началась и враг пока залег на дно biggrin ! -ВСЕМ УДАЧИ!

  348. блииин…ребята…помогите прошу вас!!!!!у меня комп уже 6 день…не работает из за этой блокировки….=(((ведь по идее этот вирусняк через 2 часа сам удаляется…..а у меня до сих…пор ничего не проходит…..и смски я уже наотправляла…штук сто…….помогите мнееее…оочеень прошу…что делать???

  349. RE: Коммент № 388 написал Анастасия
    Анастасия, у вас комп несколько дней стоит, да не поленитесь, полистайте странички, выше все варианты подробненько описаны, не факт, что вирь через 2 часа удалится… Поверьте, просто лом ещё раз всё описывать.

  350. Не раз сталкивался за последние месяцы с похожими случаями, успех (если таковой был) как правило обеспечивался загрузкой с LiveCD или Win PE чисткой папок Temp, разблокировкой с помощью AVZ4, естественно ДрВеб — Курит. Но я хочу обратить внимание вот на что, примерно треть случаев кочается переустановкой оси. Потому что после "излечения" винда часто продолжала работать криво. По моему ощущению в некоторых случаях, зловредная гадость создавала нового пользователя, перехватывала на себя права управления со всеми вытекающими последствиями. Победой или успехом это назвать не могу, так как у любой нерабочей, но физически живой системы всегда есть возможность сохранить нужные файлы, форматнуть диск, поставить новую чистую ось. То есть проблема у меня не в том, чтобы "вылечить" систему, а втом, чтобы восстановить все настройки, рабочий реестр, и т. п. Пока самым дественным средством остаётся AVZ4. Но она не всесильна.
    Многие отписавшиеся здесь (Ура, я вылечил!) пропадают, а было бы интересно насколько система после лечения работала, может быть им всем или почти всем в итоге пришлось переставлять винду. Тогда целесообразность всех мучений и танцев с бубном теряется: всё-равно систему сносить, зачем лечить-то?
    Сейчас "вылечил" очередного "вымогателя". Да винда грузится, но что толку, идеально ось не работает…

  351. никаких изменений в работе винды я не заметил,наоборот стала лучше работать.после того как проверил диски на наличие ошибок.Раньше никогда этого не делал.Не знал.Хотя это к этому трояну никакого отношения не имеет,имхо.

  352. viprus, винда потерь не понесла, были траблы со штатным брандмауером, но все решилось.
    Просто все, у кого нормализовалось без потерь не пишут об этом. Пишут обычно те, у кого возникают проблемы.

  353. Спасибо за ответы smile может кто ещё отпишется. Вообще хочу поклониться утилитке AVZ4. Чем больше ей пользуюсь тем больше глубоких полезностей нахожу, и антируткит есть и возможности по восстановлению реестра, и антивирусные базы хорошие. В паре с Drweb всегда удачно идёт.
    Был случай, восстанавливал винду после "блокировки" хотел откатить систему на пару дней назад, а ERD точек контрольных не находит. Может ли подобный вирус отключить службу восстановления, интересно? И ещё, может не в тему, если служба "Справка и поддержка" УДАЛЕНА из системы, подскажет кто-нибудь как запустить Восстановление (служба запущена) из самой оси? Может какие хот кеи есть? Или из командной строки?

  354. Здравствуйте! Отписываюсь, после востановления, система работает ровненько… Почему я так настойчиво рекомендую использовать Alkid Live CD, да потому-что в нём есть все вышеперечисленные Випрусом утилиты, и др. веб, и АВЗ4, и незаменимый ЕРД командер, только надо, прежде чем зайти в редактор реестра ЕРДешником, выбрать нужную директорию, иначе открывается реестр самого Лайв си ди… Мне, собственно, для востановления одного ЕРДешника достаточно оказалось. Удачи!

  355. [size=10]блин, sad лажа,я ввожу текст, а ключ активации не выдает! что делать-то? может кто-то мне поможет? текст k2550621000…

  356. aleksandr R, Попробуй 1525006, мне так выдал на твой текст.

  357. человек!!!!!!!!!!!!спасибо тебе аграменное!!!!!!!!!все что написано всем пользовался!спспспспс biggrin biggrin biggrin biggrin biggrin biggrin

  358. поймал эту херь одним из первым, самое смешное что у меня нод ее пропустил, хотя базы обновляютса ежедневно, видимо код написан с нуля, поэтому мало какие из антивирей могут его спалить. Лайв сиди сразу пустил в ход, обновил базу, проверил 4 антивирусами и толку не было, благо у меня мой родной линукс стоит еще, из под него файлы почистил, ан нет((
    пришлось сносить С, благо у меня ось совсем свежаю стояла.

  359. Столкнулся с такой же проблемой! Код, предложенный здесь, не помог! Генератор код не показал((( Загрузился с лайв сиди и удалил файлы блокера вручную)))

  360. Всем привет, тоже случайно поймала такой вирус, только вот др.Веб не помогает, т.к. просят ввести не цифровой код, а буквами, др. Веб не видет и просит ввести ноль — не помогает, пробовала поменять через биос дату — не помогает.. чего мне делать? surprised surprised surprised

  361. RE: Коммент № 402 написал kristina

    Live CD и всё проблемы в ноль…

  362. У миня у 5 Друзей Такая фигня Была!Но файлов blocker.bin и blocker.exe НЕ нашли!

  363. Коммент № 404 написал КиРиЛЛ

    Да называться-то они могут по разному и сидеть, где угодно… Если почитать все посты, то увидишь массу вариантов.

  364. Сегодня узнал, что вирус снова модифицировался. Причем для рассылки себя научился использовать qip!

  365. Ну, что, Дмитрий, затихла тема… Любознательные ознакомились, ленивые ось грохнули, пора и нам восвояси. Спасибо! Было интересно и своевременно.

  366. была такая штука.ничего из простых для меня вариантов не помогло,и поэтому просто переустановила винду cool

  367. я думаю,что вирус еще покажет себя в новом обличии,поэтому тему закрывать рано.Пока затишье.Информация,которую я тут нашел помогла мне справиться с этой проблемой.Я этого гада поймал со спутниковой рыбалки.До live CD дело не дошло.Помог генератор от др.веб.

  368. блин,у меня тоже окно выскакивает но совсем другое, хотя смысл сообщения такой же. отправить смс на номер и последнее слово в смс которое вам придет напишите здесь, на английской раскладке, alt+ctrl+del, alt+tab, ctrl-esc и тд + залипание Shift не помогают, никак не сворачивает…и эти два файла с другой ОС найти не могу…что делать? подскажите плз)))

  369. Вчера, ребенок такую гадость скачал из нета вместе с картинкой.
    Только вместо виндовского, окна был синий экран.
    безопасный режим был заблокирован, откат не помог, Выручил liveCD
    и AVZ4.
    smile

  370. Что-то новенькое появилось — требует отправить сообщение Regsys b20 на номер 7132. Где-бы код найти?

  371. Всера славил типо етого ток не чо не помогает… angry

  372. Я нашел другое решение проблемы: Значит выскачила у меня такая вот фигня на маниторчике, ну я в панике что делать, перезапустил комп, снова появилась и поверх остальных окон висит, свернуть никак, но я вызвал деспетчер задач после очередного перезапуска компа ( но и его всёравно закрывало это окно с смс ), сделал так зажал Alt+Tab и держал их не отпуская, получилось что диспетчер был над этой прогой и я нашел ехе который отвечал за эту байду ( ckpqg.exe )нажал на завершить процесс не отпуская кнопок альт и таб, всё прога закрылась, дальше ввел в моем компьюторе поиск ckpqg, он мне выдал такую строку C:\Documents and Settings\Tuman\Application Data там и находился тот экзешник, удаляем экзешник и все дела. Перед этой операцией установил 3!!! разных антивируса все чёнить находили wink но проблему это не решало. Помогло то что я описал выше.

  373. Мммм и вообще есть неплохая утилита которая ищет всякую пакость на компе Malwarebytes' Anti-Malware. Малоли кто не знает…

  374. народ, вот тоже в это вляпалась, только вот blocker и второй файл отсутствуют, не знаю что делать, подгрузила с liveCD, а найти не получается по этому пути…blocker.bin и blocker.exe, что делать подскажите!!!

    1. Аня, попробуйте просканировать антивирусом раздел с операционной системой, загрузившись с LiveCD

  375. у меня 11.06.2009 залез вирус HEUR:Trojan.Win32.Generic который блокирует WINDOWS я немог найти ключа скорей всего это новый потому что там надо был отправить смс с кодом который был написан буквами а не цифрами в данной ситуации я просто поставил диск с виндой и восстоновил систему больше чем это не немог сделать не чего я смог только восстоновить систему WINDOWS

  376. у меня такая же х..ня, только когда я перезагрузил компьютер винда грузится но потом комп выключается.внвь это сообщение не появляется.что делать??

  377. Коммент № 417 написал(а) anya
    народ, вот тоже в это вляпалась, только вот blocker и второй файл отсутствуют, не знаю что делать, подгрузила с liveCD, а найти не получается по этому пути…blocker.bin и blocker.exe, что делать подскажите!!!

    У меня всё тоже самое

  378. Коммент № 417 написал(а) anya

    Аня, наша ошибка в том, что мы не читаем предыдущие коменты, перед тем как писать сами.
    Из комента Тумана, я понял, что эти файлы не в ALL USER, а в своей папки.

  379. Последние два дня разбирался с этим вирусом,у меня на синем фоне,
    залипание клавиш(Shift) тоже не спасает,окно появляется за картинкой,хорошо что у меня два экрана монитор и телевизор-это спасает,вирус занимает только основной экран.Вирус имел имя tgRS.exe в C:\Documents and Settings\XXXXXXXX\Local Settings\Temp,в диспечере задач с таким же именем,и главное в C:\WINDOWS\Prefetch под именем tgRS.pf и пока я его отсюда не удалил он возвращался каждые 4 часа,ил около того.

  380. У меня вот появилось сие чудо… только модификация странная, появляется минут через 10-15 после загрузки винды… Не один из антивирей ничего конкретного не нашел. Есть идея что эта пакость работает удаленно открывая себе какой-то из портов и сидя в самом IE. Еще пока искал по сети "таблетку" вот (http://implanet.ru/index.php?showtopic=928) че нашел (сразу извиняюсь за возможную "рекламу"пред владельцами данного ресурса, но мочить такие объявления надо!)

    1. вот же ж казлы. Думаю нахождения этой гадости антивирями — вопрос пары дней. Судя по сообщениям проблема пошла на 3 виток развития. Жаль неопытных пользователей, которые могут пострадать.

      В качестве профилактики рекоммендую использовать другой браузер или обновить Internet Explorer до 8 версиии и поставить набор заплаток PreSP4 (ссылка на скачивание в посте)

  381. Столкнулся с проблемой вчера, AVAST, AVZ, NOD32 ничего не видят. Под безопасным режимом эта штука не работает. Щас пытаюсь найти вирус с помощью dr.web

    очень хочеться раскрошить лицо того человека, кто это придумал….

  382. Коды от др веба не подходят , лайф сиди нету( у меня не резак!)
    Файлов этих в Application Data я не нашел!
    Сегодня словил этот вирус , похоже он уже более навороченный , помогите cry

  383. Встречался с этой фигней, но на свой комп словил другую…новее!!
    Черный экран, красным цветом похожий текст и 24 часа на отправку СМС. Смена времени в биосе не помогла, вариант с "залипанием Shifh" тоже. Решил загрузкой в безопасном режиме с поддержкой коммандной строки. При этом вирус не включился и позволил из коммандной строки запустить Total Commander, а там и запуск CureIt! с флешки прошел без проблем….
    Новая модификация лежала в папке:
    C:\Windows\Media\sound.exe
    C:\Windows\system32\winlo_.exe
    P.S. DrWeb онлайн утилита по подбору кода не помогла, код 3893879 тоже.

  384. ничего не помогло… даже др.веб ничего не видит, надеюсь восстановление системы поможет…

  385. Нажал alt-ctrl-del / выйти из системы. Пока закрываются проги и комп старается выйти из системы, запускаем антивирус и сканим системный диск. Блокировка в этот момент неактивна. Еще на всяк. случай проверить прогой Spybot — Search & Destroy

  386. Утром впервые столкнулся с этой пакостью — понял,что это вымогательство. До появления заставки работал минут 5,успевал почитал что люди пишут затем С+A+Del и завершить сеанс. DrWeb и Nod32 ничего не нашли (в безопасном режиме).В C:\Documents and Settings\User\Application Data модуль tkpzc.exe имел утреннее дату-время. Доступ для удаления оказался запрещен. Загрузка+ F8+ безопасн.режим с команд.строкой-> используя команду CD (и оболочку FAR) добрался до файла и удалил. Уже 2 часа я свободен !

  387. А я три раза перезагрузил и все прошло surprised

  388. Программа" Ваш анинсталлер" определила несколько автозапускаемых. Среди них вызвала подозрение — wsock, по адресу
    C:\Do..and Set..\..\Appl.. Data\tvuag.exe
    Дальше написано Current User — Registry Key
    Исключил.
    Пока ешё зараза не проявилась!!!!

  389. Седня 18.06.2009 поймал данную хрень, после перезагрузки удалил geogq.exe с директории %SYSTEMROOT%\Aplication Data\ю Убрал автозагрузку из msconfig, перезагрузился, и дааная хрень исчезла!!!

  390. kirsby, у меня также появилась эта хрень, а потом врубил комп и она пропала)) большееё нет)))

  391. прибил его drWeb cureit, процесс в оперативе otasa.exe, идентифицирован как trojan.Winlock.105 лежал в application data

  392. тут на днях эту хрень подцепил, типа отправь смс с текстом v1v1v1 на номер 4430. нод натравливал не ловит, outpost тоже. удалял вручную. когда вылазит окно, выловил в журнале запускаемые приложения, обнаружил левый adc***.exe весом >200kb. нашел его в папке C:\Documents and Settings\All Users\Application Data.

  393. Ничего из сказанного выше не помогло. На код не реагирует.Файлов с именем bloker на ноуте нет. Но из этого вируса выходит с большим трудом если пальцы держать на всех клавишах Ctrl-Alt-Del "снять задачу. Антивирус последний вчерашний Др.Веб не ищет вирусы. Что делать ума не приложу. Чайник по жизни.

  394. Вчера намотал! Что делать не знаю, так как невозможно войти в пользователя, тут же появляется эта гадская заставка!На клавиши CTRL-Alt-Del не реагирует!что делать?

  395. у меня та же проблема…сижу с компьютера мужа, ибо мой в осаде((( но у меня он вроде уже свеженький и новый((( хочет не просто код, а слово OPLATA на номер 7122 и ещё и написать номер телефона с которого будет смс отправляться!! а такого варианта на сайте доктора веба нету((( люди, помогите блондинке!!!

  396. sand, Камилла, пока решение виду только в записи LiveCD от DrWeb, загрузка с него и сканирование системного раздела

  397. Увы и ах,DrWeb LiveCD от 22.06 (новейший на данный момент) не спасает от обновленного вируса (того, который пишет прислать слова oplata на номер 7122. Надеюсь, что в ближайшие дни появится лекарство.

  398. Вечер добрый или день…ну вообщем не важно…
    Проблему решил таким образом:
    При появлении черного экрана с сообщением вызвал диспетчера задач (сделать это было сложно т.к. черный экран его перекрывал, необходимо нажать alt+ctrl+del и держать но не долго), диспетчер начнет мигать и в нем можно будет увидеть какое приложение уже запущенно, пока он (диспетчер) мигает правой кнопкой мыши щелкаем по этому приложению и в подтекстном меню выбираем "снять задачу", не забудьте запомнить как эта программа называется. В моем случае эта бяка называлась sound. Вообщем видите вы теперь свой родимый рабочий стол, запускаете поиск и ищите этот файл. Выскакивает большой список (ну это естественно) сортируете по дате, и файлы с таким названием того числа когда это произошло сносите. В частности у меня они были в двух местах C:\WINDOWS\Media и C:\WINDOWS\Prefetch. Принцип такой в папку Prefetch садиться загрузочная часть вируса, а в папку Media садиться его детище и при запуске системника, в тот момент когда система пытается спеть свой гимн, то и запускается эта шняга т.к. она стоит в качестве гимна. При выполнении того что я тут навоял после перезагрузки загружается рабочий стол, но система выдает ошибку мол файл C:\WINDOWS\Media\sound.exe не найден, оно и правильно ведь при запуске гимна не было… Заходим в настройку звука и ставим звуковую схему windows default, можно не перезагружать.
    Вотак вод. Вообщем мне помогло, надеюсь кому-нибудь тоже поможет, отпишитесь тогда если не трудно, тупо интересно…
    УДАЧИ!!!
    P.S.: любой антивирус беспомощен перед этим детищем.

  399. Спасибо Вам большое, уже не знала куда бежать, а вы помогли smile smile smile Только этот код 3893879 мне не помог, пришлось перейти на сайт http://news.drweb.com/show/?i=304&c=5, там ввела текст СМС 841111, он выдал номера 26079 и 189, ничего из этого мне не помогло…Ниже по троянской программе можно код узнать, я тупо выбрала самую последнюю и ввела ее код aaaa8529 и все заработало вновь biggrin Удачи всем!!!!

  400. я скачал образ CD запускаю Nero… делаю так как там (http://www.freedrweb.com/livecd/) вставляю пустой dvd диск нажимаю файл, открыть выбираю то что я скачал нажимаю прожиг потом пишет нет диска

  401. ЛЮЮЮЮДИИИИ ЧТО ДЕЛАТЬ СО слово OPLATA Вообще ничего не спасает,у меня Виста !!!!!!!ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!перепробывал все вышеперечисленные способы…=(((

  402. Я чайник.Поймал в воскресенье.Комп не реагировал ни на что.В понедельник на работе переписал все что сказано на этой ветке и стал сумбурно претворять в жизнь
    Сначала ничего не помогало.
    И номера вводил, и часы переставлял и кнопки жал.Но вот в какойто момент вошел в систему как Гость.Толку было мало , но в папке application data удалил все файлы не включенные в папки.После этого вдруг зашел с учетной записи с правами администратора.(зашел это громко сказано, заполз, долго и не уверенно).Удалил у всех пользователей такие же файлы.Стало чуть лучше.Скачал Spybot , проверил и о!Чудо!Комп заработал!
    После этого включил NOD32, который вирусов не обнаружил!.Я его снес и поставил демонстрационную версию Dr.Web и он показал 93 проблемы!!!:вирусы, трояны, зараженные файлы и архивы! После лечения все заработало нормально.
    У меня только один вопрос: что делал два года в моем компе платный,обновляемый ежедневно, лицензионный NOD32?

    1. После того как в организации, куда меня пригласили помочь я выгреб неимоверную кучу различных вирусов и еле отбился от эпидемии на компьютерах под "защитой" НОДа вообще его за антивирус не считаю

  403. 25.06.09 Как я вылечился позавчера написал.А вчера мой Spybot сообщает: неизвестная программа хочет изменить реестр C:\Windows\system32\userinit.exe. Ага! Зараза ходит по сети!.я естественно отказал этому процессу , чем спас свой комп. Спасибо Spybot!

  404. Я уже голову поломал… wacko : сволочи предлагают прислать sms "elnii2" на № 6005 чтобы разблокировать якобы не лицензионный винт XP. Люди добрые помагите… cry

  405. Автор: printeX
    Против elnii2 на 6005 — загружаем винду в режиме отладки, ctrl+alt+del — выполнить и вводим explorer. Загрузили — ищем во всех системных папках файл hlp.exe, после чего и в реестре сносим записи с ключем, где встречается этот файл. Из реестра можно снести с помощью ccleaner…

  406. Только ищите все файлы hlp.exe и УНИЧТОЖАЙТЕ, ато я удалил только 1, теперь комп глючит…

  407. elnii3 на 6005:
    alt-ctrl-del в режиме отладки не работает, помогла только загрузка с LiveCD и удаление hlp.exe из папки //Windows/Help/

  408. Ых по меньшей мере 2 раза было написано как стоит попробовать эту шляпу убрать:
    Загружаем комп—> появляется текст с смс—> жмем пару раз alt+ctrl+delete для вызова диспетчера задач—> зажимем alt+tab ( и не отпускаем )—> диспетчер будет мелькать над прогой с смс, пока он мелькаем ищим в диспетчере процессы которых раньше небыло, или те которые странно называются, —> жмем по такому процессу правой кнопкой мыши, завершить процесс
    , экранчик с текстом смс закрывается —> проверяем антивирусником др. веб подойдёт ( в реестре тоже просканить )—> заходим в мой компьютер, вбиваем в поиcк название того процесса который отключили в диспетчере ( пример ckpqg.exe можно без .exe )—> удаляем этот файл и рядом ещё должна быть парочка подозрительных файлов их тоже del.
    Пробуйте, только сразу после того как подцепили!
    Я сам такое уже проделал комп живой, не лагает.

  409. Для варианта с "oplata"-ой паразит тупо создал файл в C:\Documents and Settings\NAME\Application Data и прописал его в автозагрузку.После удаления из автозагрузки (как раз хватает пары минут, пока комп работает) сообщение исчезает…но файл я все-таки на всякий случай стер biggrin

  410. Лечил тут нетбук с ХР от "elnii3 на 6005".
    Сделал следующее.
    Подготовил две загрузочные флешки, одна с live CD от drweb (http://www.freedrweb.com/livecd/), вторая с Avast Bart PE 2.0 Eng (http://flash.orens.ru/).
    Загрузился с первой, удалил hlp.exe из C:\WINDOWS\Help.
    Загрузился со второй, поправил реестр [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] обратно на значение "C:\WINDOWS\system32\userinit.exe," (вирь изменил его на "….. hlp.exe")
    Ну и конечно прогнал Dr.Web LiveCD….
    Комп пока работает нормально…
    Единственное-этот способ доступен немного продвинутым пользователям, т.к. надо уметь создавать загрузочные флешки, безопастно править реестр и т.д. Поэтому прежде чем что-то делать в рамках предложенного способа, желательно спросить (если не знаешь как)здесь, или у др. опытных людей.

    PS. Хорошо бы, еслибы в дистр Dr.Web LiveCD внесли редактор виндового реестра…

  411. в некоторых случаях диспетчер задач и горячие клавиши не действуют. Безопастный режим – не помогает…
    как лечить:
    1.грузишь с CD Windows Life
    2.ищешь поиском все файлы, появившиеся в день заражения
    3.по ситуации, смориш и переименуешь все подозрительные (.exe .bat и т.п.)

  412. "Лечил тут нетбук с ХР от "elnii3 на 6005"."
    Добавлю: — еще необходимо удалить из автозагрузки ссылку на "hlp.exe"…
    Вроде бы все…

  413. Народ а у меня тут какаето новая версия вируса он не куками вышепечерислеными способами не лечиться че делать?)
    и оформление у него нетакое как на картинке!

  414. Народ помогите у меня сомсем другой вирус совсем по другому выглядит но принцип тотже! там написано отправьте смс с кодом#complt4271 на номер 6008

  415. При этом я свободно могу выходить в интернет включать музыку и лазить в меню пуск через кнопку виндоус… но не таскменеджер ничего не открываеться из програм и я не могу запустить установочник

  416. Как выяснилось в ходе моего расследования ))))
    Окно с просьбой отправить смс вылетаает только при запуске любой exe программы
    я попробывал переиминовать exe B bat и воля программы запускаються
    но мне это нечем не помогло )))) решил написать может поможет вам

  417. Я нашел ещё его разновидность, он пишет отправить 6008 на #win1t5086. Не один антивирь его не видит, но он прописан в реестре и в автозапуске, у меня назывался nmdlw.exe и лежел в C:\Documents and Settings\User\Application Data

    вот…

  418. На работе впоролся в этот вирус. Появлялось полупрозрачное окно с предложением отправить смс, как и у sadomius'а. В процессах висел под именем a.exe. После снятия процесса окно исчезло. a.exe сидит в C:\Documents and Settings\User. Также есть ещё один вредоносный файл hlp.exe, который сидит в C:\WINDOWS\Help. Его тоже удаляем и сносим все ключи с этими файлами в реестре.

  419. хм интересно, у меня вирус какраз разновидности sadomius, когда подхватил юзал оперу и стоял нод с новыми базами, вышеперечисленные способы в статье не помогают блокируется даже окно которое вызывается через залипание шифта, загрузился с лайвсд нашел файл в автозагруске pwdlocked.exe или както так удалил его эффекта 0, не знаю как мне править реест моей винды сидя из под лайвсд, знающие люди помогите

  420. Объясните пожалуйста по пунктам чайнику как побороть заразу под номером 6008 на #win1t5086

  421. Мой 6008 лежал в c:\windows\media и звали его sound.exe
    После того как его заархивировал и убрал оттуда стало все норм.
    virustotal.com его не определяет

  422. как обнаружил что именно этот файл-вирус, можешь по пунктам написать предпринятые действия для устранения?

  423. просмотром всех файлов с датаой изменения на день появления вируса. Смотрел exe bat dll. sound.exe лежащий в папке c:\windows\media сразу бросился в глаза

  424. удалил файл C:\WINDOWS\Help\hlp.exe, после перезагрузки блокировка уже была снята, но окна открывались очень медленно и при вызове диспетчера задач не было привычных вкладок Приложения, процессы, быстродействие и т.д.(получалось урезанное окно диспетчера задач), также нашел запись в реестре с ключом hlp.exe ее удалил, после перезагрузки перестало заходить в профиль, теперь видимо придется заниматься переустановкой системы sad

  425. немного другой интерфейс вируса с такой надписью
    в связи с повышеным уровнем распростронения пиратских копий windows….на вашем комппьютере обнаружена не лицензионная версия виндовс система была заблокирована для разблокировки и активации отправте смс, окно не сварачивается не отключается, безопасный режим не грузится, решил сделать востановление так на 33-й минуте вылазиет это же окно, не чего не смог сделать, лечил хард антивирусами, удалял подозрительные файлы но нужного не нашол

  426. у меня подобная проблема — только текст смс — text — переззагрузил нормально комп включился только ярлыки на рабочем столе не работают — выходит выбор программы(пытался установить нод32 не устанавливает!!помогите пожалуйста!

  427. 1) Первое что нужно сделать это загрузиться с лайв-сд
    2) Далее с уже загруженного live-cd запустить поиск файлов которые были созданы в день заражения, удалить подозрительные файлы
    3) После удаления, скорее всего, рабочий стол уже не будет заблокирован, но останутся продукты жизнидеятельности этого вируса, в виде тормозов системы(как у меня)
    4) Далее лучше всего использовать прогу типа __http://samlab.ws/soft/trojanrem/, я не использовал, а полез чистить реестр, видимо убил не все, результат — переустановка оси

  428. такая же фигня, только бинарников и экзешников в папках док-с & сеттнгс нету, лайв сиди ничего не нашел

  429. теперь это файл usrinit.exe в папке system32!!

  430. Я усовершеннствовал вирус держитесь хаха! готовьте ваши денежки!Сеечас будет просто прозрачный экран и нечего больше НЕ ПОМОЖЕТ!

  431. Тема с переводом даты в биосе сработала на УРА!!!

  432. А у меня не получается ничего(((
    что же делать?

    1. опишите подробнее, что именно пишет. Если есть возможность — пришлите картинку. Попробуем помочь…

  433. Я делал так: Win+U (экранная лупа) — запустить — Веб-узел Майкрософт — (открывается ИнтернетЭксплорер) — погуглил и нашел прогу ProcessExplorer (http://soft.mydiv.net/win/files-Process-Explorer.html), скачал ее, распаковал архив и установил.
    "Убил" ею 2 процесса: explorer.exe и programicon.exe (правой кнопкой — Properties — Kill)/
    Далее в ИнтернетЭксплорере — в поле адресной строки набрал путь к Program Files-Total Commander (C:\Program Files\Total Commander\Totalcmd.exe), открыл его. В нем зашел в system32 и удалил зараженные файлы explorer.exe и programicon.exe (в Коммандере выбрал отображение по дате, чтобы легче было найти). Кстати, в Коммандере эти 2 файла имели нехарактерную иконку — как будто для картиночного файла.
    Важно!!! До начала вышеописанных процедур скопировал с другого компа explorer.exe на флешку, и теперь, после удаления зараженного на его место перекинул новый.
    Удачи всем!

  434. Сижу, читаю и понимаю, что я такая не одна..
    Началось всё с того, что зашла я на сайт Vkontakte.ru, вступила в какую-то сомнительную группу с тестами, и чёрт меня дёрнул пройти их (ведь знала, что ничего особенного там не будет, а оказалось ещё хуже).А что бы узнать результаты теста — надо было отправить смс, стоимостью от 250 рублей и выше. Я решила закрыть страницу, зачем мне это надо, потянулась к крестику в верхнем уголке..не тут-то было…монитор погас,экран стал чёрным и белыми буквами написано (немного подругому как было сказано, но с тем же смыслом)Жаль не сфотала, но приблизительно так: "За последнее время участились случаи использования пиратских систем Windows. Ваша система была заблокирована компанией Microsoft в целях безопасности, так как в ПК найдена не лицензионная операционная система. Для разблокирования отправьте sms (*стоимость 32 руб.)
    (P.S.дёшево, я подумала…НО ПРИ ЭТОМ НИ НОМЕРА, КУДА ОТПРАВИТЬ, НИ КОДА SMS НЕ БЫЛО УКАЗАНО!!!А моя ОС кстати лицензионная). В Вашем распоряжении есть 24 часа, после система будет автоматически удалена!! Тут у меня паника cry
    после нескольких перезагрузок, до меня дошло нажать трясущимися руками Alt+Ctrl+Del, с трудом удалось снять задачу, т.к. диспетчер задач сильно быстро мигал. А у этой самой задачи была аватарка(или значок) в виде девушки в купальнике и название sound. Но я рано обрадовалась, при вкл. ПК заставка появлялась снова…а вставляя флэшку USB компьютер сам перезагружался. Я так поняла, что это и есть программка пиратской ОС, которую мне нужно найти и удалить. Набрала в поиске имя файла .exe искать на дискеС. Нашла эту девку sound в купальнике! Рискнула просто удалить её из папки:\Documents and Settings\All Users\Application Data — удалилось!! А файлы blocker.bin и blocker.exe ПК не обнаружил..
    И представляете, как назло (а может в помощь мне) свет выключили на 2 секунды!! пришлось ПК вкл. заново, включила…..блокировки больше нет!! но выскакивает узкая табличка — "файл sound.exe в папке такой-то не обнаружен..попробуйте найти его самостоятельно через Пуск" (ага, щас,нужен он мне!!). Теперь надо с ней как-то бороться…
    И вот сейчас сидела, читала комменты,страху натерпелась, и много чего важного нашла!! Спасибо всем огромное!!
    совсем-совсем скоро закончатся 24 часа….не знаю что будет.., надеюсь уже лучше.. dry хотя, видимо я не всё правильно сделала, во всяком случае половину информации ПК сохранила на флэшках biggrin

  435. что делать у меня наэкране написано ваш виндовс заблокироан отправте смс и не скрываеться не как не могузкрыть програмуу эту и выити в меню что делать

  436. ребята smile это же просто прикол а не вирус всемирного масштаба.
    разгадка в самом вирусе)
    потыкайте внимательнее по экрану там где соглашение лицензионное
    и увидите что откроется окно в котором будет много всякого бреда про МаКроЦофт
    а в конце будет незаметно указан ключик ) biggrin вводите его, перезагружаете, обрабатываете антивирусом и все smile
    удачи вам)
    примерные коды 107 ,307 и 404 . пока больше вычеслить не смог.

  437. Ребята спасибо не то слово!!!!!!!!)))) happy happy happy happy никогда не пускайте младших братьев или сестер за компютеры и тем более в интернет

  438. А я совершенно случайно ввела какой-то код, все отключилось. Не знаю только надолго ли…

  439. Вчера это произошло со мной… В интете ключ подобрали, пока все работает. Антивирусом комп проверила. Решила пунк 4 использовать. (Обновления PreSP4 для русской Windows XP SP3 я выложил здесь.)-запускаю установку- Отказано в доступе к указанному устройству, пути и ли файлу. Возможно у вас нет прав… Что это такое?

    1. тут скорее всего одно из трех:
      1. либо вирус все же остался и блокирует установку обновлений.
      2. у вас учетная запись пользователя а не администратора.
      3. скачался битый файл

  440. Всем привет. Помогайте(
    Недавно подцепил одну из версий этого вируса:
    Синий частично прозрачный экран, требует отправить смс на номер 3649. В процесах имеет название "cmon.exe". После загрузки компа, получается быстро запустить диспетчер и закрыть процесс.
    В главно директории диска С: нашел его файлы up2.exe и вроде clean.exe. В папке Виндовс файл cmon.exe. Удаляю их, но после перезагрузки и включения инета, сразуже загружаются эти файлы и запускают процес/вирус. Иногда успеваю тут же удалить.
    Аваст ничего не находит.
    В реестре с userinit всё норм.
    В документс и сетингс подозрительных файлов не нашёл.

  441. Поймал похожую штуку сегодня. Окошко такое как у trojan.winlock.169/172 (http://news.drweb.com/show/?i=304&;c=5), только номер для отправки смс другой — 7122. Подбор кодов на вышеупомянутой ссылке не помог, перевод времени в биосе, способ ykcyc'а, не помогли. Диспетчер задач и все остальное заблокированы, возможности поставить другую ось пока нет, помогите sad

  442. upd: попробовал перевести время биоса вперед (на три часа), и во время загрузки личных настроек пользователя зажал ctlr+alt+del, что из них сработало не знаю, но это помогло — диспетчер задач открылся хоть и со второго раза, ищу последствия. Всем спасибо)

  443. Евгений, хех та же проблема и у меня. Поймал вчера, форматировал и полностью сносил ОС. После захода в инет вирус появляется снова.

    1. та же самая фигня, форматировал и переустанавливал ОС, два других жестких диска не трогал, после выхода в инет вирус появляется снова. Перед этим постоянно выскакивает табличка Windows — диск отсутствует.

  444. Всем у кого Windows XP SP3 рекомендую установить пакет обновлений PreSP4 (скачать). Это защитит вас от уязвимостей, найденных после выпуска SP3. В пакет включены все вышедшие обновления до сентября месяца.

    Следите за этим постом — ссылка в UPD4 на пакет обновлений обновляется, как только обновляется сам пакет.

  445. а у меня все гораздо веселее… кто знает что делать помогите… тоже пишет что ваша система заблокирована и пришлите смс на такой то номер и тому подобное… но дело в том что у меня в автозагрузках стоит командер и он на этом синем экране открывается и запускаются все проги, в плоть до аськи..так же могу все скачивать с инета и работать в любых программах… но диспетчер при этом не отвечает… антивирусники не находят вирусов… но было куча троянов… после нескольких проверок разными антивирусниками все вирусы удалились… ну я так думаю..))) так вот не знаю что делать с этим синим экраном… работать то можно и комп работает в полную силу… но рабочий стол то как то тоже нужен… ПОМОГИТЕ ПОЖ… и все что написано в постах выше было после прочитки сразу же сделано… но не помогло(((

  446. мне тож помог код 0000000 тока винда терь ипёца па срашноу(сёдня востановление чрез консоль сделал терь диспетчер хз как включить(

  447. Уважаемые чуваки кто хочет спсасти свою винду перед тем как появилась эта фигня перезагрузите комп при самой загрузки винды успейте нажать ctrl+alt+delete и закройте вирусняк сейчас он называется както на f ну в диспечере увидите полное название вот потом найдмте этот файлик и удалите

  448. перевел на сутки вперед и все сработало.
    Спасибо.

  449. Зажимаем ctrl+alt+del окно мегает а мы выщемляем ненужный процесс.

  450. avz не находит вирусов, за то вебер при каждой проверке находит что то новое… вроде удаляет но изменений нет… что делать???

  451. помогите у меня заблок windows требует отправить 1pcp2a на 6008

  452. Сосед вызвал спасти от этой хр… Антивирус не поймал (Касперский) Убрал чер Ctrl+Alt+Del На секунду появляется диспетчер, блокер в нем первый, нажал кнопку завершить (с третьей попытки) Потом ручками все вытер. Через день он же или новая напасть запустила Виндовый фаервол и Антивирус 2010. Блокировал всю работу, писал загружаю антивирус, и т.д. Пришлось чистить даже реестр и все пути.

    Поймать бы этого "великого" программера и всунуть ему этот блокер по самое нехочу!

  453. Знакомая отдала брату мининоутбук с этой фигней, поставили из безопасного режима авиру, проверили — находит файл к к-рому нет доступа, вирей не находит. Хотел скачать обновление базы и на флэшку скинуть — посадил себе через флэшку. Авира (обновлял буквально за час до этого) успела что-то закричать, удалила файлы какие-то, но эта фигня висит всеравно. Все вышеперечисленное не помогает. Сейчас скачал дрвебовский cureit и проверяю им, один файл он нашел и удалил, определил как win32.HLLW.Lime.22 лежал в корзине. В безопасном режиме чистил корзину до этого, но прои норальной загрузке в ней опять лежит файл. Еще интересно, сейчас я с безопасного с загрузкой сетевых драйверов скачал с инета cureit и им прохожусь, потом в нормальном режиме будет ли все работать, если убью все что найду в безопасном wacko
    Как чистить флэшку — не знаю, пробовал форатить из безопасного режима — доступ запрещен, авира нашла там инфекцию и убила, но ожет опять там есть что, если так не находит, так же появляется файл на флешке autoran.inf — с ним тоже ничего делать нельзя — доступ запрещен, хотя везде права админа %(((

  454. Полная проверка drweb cureit не помогла. Нашел пару рекламных вирусов и 1 тот самый win32.HLLW.Lime.22
    После перезагрузки всеравно та же фигня с смс((
    Генераторы на сайте двеба не помогают, блин, в инете пока ничего не могу найти по этому поводу, болванки тоже не могу найти чтобы нарезать liveCD. Может есть где-то как бороться, просто я не нашел?((

  455. Вроде убил. Скачал AVZ, при Ctrl+Alt+Del у меня не диспетчер задач, а окошко со сменой пароля, пользователя, менеджером задач и тп. Через смену пользователя есть какое-то время пока это окно вируса опять не выскочит, но времени мало, я сначала затупил и ничего толком не сделал, а потом окно почти мнгновенно выскакивает при повторных попытках, в итоге смог запустить лису и через нее запустить включить инет и запустить AVZ. Нашел в редакторе
    лишний файл, просто гуглил все подозрительные, оказался C:\WINDOWS\ctfmon.exe , а должен настоящий такой быть C:\WINDOWS\system32\ctfmon.exe
    Убил его — умерло окно вируса со всем эксплорером заодно, но зато уже запускался деспетчер задач, через него запустил userinit.exe, все заработало, потом в редакторе реестра AVZ отыскал все подозрительные записи и правил или удалял. Сам не очень хорошо разбираюсь в том что системное, а что нет, но ест полезная функция по правой кнопке "поиск в гугле/яндексе/рамблере", так что можно посмотреть что вам нужно, а что точно удалять. Ну и потом уже в менеджере автозапуска убил все подобные процессы, отыскал заодно пару троянцев (походу он их подгружает сам, ибо до этого проходился дрвебовской лечилкой и авирой со свежей базой). Потом опять обновил базы и прошелся авирой и дрвебовской лечилкой версией поновее, вроде пока все, тьфу-тьфу-тьфу, работает. Может кому-то это поможет, а то сам я сначала очень огорчился, ибо находил в инете инфу только за апрель, а все способы борьбы, указанные там, не работали =)

    1. Спасибо за подробный рассказ.
      Действительно, с момента написания поста вирус сильно видоизменился — использует другие файлы, иначе блокирует доступ.
      Вам после победы я бы рекомендовал скачать PreSP4 (ссылка на него есть в UPD4 этого поста) — это поможет защититься от повторного заражения.

  456. Уже опять какой-то новенький появился вирусняк. Смс номер высвечивает один из распространенных, однако код уже другой и опять же файл с вирусом уже другой и переехал по неизвестному адресу. Еле загрузил винду (Windows 7) что б не выскакивало окошко с активацией. safe mode не помог. Как ни странно норм. загрузилось в режиме с поддержкой командной строки. сча тестю последним cure it, благо комп не тронут, вирус моя благоверная успела только на ноут занести (через аську). Пока нашлось: Win32.HLLW.Lime.based.18. Создал странный файл svcgost.exe (жалкая подъебка на svchost.exe ?? =) ) в папке windows.

  457. уря! система запустилась норм, даже рабочий стол не лег. Ща пробегусь eset ss и cure it'ом, попробую отловить остатки заразы

  458. Здравствуй гений, у меня к тебе совсем другой вопрос. Почти все тоже самое как и у многих пострадавших, типа на такой то номер отправить смс с таким то текстом…Только с компом все нармуль, появляеться окошко с этими данными (её не сдвинишь и не переместишь).Вобщем, не стал никуда ничего отправлять а просто антивиром удалил злополученую папку.Проблема теперь в другом, комп работает а вот в инет ваще доступа нет, что делать?

    1. проверьтесь антивирусом еще раз. Тем же CureIt. По всей видимости в системе до сих пор вирус, который и блокирует доступ

  459. а вообще если система после чистки антивирем кое-как грузится, но часть ее, эмм, опций, не работает, то прежде чем ковыряться в реестре (а может и вместе с этим, если первое не помогло) неплохо помогает команда "sfc /scannow" (восстановление системных файлов). Правда понадобится диск с виндой. В отличие от опции восстановления системы эта штука реально помогает. По крайней мере мне помогла, когда на работе подкинули комп (фактически сервак, винду убивать низя было) с еле живой виндой… (то были последствия неумелого обращения как раз таки с этим вирусняком)

  460. Недели две назад пришло мне сообщение:
    "заметно что фотка в фотошопе отредактирована или нет?
    http://polsovet.ru/img/foto20.gif"
    Так как я даже и подумать не мог, чтобы этого человека в чём-то подозревать, то, решил посмотреть, что там, прошёл по ссылке, смотрю — какое-то странное расширение у файла. Думал сначала спросить у приславшего, чем это дело открывать, а потом подумал, что это, наверное, специальное такое расширение фотошоповских файлов (так как хотя у меня фотошоп и установлен, но знаком я с ним мало), тем более, что и иконка, как у картинок. Ну и открыл. Вначале показалась на какоё-то момент моя программа для просмотра картинок, а затем сразу же появилась серая заставка с уже известной надписью. Антивируса у меня не было, так что ничто этой программке не препятствовало. Ну я давай, конечно же, активно нажимать на все известные и неизвестные мне сочетания клавиш, вызывать диспетчер задач (который, кстати, вызывался, но буквально сразу же, как только появлялся, исчезал) и ещё делать чёрт знает чего. После этого я решил зайти на свой компьютер с удалённого робочего стола, но и на другом компе отображалось то же. Зайдя вновь со своего компа, я вновь начал нажимать всё подряд, и как-то — я и сам не понял, как, — эта надпись наконец-то пропала. В первую очередь, я закрыл 250, или что-то около того (точно уже не помню), диспетчеров задач, а попытавшись его открыть вновь, узнал, что он заблокирован! Ну это меня, естественно, не удивило, я его быстренько разблокировал и полез копаться в автозагрузке. Но если до этого мой комп жутчайшим образом тормозил, то сейчас он вообще едва ли не подвис. Я переключился на диспетчер задач, и чтобы хоть как-то разгрузить систему, начал отключать ненужные процессы (а их там собралось немало, учитавая то, что до этого комп дней десять не перезагружался). И, видимо, я немного увлёкся, потому что в конце концов не оставалось ничего другого, как перезагружаться. И тут я пожалел, что так и не добрался до автозагрузки, так как и из безопасного режима эта надпись выскакивала. Загрузившись с поддержкой командной строки, я, по совету своего сожителя, удалил у себя в реестре (где точно, не помню) параметр winlogon. Не стоило этого делать, на самом деле.
    В общем, запустил восстановление системы, и, в результате, пришлось только переустановить daemon tools. А так, все установленные программы, все драйвера, все настройки — всё осталось.

  461. Если не работает диспетчер задач
    попробуйте так:
    залезть в реестр Пуск — выполнить
    regedit — HKEY_CURRENT_USERS/oftware/Microsoft/Windows/CurrentVersion/Policies/System и удалить ключ DisableTaskMgr.
    Перегрузиться.

  462. изначально грузится safe mode с поддержкой командной строки
    оттуда regedit.exe
    Вообще, так же советую держать Far на машинах на такие случаи ,когда не пашет ничего.
    P.S. в командной строке есть функция команда help выведет все доступные операции , по сути из командной строки можно выполнить что угодно
    основные команды:
    dir — показывает директории в папке
    cd " путь например с:\ " меняет папку
    Всем ГЛ в болрьбе.

  463. у меня просят написать текст 210000 на номер 8535, в безопасный режим не входит вылетает синий экран, винда почемe-то не ставится зависает, может кто-то сталкивался с такой ситуацией?

  464. Всем привет немогу достучаться до генератора ключей от веба окно вообще не загружается у меня проблема http://extremallife.ru/work/program/virus-sms-2 тут описывается точь в точь только нет антивирусника и инет отрубился ((( может кто подскажет что делать
    Заранее спасибо

  465. У меня выскакивает очень правдоподобное окошко,
    что вроде как после обновления системы мы вас
    разоблачили и всё поняли — у вас виндвс нелицензионный.
    отпарвила сэмэсэ. код активации — 13616.
    но оно вылетает каждые 30 секунд, когда я в нете.
    днем не так часто, под вечер — зверствует страшно.
    аваст пока ничего не обнаружил.

  466. Очень Вам советую, вот сайт на нём программа Доктор Веб, вводите внизу то, что у Вас написано на экране, получаете код доступа…Всё удачи!!!

    http://news.drweb.com/show/?i=304&c=5

  467. Советую всем что после того когда переустановили WINDOWS поставьте антивирус Panda Internet Security 2009… я так сделал и пока что у меня всё работает

  468. Я так понимаю все на этом форуме просто хорошо разбираются в компах? а что делать простым пользователям?! попробую дать версия как я избавился от этой хрени. просто при загрузка нажал F8 и загрузился в безопасном режиме. дальше восстановил систему за пару дней до начала появления этого окна. комп нормально заработал. ну и самое главное удалил файлы с папок C:\Documents and Settings\All Users\Application Data.

  469. думал никогда не коснётся…ну славо богу у мну есть 2 акк на компе)
    помогает…Нашёл эти файлы и удалил)и вуаля всё работает) tongue

  470. Была более современная картинка о активации, но принцип тот же. Справился зайдя в безопасный режим и восстановлением на день раньше. Жаль не могу выложить картинку (уничтожил) и не могу сказать сайт источник, т.к вирус схватила жена на свой ПК.

  471. мне drweb cureIt не помог решить проблему, помогла прога Malwarebytes' Anti-Malware. вирь сидел под видом с:\windows:svchost.exe

    всем удачи smile

  472. Дмитрий, а как запустить этот файл, если у меня при загрузке безопасного режима перезагружается комп sad

  473. angry angry Сука найду этого педика который деньги вымагает я ему голову оторву он за все ответит у меня такая же ситуация была не днях этот файл назывался Aktiwat он запускался в папку Автозагрузка (Пуск все программы Автозагрузка) файл азывался Quiq Office я перезагрузил Windows XP SP3 в безопасный режим удалил к чертям этот файл и все!! я педику покажу как Активировать винду по СМС я ему гаду все активирую!!

  474. привет,у меня просит отправит смс на номер 8353 с текстом 15598712,подскажите пожалуйста какой код разблакировки?а на генераторе нет моих номеров.

  475. блин, у меня не пашет…как пользоваться лайв сд?

  476. У меня таким же образом Интернет заблокировали, я прогу нашёл, которая заблокировала, удалил, все равно не входит в инет, чё делать? плиз ответьте на мэйл kingst-ss@inbox.ru

  477. блин ребят, на другом сайте(антивирусника, ссылка вот http://ipsgold.ru/?p=725 ) про4итал про изменение реестра и удаление файла, после подправки реестра винда стала выкидывать ваще накуй, сразу после ввода пароля юзера, кидает в завершение сеанса и опять в менюшку выбора юзаера, ПЛ3 ПРОХЕЛПТЕ, ЕТО Я РЕЕСТР НЕ ТАК ПОДПРАВИЛ ИЛИ ЕТО ЕЩЁ1 КАКЯ-НИТЬ ХЕРЬ ?)))

  478. serYoga, CaNab1S,

    можно попробовать следующее:
    Пуск->Выполнить-> sfc.exe /scannow
    Эта команда запустит проверку системных файлов на целостность. будьте готовы вставить установочный диск с ОС

  479. 2 Дмитрий, Легко сказать пуск))) я впринципе в систему вхожу тока с лайф-сдшников, которые седни делал, а если запускать винду с харда, то она впринципе не грузица(после введения пароля юзера тут же кидает обратно в менюшку выбора пользователя с завершением сеанса(перевыбор пользователя), регистри код уже поменял, вирус грохнул(все), система все равно не грузица, команжу выполнить попробую )
    ЗЫ: спс за помощ

    1. думаю тогда смириться и поставить ОС заново. У меня хоть и есть опыт в установке/настройке/поиске проблем, но удаленно очень часто диагностировать проблему явно не получается.

      Поставьте ОС заново и сделайте сразу образ системы (я тут http://dimapolyakov.ru/blog/2009-10-27-193 рассказывал)/ В будущем он поможет восстановить систему минут за 15 wink

  480. С этой проблемой разобрался(сделал ещё один загрузочник с ЕРД коммандером и изменил значение реестра), но почемуто даже после лечилки доктора веба и удаления тонны троянов и мусора, все равно выскакивает сообщение с этой хренью,не подскажете в 4ем проблема(сори что нагружаю, но я вроде все что нужно было сделал)

  481. УРЯЯЯЯЯЯЯЯЯЯ, я разобрался с этой ерундой, вирус достаточно туп, т.к. блокирует тока виндовский диспетчер задач, но не обращает внимание на ProcessExplorer(кстати полезная программка, советую всем), если успеть до всплывание окна запустить обозреватель, то можно зайти в локальную шару и запустить закачанный на лан комп процесс-експлорер, процесс назывался active.exe, файл лежал в C:\WINDOWS\active.exe, грохнул, все заработало, это название тоже проверяйте у себя )) wink

  482. Тоже была такая шняга полу прозрачная голубая заставка и посередине поле для ввода отправте смс 8353 на номер 151144 снизу вправом углу у вас пиратская версия Windows при попытке переустановить изменить какие либо файлы будет отправлено уведомление в Microsoft в отдел по борьбе с пиратством зашел на http://news.drweb.com/show/?i=304&c=5 ввел номер в генератор и воля вписал в вирус и чики пуки заработала запустил DR WEB работает отлично нашел два вируса Winlock b Torjan и удалил.)))) biggrin

  483. Такая же фигня, только при попытке зайти в безопасный перезагружается комп, генератор выдавал введите 0 или 0, тоже не помогло)) Среди скриншотов на сайте др.вэба такую же разновидность вируса не нашел, нашел похожие, но тоже не помогло, при нажатии ctrl+alt+del не вылезает ничего, выскакивает после загрузки винды на фоне черного экрана маленькое окошко. Кто знает помогите пожалуйста sad

  484. вот у меня вабще собираюсь делать как вы начал захожу в мой комп вот вэту документы и программы или чото а=в это роде нажимаю и отказывает в доступе что делать умоляю подскожите!!!

  485. Я переводила дату в биосе и назад и вперед, диспетчер задач и автозагрузка не запускаеться, восстановление винду пробовала делать,cd live нет у меня, комп как был залочен так и стоит, что еще можно сделать?

    1. либо выбрать более раннюю дату в восстановлении системы и откатиться, либо переустанавливать систему с нуля.

  486. Переустановил винду…Пашет где-то час, а потом опять выскакивает эта дребедень..Почему после формата С эта фигня опять появляется?????? angry angry angry angry angry angry

    1. у вас дырка в системе. Если еще не установлен СП3 — срочно ставьте! А потом поверх PreSP4, ссылка на который дана в посте

  487. Прежде всего выражаю свою благодарность хозяину блога и всем отписавшимся по существу проблемы. Спасибо. Помогло. up
    На днях друг подхватил, видимо слегка обновленную, версию этой пакости. Отличалась она наличием целых трех порно картинок, в горизонтальном ряду. С первого захода не удалось вылечить, avz4 (ver 4.32 с базами от 21.08.2009) не справился; генератор sms-ответов от Dr.Web не помог, а сама утилита «Dr.Web CureI», в виду малого объема оперативки и нехватки ее при работе с «Live CD» ложила машину на синий экран. Но основная идея (наличия распаковок в директории временных файлов c:\Documents and Settings\пользователь\Local Settings\Temp\ ) осталась в силе и благодаря этому вымогатель остался «с носом». smile
    При поиске решения было замечено появление во временной (-ных) (точно не помню, т.к. удалял во всех временных папках) разноименных файлов с датой файлов винды (у друга это 18.08.2004 12-00) и удивительно постоянным размером в 129 536 байт. Поиском по размеру нашел еще три библиотеки, две из которых были и на с «Live CD», поэтому их не трогал, а вот в c:\WINDOWS\system32\ файл «CSqZD.dll» грохнул. Помогло. Правда Диспетчер Задач был заблокирован, но это легко исправить, хотя бы той же утилитой AVZ (меню Файл\Востановление системы\ п.11).
    Если кого-то наведет на мысль как избавится другим способом, скажу, что при запуске exe-файлов, такой диспетчер задач как «procexp.exe» v. 11.02, указывал на запуск следом системного процесса «rundll32.exe», видимо ему отдавались инструкции как лочить запуск. Вот только его удалять не нужно. Он «свой». smile

    1. Спасибо, что поделились.
      Думаю ваш рассказ поможет многим в борьбе с напастью

  488. Сегодня случайно брат зашел по спаму в контакте. Результат не заставил себя ждать. Комп заблокировался,а диспечер недоступен.
    Часа 2 искал что-нибудь подобное на форумах, наконец, случайно прочитал коммент, какой-то девушки о том что её друг просто ввел кучу нулей. Я тоже решил попробовать, зашел через безопасный режим, набрал… И, о чудо, сработало! Ввел подбором 7 нулей. Затем скачал антивирус De.Web CureLt и удалил всю пакость.
    Говорят, что можно ещё зайти через безопасный режим с поддержкой командной строки, ввести msconfig и отключить все автозагрузки + неизвестные процессы, но мне не помагло.
    P.S. НЕ ОТПРАВЛЯЙТЕ СМС! ГОВОРЯТ, СЪЕДАЕТ ОКОЛО 300 РУБЛЕЙ и ответа НЕТ. cry

  489. Помогите пожалуйста! Поймал такую же штуку , только еще с рекламой порнухи не рабочем столе, которая "отключиться" если отправить смс. Попробовал все что прочитал…. CureIt не помогает, AVZ тоже. Восстановление системы не включается , выдает какую то ошибку. ОТкрыть c:\Documents and Settings\пользователь\Local Settings\Temp\ не могу, так как комп не показывает скрытые файлы,тоже вроде из-за вируса…regedit не выполняется .. сразу синий экран выскакивает и перезагружается…МОЖНО ЛИ СДЕЛАТЬ ЕЩЕ ЧТО НИБУДЬ ???!!!

  490. Спасибо, помогла база DrWeb, ввёл код и зашел в систему, что-нибудь после этого ещё делать надо?

  491. Тот же трабл с инетом, кто нибудь разобролся че за хрень??? cry

  492. Новый вид вируса наверно, File Downloader блокирует интернет. Подхватил буквально пару дней назад, пробую все способы которые есть в народе, но не помогает. Отправить смс надо на 1350 с кодом 262016561. Кто от этой хрени избавился помогите!

  493. Нашли в чем проблема?? У меня просто тоже самое… инета нет…

  494. поймал наподобе трояна, только после лайв сд пишет что проблема с проверкой лицензии виндовс, и впускать в винду отказывается напрочь.
    Сделал очень просто, формат ц, я обычно всегда борюсь данным способом. У меня важного ничего не бывает на жёстком, всё важное у меня находится на съёмном жёстком
    smile

  495. Аграмедное спасибо-с хозяину сего блога! Чесслово оч.полезно.
    Хотя, мне пока не слишком помогло. Хрень в том, что вирус заблокировал все, что возможно: ESS, ProcessExplorer, AnVir Task Manager — это стояло в стартапе, затем — regedit, TC, не дает запустить АВЗ, ДрВеба… cry Я не понимаю как это умудриться чтобы этот понос работал также "успешно" и в Безопасном режиме. Я не понимаю аффтаров Винодовоза, которые разрешают посторонней проге нагло писАться куда угодно, как будто везде — дыра. Блииин.
    Ну что, ЛивСД не сильно помогають: ДрВебовский ничего не нашел; у него Линух, свою анвирь не запустить… Лив Панда — нашла пару мелочевок… Ну ща вот загрузил ESS RescueCD — вроде чего-то ищет. Капец полный.
    Ну разве что подцепить винт на рабочий комп и там бомбить. Еще грят, ежели подключить второй монитор, то на нем можно зделать все-все-все, что нужно. Эээээ….

    А ваще-то я на работе случайно нашел, считать, этого долбанутого аффтара, ядри его в Жэ,Хэ,Мэ и весь алфавит!! Он в форуме ХАКЕР продавал свою хрень за 10 уёвин. Народ торговался как на базаре, сидку просил. Кто-то запросил шоб аффтар збацал ему панель, в которой и набирается разный текст "бла-бла", другие СМС, оформление. Потому, видать, и вылезло столько разновидностей этой заразы. Аффтара ф топку!!!! angry
    (ЗЗЗЫЫЫыыы. Нащот аффтара не шутю. Но если сцылка на тот базар нужна, плиз, мыльте. А то я ща за чюжым кампом, случайно набрел сюды).

  496. Здравствуйте! меня WIN7 После удаления вышеописанного вируса с помощью программы Nod32?? компьютер видит интернет соед-е и показывает что оно рабочее, но не на один сайт не могу зайти. Помогите cry cry cry

  497. у знакомой девочки та же фигня- она в компах не шарит- помогала ей удалённо через асю. та же картина — блокировал, зашли в безопасном режиме, почистили комп cure it- ом, нормально грузится, соединение есть, ася работает, бит торрент качает, а браузеры но одну страницу открыть не могут. кто справился с проблемой?

  498. Алексей, luccello, попробуйте проверить файлик windows\system32\drivers\etc\hosts

    в нем не должно быть ничего кроме
    127.0.0.1 localhost

    Если есть другие записи — смело их удаляйте. Так же проверьте параметры подключения к интернету. Попробуйте в качестве DNS установить следующие адреса:

    208.67.222.222
    208.67.220.220

    Отпишитесь потом о результатах.

  499. вчера девочка сообщила, что удалила вирусы из карантина и инет заработал! зато не работают звуковые драйвера…. вот млин!

  500. Помогите плизз вирус некуда непускает ПРишлось удалить антивирус так как его полностью проели,Требует отправить смс с кодом к705913300 на 4460В инет выйти не могу антивирус установить или скачать тоже sad

  501. Закончил борьбу 5 минут назад. Скажу сразу загрузка в безопасном режиме НЕ помогла. Вирусня блочит и там. Загрузился в безопасном с поддержкой командной строки.
    Затем:
    >msconfig
    Службы -> Востановление системы. Откат на предыдущий день (до того как появилась вирусня).
    После этого поиск файлов которые были созданы или изменены в день заражение или после. И убить все.
    Можно для уверенность прогнать парой антивирей.

    З.Ы: ОС: Виста

  502. У меня на компе появилась такая же хрень,отправте смс на номер 4460 с текстом К705113100, я с другого компа стал искать что делать, делал загрузочные диски,пытался найти вирус доктором вебером, но всё оказалось проще.(на все предыдущие действия я потратил день).
    Потом прочитал гдето на форуме, что нужно обращаться к оператору которому принадлежит номер на который просят от править смс.
    Я набрал на яндексе номер 4460 и получил адрес владельца , в данном случае это компания А1 агрегатор,www.a1agregator.ru, я по всем их службам по почте отправил письма с просьбой прислать мне код разблокировки иначе завтра пойду писать заяву в милицию и у меня винда лицензионная, в течении получаса мне по почте прислали код, потом я ввел и вирус даже самоликвидируется и следов не найти, антивирус потом ничего не нашёл. biggrin

  503. Действительно появилась новая модификация,во вирус блокирует редактор еестра, недаёт запускать exeшники и в безопасных режимах также. Пробовал искать везде этот вирус непомогает. Уже снёс операционкау(XP), правда забыл попробовать некоторые вещи то как перевод часов в биосе на день вперёд. А угрожать оператору что-то я и неподумал )))))
    Александр, действительно немогли бы вы поделиться кодом?

  504. Спасибо большое! решил проблему с с помошью друга свободного лайфа…Т.К блокирует панель задач сетевое окружение вобшем всё.! КСТАТИ У МЕНЯ НОМЕРА И ТЕКСТ БЫЛИ РАЗНЫЕ НО КОД ПОДОШОЛ, Я ДАЖЕ ЕКСЕШНИК НЕ ИСКАЛ (блокер) ТАК ЧТО НА НОМЕР НЕ ОБРАШАЙТЕ ВНЕМАНИЯ ПРОСТО ВЕДИТЕ КОД.

  505. я тупо вводил всё вподряд и нажимал "ок", после 20-40 раз появилась панель задач и через минуту весь рабочий стол smile

  506. До Нового года подцепил ту же хрень. Но как странно было ли у кого-то такое: хрень эта выскакивала только под паролем администратора, а под паролями обычных пользователей этой хрени небыло, но интернет был заблокирован у всех пользователей. Так как дома есть 2 компа, то проблему решил с генератором ключей на DrWeb. Антивирус стоит КАСПЕРСКИЙ, но хрень эту он пропустил. После скачал DrWeb Cureit, запустил полную проверку, нашел он вирус Trojan.Winlogon591, удалил его. Теперь под пользователем администратор все ОК, но под обычными пользователями интернета нет!!! При чем если войти в систему под обычным пользователем и запустить обозреватель (IE8, OPERA) под администратором (правая кнопка мыши — запуск от имени и выбираем администратора и вводим пароль), то все работает. Но раньше заходил под обычным пользователем и все работало без пароля администратора. Помогите справиться с этой хренью. Мучаюсь уже неделю — ни чего не получается.

  507. Если создаю нового пользователя с правами опытного пользователя, то тоже ничего не работает, а если с правами админа — все ОК. В файле hosts ничего лишнего нет. Если честно, то уже запарился — сегодня целый день на эту херню потратил и ничего не могу сделать.

  508. А я востановлением системы его грохнул, файликов этих не нашол но какоето грохнул

  509. up Могу продать билд этого блокиратора написан он на Assembler

    Возможности программы:
    [+] Защита от повторного запуска софта. createMutex.
    [+] Изменяет аттрибуты на скрытый и системный у explorer.exe, regedit.exe, cmd.exe, taskmgr.exe.
    [+] Помещение окна блокиратора поверх всех окон (блокирует Alt+Tab).
    [+] Имеет достаточно простой и понятный интерфейс.
    [+] Возможно вписать любой текст на ваше усмотрение. (Опционально).
    [+] Не изменяет ключей в реестре. (работает по !другому принципу. Исключение, прописывается в автозагрузку и блокирует безопасный режим).
    [+] Автозагрузка вместе с explorer.exe, далее его принудительное завершение.
    [+] Возможность отслеживания и завершения любых процессов в памяти. (Опционально).
    [+] Блокировка безопасного режима\Disable Safe Mode.
    [+] Блокировка Alt+Ctrl+Del, Alt+Tab, Alt+F4, Ctrl+Esc, Win+D, Win+R, Win.
    [+] Добавляет себя в исключения виндового фаервола (доверенный источник).
    [+] Маскируется под файл Microsoft Office — ctfmon.exe (Иконка и versioninfo) (Опционально. Возможно изменить на любой другой).
    [+] Создает файл носитель и устанавливает ему атрибуты: скрытый, системный, только чтение.
    [+] Проверка на существование файла (защита от повторного запуска).
    [+] Полное самоудаление из системы при правильно введенном ключе.
    [+] Шифрование ключа(ей) алгоритмом ROTx.
    [+] Установка одного или нескольких ключей разблокировки. (Опционально).
    [+] Оригинальный размер файла 20 кб, криптованный Upack0.39f — 7.4 кб
    [+] Отслеживает и блокирует процессы: TASKMGR.exe, MSCONFIG.exe, regedit.exe, regedt32.exe, CMD.exe. (Опционально).

    Все вопросы в e-mail:yurkovich83@gmail.com up

    1. удалять коммент не буду.
      Сейчас ты получишь в почту кучу «доброжелательных» писем biggrin

  510. что делать?
    меня просят отправить смс на номер 1350 с текстом 861282182 генератор , как впрочем и другие способы решения проблемы не помогли.
    помогите , пожалуйста )))) cry

    1. попробовать обратиться на сайт http://www.smsrent.ru, как я понял — это они владельцы короткого номера (не вируса!!!). Возможно они подскажут код.
      Ни в коем случае не отправляйте смс — вот тарифы — спишут сразу 300р!

  511. Если после удаления вируса нет инета, возпользуйтесь AVZ (файл-восстановление системы-14 пункт ())

  512. Получил "подарок" в виде запуска некоего INTERNET SECURITY с сообщением о сканировании системных файлов, строкой состояния и в конце-концов нахождения 60-ти зараженных файлов. После меня пристыдили за то что я до сих пор не активировал эту чудесную программу и предложили выход-отправить смс для получения кода активации. При чем все так натурально, не поленились даже добавить кнопки типа "лечить","карантин","удалить". Ничего, естесственно, не сдвигалось и не закрывалось. Диспетчер задач,равно как и восстановление системы да и все остальное было деактивировано.
    Помог генератор Dr.Web. Потом запустил gpedit.msc, вернул все на свои места. Затем основательно,вручную, зачистил реестр и все папки TEMP.
    Пока вроди тихо…

  513. Согласен, эта замечательная мысль придется как раз кстати

  514. Стоит w7 (антивирь аваст,ну и +) ноут на работе не разу не поймал такую дрянь, да и особо не куда не лазил. Дома все намного печальнее было. (Синий экран и Бла..бла..бла) внизу номер sms. Брат привез жесткий на работу, сканирование антивирусом 0 толку. ладно думаю посмотрим что там. Время переводил 0, искал указанные файлы 0. Помог банальный поиск (созданы ранее файлы таким то таким то числом отправились в топку)После приведение реестра в порядок. Ну и гвоздь программы прогон антивирусной системой happy

  515. вирус мегаизменился, после ввода кода идёт обратный таймер,причём время увеличивается с каждым вводом в арифметической прогрессии… способ лечения вроде ест, проверюсь, если вылечил, выложу ссыль на источник.

  516. кстати, генераторы

    INTERNET SECURITY с сообщением о сканировании системных файлов, строкой состояния и в конце-концов нахождения 60-ти зараженных файлов

    можете не использовать, не работают

  517. Уважаемый бойцы с дрянью здравствуйте.
    У меня вылезло Internet security генератор кода не работает, он на каждый код пишет анализ 7-6…-0 а потом НЕВЕРНЫЙ КОД.
    Все безопасный режим тоже капут, cmd, диспетчер,regedit сладко спят, откатка времени в биос не помогла.
    Я скачал liveCD скажите как его правильно записать на болванку.
    1)запихал папку boot-тупо диск F:\boot\файлы папки
    2)запихал из папки boot-диск F:\файлы папки
    Ни так 1 ни так 2 не грузит livе CD(все в биосе правильно настроил-загрузчик, диск windows грузил)
    Что мне делать?

    1. скорее всего файл LiveCD скачался в формате iso — это и есть образ диска. его нужно открыть программой для записи дисков (все современные проги это делать умеют, платный Nero или бесплатный CDBurnerXP точно) и записать с их помощью. А дальше всё как обычно…

  518. откати число в биосе раньше 12 января и пробуй..

  519. Да хоть да юрского периода откатывай,не работает.

  520. По совету добрых людей добавил в пост ссылку на новый раздел на сайте DrWeb, в котором можно получить код разблокировки, а так же на аналогичный сервис от Касперского.
    Ссылка на PreSP4 так же обновлена.
    Борьба продолжается!

  521. блииин, тоже вылез этот бутафорский Internet security cry и главное не могу понять откуда он появился. Вот, что значит подпускать к компьютеру нерадивые личности, но это все лирика.
    А вот как с ним бороться или есть ли у кого-нибудь код активации к нему? А то он все .exe-шники убивает и ничего не возможно запустить, даже архивы не распаковываются, а что уж тут говорить о regedit и диспетчере задач. Кстати при попытке запуска WinRar'a компьютер вообще завершает работу wacko
    Продолжаю борьбу и жду информации с других фронтов! Вместе мы его одолеем up

  522. Словил такую же фигню как описывается в последних постах, в режим защиты от сбоев не перейти, единственно если в мс конфиг в бут ини указать что грузится в сейф моде с указанием не помню какого режима сейф моде, но по моему крайнего правого, тогда загрузка в сейф моде идет но не под администратором, что т этого тоже толка я не заметил, а в норм режиме закрыт диспетчер, регедит, тотал, антивирус, куда не ткнеш вылазит это окно.
    Но у меня стоит 2 ОС , гружусь со второй, пускаю Аваст — результат 0, пускаю — Ад-аваре результат -0, пускаю Нод32 — результат 0, надоело
    Нахожу поиском все фалы созданные за дату когда подхватил, и все левые и непонятные удаляю.
    Нахожу все файлы измененные за ту дату, часть удаляю, часть заменяю файлами с 2 системы.
    Гружусь — все работает кроме диспетчера, регедита, антивира, и загрузки в режиме от сбоем, и восстановления системы — пишет что администратор все это отключил в политике — типа зайдите как администратор.
    Лезу через панель управления в политику пользователя, нахожу где включить регедит, диспетчер. Копии реестров не делал( так что реестр не импортировать. В диспетчере сидят вроде все свои.
    Но я помню что у меня работает восстановление системы — то что в служебных приложение. Но его не запустить — тоже ограничение, где снять не нашел, кто знает подскажите, хочу откатить всю систему.

  523. Сука а не вирус, короче я грузился с livecd(не обновился и почему-то сканер не запустился)и rescue(обновился, нашел какй-то троян, лечил),загружаюсь зажав пальцы, а фигушки internet security.Кстати у меня тоже стояла,слава Богу 2 винда.Прогонял всем чем можно, ноль результата.
    Плюнул, решил переустановить винду, во время установки решил, а дай попробую воостановление. И сработало, вирус сдох, тока у меня как и у Maleus типо админ все отключил.
    Юзаю вот это (http://shkolazhizni.ru/archive/0/n-10631/)восстановил диспетчер и реестр,тока антивир(avira) всеравно мертв, переустанавливал несколько раз.
    Скачал все обновления windows и о чудо антивирь ожил, в дополнение поставил комодо.
    Прогнал опять всем чем можно систему, реакция ноль.
    Пока сижу держусь за яйца smile
    А еще с утра захотел поставит игруху Call of Duty:MW2.
    Не поставилась пишет Failed to run install script
    Нашел решение
    Мой компьютер -> Правой кнопкой на DVD-приводе -> Открыть -> Правой кнопкой на setup.exe -> Запуск от имени администратора.
    Тока вот он орет что типо не нулевой пороль или какая-та группова политика.
    Ни кто не знает как это исправить?

  524. История:
    вирус Internet security (ekav)
    при загрузке Windows не стартует:
    userinit.exe
    ccSetMrg.exe
    ccEvtMgr.exe
    alg.exe
    rundll32.exe

    заблокирован, не работает диспетчер задач, ctrl+alt+dell
    не стартует ни один .exe файл
    иногда открывается окно с требованием отрправит смс и ввести ключ

    Бился с самого утра, спасибо, помог стандпртный ключик 544625144 и

    сайт http://boltunishka.berserki.ru/archives/417
    Сейчас загрузился с LiveCD, провожу проверку CureIt

    За такие вещи людям надо яйца отрезать

  525. Добрый день! Помогите кто может!!!! sad
    У меня vista, а интернете я работаю на Mozilla Fifefox… так вот недавно заблокировала картину на сайте "Мой мир" (она была не очень культурного содержания). Это произошло так быстро, что я и не поняла как я это сделала при помощи мышки((( Теперь мне блокируются все картинки автоматически sad даже не могу посмотреть гостевую книгу, где мои друзья меня поздравляют с праздниками(((
    Пожалуйста, помогите разобраться, за раннее спасибо!

    1. хоть вопрос и не по теме топика, постараемся помочь.
      Уточните, как именно заблокировали картинку? Стоит ли у вас дополнение AdBlock и AdBlock element hiding helper?

  526. Сергей Кобельников в личку сообщает:

    Я — компьютерный "чайник". Вымогатели заблокировали компьютер,но с помощью ребят с форумов,нашелся код активации. Спешу поделиться со всеми,у кого такая-же беда: текст СМС 585359763 тел.Для абонентов МТС 1350,других операторов 3353 или 8355. Подошел код 10149301. Удачи всем!

  527. народ очень простой способ избавиться от этой заразы токой….просто возьмите телефон и наберите следующий номер.8(495)3631427 там вам ответит оператор "А1АГРЕГАТОР" продиктуйте ей или ему код который вирус предлагает вам отправить по смс… и там вам скажут код требующийся для разблокировки вируса. надеюсь это вам поможет мне помогло. всего доброго. smile

    1. Если кто будет обращаться к автору комментария — напишите потом здесь — добросовестный помощник он или тоже чего вымогает.

  528. здрасте у меня была та же проблема на ноуте ситуация осложнилась тем что сломан сидюк и переустановка винды не возможна как тут посоветовал один друг по искать подозрительные файлы в апликатион дата нашол дельнул проблема самоустранилась но винда до сих пор блокирована не работает ни regedin ни диспетчер задач также не возможна работа многих эксишников из за изменений в груповых политиках ни востановление системы по этой же причине также иконка в пуске ссылающаяся на эти груп политики атстутствует и я подозреваю тоже не будет работать …..вот такое вот говно …этот аваст пропустил настолько глобальное изменение системы нафиг все бесплатные антивирусы касперский рулит )))

    1. Что могу посоветовать:

      1. Утилита AVZ должна вам помочь.
      2. Запустить управление групповой политикой безопасности можно так: Пуск->Выполнить->gpedit.msc
      3. Запрет на запуск редактора реестра и диспетчера задач так же может снять XPTweaker

    2. Если не поможет, может это как раз причина мигрировать на Windows 7?
      Где взять образ диска думаю найдете, а эта программка поможет сделать загрузочную флешку и установить Windows 7 с нее.

  529. три дня назад нод поставила, сегодня уже попалась! ничего сделать не могу — он отключил клавиатуру! Как с этим бороться??? Уже и коды нашла, а толку-то. В безопасном режиме тоже не зайти sad

  530. Я использовал Paragon Rescue Disk.Сначала нашел эту гадость-
    "C.\Program Files\plugin/exe" а потом загрузился с Парагона и
    просто удалил этот файл.Потом CCleaner вычистил автозагрузку
    и реестр.Желаю всем удачи в борьбе с замудонцами.

  531. Amiable post and this post helped me alot in my college assignement. Say thank you you seeking your information.

  532. Походу вирус эволюционирует… Скачал с др.вэба загрузочный диск, вставил, в ноут запустил и всё теперь дальше выбора видов загрузок(обычная, безопасный режим, востановления посл. кудачной конфиг) зайти не могу cry

  533. Потыкаю по рекламке в качестве благодарности за статью!

  534. Мне реально помог только AVZ и прямые руки. А потом установил AVAST, он блокирует скрытое скачивание с сайтов и уведомляет об этом, а разрекламированные каспер и др веб курят бамбук. коды др веба не подходят. сканеры их не видят вируса, а аваст после того как я отключил загрузку вируса при старте системы нашол потом хвосты этого вируса. до него у меня стоят nod32 с последними обновлениями, который благополучно профукал сей вирус и умер скоропостижно после перезагрузки компа.

  535. У меня та же проблема, только я все таки решил переустановить ОС. Но только не достиг успеха. После форматирования диска начинается установка ОС, но только заканчивается копирование файлов, комп перезагружается и все начинается сначала. Если кто знает что нужно сделать, помогите пожалуйста. Заранее спасибо

  536. Только что подцепил эту гадость. Антивирус (Avira) не помог. Вылечил за пол часа руками без всяких фокусов. Тупо зашел в сейф моде под администратором, порылся в журнале событий. Засек точное время заражения. Затем вычистил к едрене фене и жукам майским все файлы на системном диске начиная с этого времени. В числе прочих под нож попал загадочный файл Postmap.exe. После ковыряния в регэдике он бодро нашелся в автозагрузке и был подвергнут страшной каре. До кучи для верности почистил весь кеш. После перезагрузки все стало нормально кроме заблокированого диспечера задач. Эта хрень что то меняет в групповых политиках. Видимо урезает права пользователям. Я не долго мудря перегрузился опять в сейве под админом и откатился до вчерашней точки восстановления. Благо в фортках такой фокус существует еще с Линолиума. Собственно все. Антивирус обновил. Сейчас он весело потрескивает винтом. В системных папках ничего не нашел. Видимо руками все правильно убилось. lol Ощущение как будто не комп вылечил а коту глистогонку дал. Не вирус это а спам убогий. lol Эх, вот были вируса в свое время. Янки дудл например lol

  537. на сайте drweb есть генератор кодов смс. Моего кода не было, Выбрал самый последний который был чтоб примерно подходил и ни че прокатило, комп включился. biggrin

    у меня был чёрный экран, написано в центре и слева внизу про операционку указано, что не пытайтесь переустановить. surprised

    Последствия: не работает Диспетчер задач и при переустановки Windows требует форматирование жесткого диска. wacko up sad

  538. помогите пожалуйста. поймал блокировщика, просит отправить текст 8056534 на номера 9395 ;8385 или 2090. пытался зайти через F8, но не получается. пытался найти похожие блокировщики не нашел. коды тоже не нашел. подскажите как решить проблемму sad cry

  539. СЕРГ, странно, что не работает, мне всегда помогало. Все 3 номера пробовал вводить в поле номера(по очереди)?
    В любом случае KIS2010 при полном сканировании находит эту гадость, называется WIN32 NESHTA, у меня много раз была она. Заражается svchost.exe, после чего ни один экзешник не запускается и диспетчер задач отрубается. Мне каспер её удалял а все заражённые файлы вылечивал, теперь нет проблем. А всякие авасты можно сразу в топку отправлять.

  540. Точнее, не WIN32 NESHTA, а WIN32 RANSOM.
    Скачай хотя бы триал каспера 2010-го, просканируй — он тебе предложит лечение с перезагрузкой, после чего норм всё будет, а диспетчер задач можно вернуть восстановлением системы или реестром. Но вообще, ссылка, которую я тебе дал, мне помогала всегда.

  541. Спасибо канечно , но я немогу ниче скачать ибо виндоус не запускается . И ничего сделать не могу вообще . Коды неподходят никакие . Сейчас решил ждать 3 часа посмотрим что будет . Написано если в течении этого времени не отправить смс то писец будет . Остался час . Как думаете что будет?

    1. попробуй код 5352161

      вообще ничего не должно произойти страшного.
      DrWeb LiveCD пробовал качать?

  542. Разблокировка программ-вымогателей.

    1. Найди комп с выходом в интернет
    2. зайди по адресу
    http://www.drweb.com/unlocker/index
    3. Внимательно прочти всю страницу и введи в генератор свои данные
    4. Полученный ключ введи на своем домашнем компе
    5. Хватит лазить по порносайтам!

  543. есть такая проблема , диспетчер задач не работает блокеров нет , пароли не работают которые были написаны , а на сайты указанные здесь не заходит , помогите плз если что аська 470730750

  544. помогите мне пожалуйста! у меня заблок винду…
    просит отправить смс m21720009 на номер 8353
    не могу нигде найти код разблокировки
    cry

    1. подобные сервисы есть от касперского и нода. Ссылки есть в статье — попробуйте, по результатам отпишитесь тут.

  545. Прочитал статью, очень познавательно и полезно. На диске системном нашёл файл "UgWMa.dll — весит 15,5 кб". После его удаления просьба отправить смс исчезла.

  546. макс445,
    Попробуйте зайти на сайт Dr.Web и там нужно скачать и запустить на исполнение "лечащаю утилиту Dr.Web CureIt". Найти можно в разделе "программы", бесплатные утилиты.
    Сегодня лечил комп, так тоже невозможно было найти код разблокировки, спасение нашёл в этой утилите. Интересно что номер смс тоже 8353. Удачи.

  547. Поймал эту заразу, тел. 8553 CureIt не помогает.

    Людй, куда еще можно ткнуться? Без компа как без рук

  548. Кино и немцы…
    Всё бы это было очень смешно, если бы не было так грустно

  549. Не первый раз ловлю. До этого помогала утилитка, или вручную удалял
    blocker.* и иже с ним. Сейчас на компе файлов с такими именами просто нет. Что-то новое

  550. Да.

    прогнал весь С:/ в безопасном режиме
    — толку никакого — 0 найденных объектов

  551. Всё намного проще.заходим на dr.web там есть ссылка на разблокировку всего.Сам проверял.

  552. Здравствуйте!
    Сегодня товарищ позвонил и попросил помочь с разблокировкой. Сам я про такую штуку только слышал, но не сталкивался. Благо есть такой наш спаситель — Дмитрий Поляков:) По ссылочке отсюда перешёл к ДрВебу и как ни странно с первого же раза прошли коды(на удивление их было 2). Коды я продиктовал по телефону и в итоге винда заработала, а интернет по обыкновению нет:) Требует опять отправлять смс, но поля для ввода кода уже нет:( Завтра еду на встречу с тем компом, чтобы попробовать вылечить его. Собрал всю инфу из комментов: имена файлов вирусов, проверку файла hosts, воспользуюсь AVZ и CureIt — посмотрим что получиться. Пишу к тому, что может кто подскажет ещё какой-нибудь способ, который прошёл у него, дабы быть вооружённым завтра до зубов. Заранее спасибо.

  553. Сегодня всё отлично решилось. Прошёлся CureIt по компу. Воймал файл TaskKills.exe в папке system32. После воспользовался по инструкции AVZ и теперь всё работает отлично. Спасибо АВТОРАМ!

  554. нет подходяшего кода что делать????????????? wacko