Windows заблокирован. Для разблокировки отправьте смс.

Сегодня знакомые попросили посмотреть компьютер. Говорят «что-то про активацию пишет и смс». Думаю, дело неладное, собрал свой «боекомплект», выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
«Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649.Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные.»

Давным давно сталкивался с такой бякой. В уже упомянутый «боекомплект» у меня входит LiveCD от DrWeb . Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.

UPD. C мест сообщают, что случай знакомых не единичный.
Хабраюзеры ilzarka и ykcyc тоже стали жертвами вируса. И если первый «вылечился » как и я, то второй пошел другим, оригинальным путем .

Резюме: Если у вас после перезагрузки компьютер выдал сообщение «Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные.» НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше.

UPD2. C мест сообщают, что вроде подходит код активации 3893879.

UPD3. В комментах подсказали, что специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу https://www.drweb.com/unlocker/index/?lng=ru , вводите цифры с сообщения ВАШЕГО компьютера — получаете разблокировачный код.

UPD4. Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 я выложил здесь . Этот пак сам установит все обновления, которые появились после выхода SP3.

UPD5. Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его 😊 Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!

UPD6 Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.

Если после удаления вируса пропал рабочий стол

В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол .

UPD7. Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать — если уже случилась беда — качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы — ставьте PreSP4 и IE8, если пользуетесь эксплорером.

UPD8. C момента написания поста вирус очень изменился, и его поведение тоже. Читайте последние комментарии к посту - они помогут в решении проблемы. Ну и если побороли сами — найдите минутку — поделитесь опытом.

UPD9. Сотрудники компании DrWeb создали специальный раздел для получения кодов разблокировки на своем сайте. Специалисты Лаборатории Касперского сделали подобный сервис .

Напомню что лучшей защитой от напасти являются 4 действия:

UPD10. На Хабре появилась еще одна статья-руководство по борьбе с вирусом .

UPD11. Методы защиты от вируса, блокирующего windows по смс.

Комментарии

Дмитрий
По сообщениям с Хабра, злодей, на чей номер нужно было слать смс наказан. Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)
Игорь
Спасибо я тоже с этим столкнулся, удалил blocker.bin и blocker.exe все в норме 😃
Артур
Я больше не могу, это надо же быть сволочами, что бы такое придумать... Игорь, а скажи мне пожалуйста как у тебя получилось удолить эти файлы? :((
роман
если у меня Vista
Beроника
Здравствуйте.у меня такая же проблема с компьютером.только в каком режиме комп не включу все равно выказает это сообщение.напишите мне пожалуйста что делать.в каком режиме заход
Alex'and'R
вчера сидел на баше. Там прочел про эту проблему, думал меня никак не коснётся. И тут СЕГОДНЯ же у самого такая беда... ((( но умные люди с баша подсказали какие файлы надо удалять. К счастью у меня стоит 2 ОС. Я зашёл со второй, удалил данные 2 файлика и вуаля-всё работает!)))
kirsby
Меня тож такая ерунда коснулась. Сам потерялся всех пытался обзвонить --короче жена подсказала попробуй включи(обычно из-за неё глючит) --- и запустилась Винда. За день до этого переустановил NOD32 но базы не мог найти. Только обновил но не перезапустил и вот тебеЭТО. Спасибо теперь буду знать что ЭТО и ГДЕ
Игорь
Спасибо) попробуем спастись от напасти)
Настя
У меня вчера была такая х... не знаю как прошло. просто тупо комп включенный постоял минут 30 и все прошло. Сейчас все нормально
Вероника
спасибо огромное!!!!!!!!!!!!!!!!!!!!!!!!! 😁
Артур
Пытался удолить через гостя, неполучилось (нет прав), пихал диск с антивирусником, не вышло, вводил код, неа... Зашёл через безопасный режим, вроди нормально всё было, удолил всё ненужное, и вуаля всё заработало... НО: теперь комп НЕВЕРОЯТНО глючит и тормозит, пользоваться невозможно, думаю переустановить Винду... Файлы жалко 😟
Оникс
Да, народ... Вчера ночью эта история меня коснулась. Винт 1, ОС 1, пользователь 1, сдуру пробовал смс-ку отправить - хорошо, денег не было на счету (не знаю, сколько стоит этот код, но больше 100 рублей - точно, денег сняли как за простую смс-ку, с номера 3649 пришел ответ, что "Недостаточно средств для пользования услугой")
До безопасного режима не добрался. Переставил ОС.
кстати, цифры в смс-ке другие предлагали вставить
412 894 6393
подцепил эту байду, судя по всему, когда лазил в поисках мп3 на "халявные" сайты
сразу подозрение возникло, когда через оперу со скоростью 0.1 кб/с файл лился (в то время, как параллельно шла закачка с нормальной скоросью)
Ирина
А что делать,если компьютер просит отправить смс на номер 3649,но с текстом 4125451011
Евгений
Просто наберите в диспетчере задач выполнить команду "C:\WINDOWS\system32\userinit.exe" И всё тут же станет прекрасно... =)
Андрей Н.
А что означает "Просто наберите в диспетчере задач выполнить команду "C:\WINDOWS\system32\userinit.exe" ???????? Обясните что это даёт???
Андрей Н.
решение вроде найдено: http://news.drweb.com/show/?i=304&c=5
Дмитрий
Андрей Н., спасибо за ссылку. Добавлю в пост
Андрей
Седня зацепил эту заразу, но спасибо други Вам и второму компу, по которому нашел ссылку http://news.drweb.com/show/?i=304&c=5
При последующих переагрузках это не проявляется, а то код сгенерировали, NOD 32 запустил, но он чет ничего не находит
yser
небось, сам ДрВеб и придумал эту заразу, чтобы бабло срубить
а потом, мол, мы сделали код разблокировки, дрвеб - надежная защита ващего компьютера
ни слова при кризис!
Андрис
Огромное человеческое спасибо 😃 !!!! за исчерпывающую инфу!! странно тока как нод32 смарт секьюриту пропустил эту хрень, и более того , после даже не нашёл 😟
Макс
вчера такая же хня была у моей подруги,винду переутанавливали 😟 еслиб знал не переустанавливали бы,буду теперь знать...
Ольга
Да, было дело. Только вот что странно: после появления этого сообщения перезагрузила комп 2 раза, ничего не изменилось. А поскольку я в этом вообще ничего не понимаю, то выключила комп. Утром встала, включила 😃 всё замечательно работает. Сегодня попала на этот сайт, пыталась найти эти дурацкие файлы blocker.bin и blocker.exe, но их нет. Проверяла комп Нодом, всё хорошо. Может чего-нибудь еще сделать?А?
Geralde
У меня на Windows 7 тоже самое было вчера,когда отец за компом сидел.Он чуть было не отправил смс-ку-перепугался.в последний момент я его остановил.После перезагрузки всё нормально загрузилось и до сих пор работает,NOD ничо не нашарил,только какие-то трояны TBinstall.***.Приду домой,пощупаю эти bloker-ы.Спсб.
Вит
нод меня чёто последнее время расстраивает. Эту фигню уже пропустил и недавно whatulikelol.exe даже не заметил 😠
maradona
Моё мнение - программеры доктор веба создали эту херню ... и сами же выложили генератор ... В то время как другие информеры низачто не исчезают сами ... и не убираются путём ввода верного кода ... так что делаем вывод господа ... это реальная конкуренция и провакация ... просто если программисты ESET кинут в сеть тоже какой нибудь вирус ... загнётся и Каспер и Др. веб ... Война антивирусов не прекращалась никогда ...
Давайте подумаем ... у многих возникло желание перейти на Др. Веб ? Думаю да ... и у меня возникло ... но это не более чем как релкмная акция ... не будьте дибилоидами ... и трезво смотрите на вещи ...
Stre10k
файлы blocker.bin и blocker.exe по указанному адресу (впрочем, как и вообще в машине) отсутствуют. Проверка в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
(Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe") помогла выявить файл, на который зверюга и ссылалась. Весьма признателен!
Дмитрий
maradona, не соглашусь. Хотя вероятности такой не исключаю, но думаю тут больше задумка была навариться на смсках, нежели сагитировать "переход на зеленый" (ДрВеба). Многие люди, даже думаю большинство жертв вируса ни слухом ни духом не знают о генераторе от др.веба.

А то что нод32 косячит - это для меня не новость. Сталкиваюсь с его косяками постоянно. Поэтому рекомендую всегда либо касперского, либо др.веба. Причем лицензию ОБЯЗАТЕЛЬНО! Думаю заплатить тысячу в год - это не так много...

Ольга
Hеlp! Вводила код активации, который выдает указанный выше сайт, не помогает. Запустила сканирование вирусов - пишет, что вирусы не найдены. Файлы blocker.exe тоже комп не ищет. Может из-за того, что я смогла зайти только как гость? Что делать, чтобы снять блокировку windows?
Вадим
Спачибо за инфу... во чуть было не влипли на смс
Ольга
Уфф, на ночь выключила комп, утром все нормально. Антивирусная системы выдала несколько сообщений о том, что кучу вирусов направила в карантин. Спасибо владельцу сайта!!! 😃 🍻 🙂
Boroda
Му-ха-ха? Была такая беда, но т.к. все равно собирался "почистить" Винду...то после пары безуспешных загрузок, поставил поверх новую ХР:-)
Но докторе вебе молодцы!отреагировали быстро ...
NightSpeaker
генератор некуя не робит !!! пыщ пыщ пыщ 1 1 1 1 😢
юю
та же проблема! как запустить Dr.Web LiveCD из ДОСа? гостевого входа у меня нет, только администратор, пишу со второго компа. с залипанием шифта тоже не получается, не залипается) прошло больше трех помогите!!! 😢
zaman
не могу найти файлы, прицепил винт к другому компу, запустил нод со свежими базами, он ничего не нашел. Запустил launch.exe тоже никаких действий. На сайте Доктора Веба генератор тоже не помог!
Унификация произошла вируса?
nigga
а что делеть если такаяже проблема,но в \Documents and Settings\All Users\Application Data этих файлов нет?
RooTroL
Только что боролся с этой же проблемой.
Файл "C:\Documents and Settings\All Users\Application Data\blocker.*" отcутствовал, отправка кода, сгенерированного DrWeb тоже не помогла. Проверил реестры - тоже чисто.
Нашёл в "C:\Windows\Temp" файл donB.tmp после удаления система воскресла.
Всем удачи в борьбе с заразой!
юю
тоже заработало! только одно но: удалила из реестра строчку userinit.exe , как писалось в первом постике, но в самой папке не удаляется, после удаления появляется снова, что делать? 😲
RooTroL
Та же хрень - опять появился.
Сейчас провожу зачистку DrWeb-ом. Завтра скажу результат.
Можно использовать Launch.exe (DrWeb-овчкую) тоже находит.
Погдозрителен тот факт, что в системе в TEMP'ах висит троян Autoruner (gj крайней мере у меня). Подозрение, что они завязаны м-ду собой. Полная зачистка покажет кто, где нагадил)))
nigga
я обречен:(( у меня ни blocker ни donB.tmp нету
Мария
люди... у меня такая же херь.
но у меня виста, мать ее..
подскажите че делать??? 😢
Дмитрий
По всей видимости червь модифицируется постоянно, а для загрузки использует дыры в ОС. Сейчас выложу обновления PreSP4. Ищите ссылку в конце поста.
skinskraper
ребяты вот вам реально работающий способ при любых модификациях виря заходим с автозагрузчика и правим реестр
HKEY_LOKAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\CurrentVersion\Winlogon
находим значение Userinit щткрываим иго все что после C:\WINDOWS\system32\userinit.exe является путём к тушке виря смело удалям сохраняем и резетим всё робит проверено 😎
юю
skinskraper , в том то и проблема, с реестра удалила, а в самой папке C:\WINDOWS\system32\userinit.exe удаляется, а через минуту этот экзешник опять на том же месте, посмотри у себя, может после удаления опять его у себя найдешь)
Кирилл Герасимов
Тоже столкнулся с этой проблемой, однако, по-видимому уже с модифицированной версией вредоносной программы. Documents and Settings не содержала никаких подозрительный *.exe и *.bin, однако проверив пункт реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] (см. комент №1 by Дмитрий) в поле Userinit нашел кроме стандартного "C:\WINDOWS\system32\userinit.exe" еще и указание на какой-то файл в папке c:\docume~1\%username%\local settings\Temp удалил этот файл из папки (и походие на него), а так же исправил поле в реестре.

Насколько я понял, эта штука устанавливается конкретно под 1 пользователя. Запустил в безопасном режиме и залогинился под администратором (обычно пользуюсь другим юзером с админскими правами). Как вариант, если что-то нужно, чего в безопасном режиме нельзя, можно там создать еще одного админа, под которым зайти в нормальном режиме и полечить комп, после чего юзера удалить. То есть под другими юзерами система запускается спокойно.

Кирилл Герасимов
2юю: не юзеринит надо удалять))) а то, что после него написано в реестре))) (см. пред. посты)
Дмитрий
юю, Кирилл Герасимов всё верно написал. Сам файл, ровно как и ветку реестра удалять не нужно, нужно удалить всё, что написано ПОСЛЕ userinit.exe

Да, кстати все файлы в следующих папках
c:\Documents and Settings\%USERNAME%\Local Settings\Temp\
c:\Documents and Settings\All Users\Application Data\TEMP\
c:\WINDOWS\Temp\
могут быть безболезненно удалены! Это НИКАК не повлияет на систему. Рекомендую при "лечении" всё оттуда удалять.

юю
я не успела удалить по вашим советам(( перезагрузила комп после своего последнего поста и теперь новый сюрприз. грузится винда, вбиваю пароль администратора, только мелькнет рабочий стол как начинается завершение системы(( диск разбит на два раздела, зашла со второго (здорового), захожу с него на свой основной Documents and Settings\... папка All Users доступна, но она пустая, там ничего такого небыло, а моя основная (где важные файлы)недоступна. пишет что папка пустая и невозможно ее открыть, хотя по общему размеру диска вроде как было 😟
юю
ошиблась, пишут отказано в доступе к папке, а когда навожу мышкой, показывает типо она пуста.
юю
так как же их искать, если отказано в доступе к этой самой папке?)))
c:\Documents and Settings\%Имя пользователя%
PepsUS
с рабочей системы скопируйте файл userinit.exe (c:\windows\system32\) обычно при его отсутствии это происходит -
-...и теперь новый сюрприз. грузится винда, вбиваю пароль администратора, только мелькнет рабочий стол как начинается завершение системы...
😉
PepsUS
А эта "проблема" -
- ...так как же их искать, если отказано в доступе к этой самой папке?))) c:\Documents and Settings\%Имя пользователя%....
можно "вылечить" Totalcommander ом - создать новую кнопку с командой cm_EditOwnerInfo (сделать себя владельцем) и потом еще одну - cm_EditPermissionInfo (изменить права NTFS) ...
В Totalcommander Podarok Edition эти кнопки уже выведены на панель ...
Дмитрий
Это просто развод!!! Не надо отправлять никаких смс и ничего удалять!!! Просто пускай часов пять комп постоит выключенным и все пройдет! Проверено на себе!
jKuDza
вчера так же столкнулся с этой х ! каспер пропустил его ! и даже не среагировал на него ! я все сделал радикальней ! отнес винт другу слил от туда всю инфу и форматнул ! теперь сижу на оф винде 7 ! 😃
TheJollyRoger
Тут оригинальное вытаскивание за "уши" :
http://habrahabr.ru/blogs/i_am_clever/56923/
Большое спасибо автору!!!
sonic-chainik
Сегодня словил эту заразу. Причём на втором харде (на нём винда про запас стоит - типа для горячей замены). Подключен как файло-помойка.
Сегодня потребовалось с него загрузиться - опа! Scandisk с заменой уймы файлов (очень странных файлов). о_О Ну и ладно. Грузим дальше - а вот и наша блокировочка (слышал о ней пару дней назад).
С горем пополам удалось запустить систему на основном диске - Касперский откинул копыта и не дает себя снести/переустановить/запустить.
В итоге, прорвался в инет - нашел эту рекомендацию. Но найти файлы-блокеры не смог. Накатил НОД32 - он что-то долго шаманил.
По завершению работы подключил второй диск - хрен там - блокировка на месте.
Сейчас закончил работу AD-Aware - пожелайте мне удачи - ребутаюсь. 😊
RooTroL
Вчера лечился, спустя пару часов опять всплыло. Оставил комп вкюченым на ночь. С утра чисто.
юю
все починила, Totalcommander чудо!! получила права доступа к папке, скопировала нужные файлы в надежное место, ща на всякий форматну чтоб наверняка! все равно давно хотела почистить мусор на своем компе 😉
GreenCloud
хм, интересно, а где его взять? я тоже себе такой на комп вирь хочу...
Лёха
Спасибо большое за наводку на генератор кодов!
DmitryDV
Ввели код, все исчезло без следа. Касперский 6 с актуальными базами пропустил эту гадость. Тоже думаю, что кто-то из антивирусов запустил черный PR
Александр
300 рублей снимают за смс
sergey
спасибо!!!! буду юзить только ваш товар!!!!!!!!!!!!пасибо паибо пасибо!!!!!!!!
Сергей
Спасибо, помог генератор кодов и потом лечение
Denis
У меня всё намного интереснее: Поймал заразу ввёл код с сайта доктора веба, и вуаля------ флэшки не видит, в управлении компом диспетчер логических дисков видит только сиди ром, и как с этим быть?
Дмитрий
Денис, лечитесь 😊
Алекс
у меня так: никаких *.exe и *.bin нету антивирус не находит страницу генератора не грузит. К тому же целый день уж стоит и не проходит. Скажите что делать
Алекс
к тому же я могу зайти только как гость и (если что) код, который отправить надо: 4149469949
Дмитрий
Перенес генератор в пост, дабы не лазить лишний раз по ссылкам
SKY
Я сегодня тоже подхватил этот "трипер" Отправьте мол смс!!!Мучался долго,включал ,перезагружал все безполезно.Через пару часов решил снова включить....комп загрузился без проблем!!!! Моментально запустил антивирусник Доктора Веб., был поражен файл c:\windows\sysnem32\drivers вирусом tROJAN.NT ROOTKIT.1601 Вирус удалил,все нормально сразу заработало.Спасибо очень хорошему человеку который дал мне эту ссылочьку на этот сайт!!!
Алекс
Словил недавно эту ерунду. Я ребятам, кто сделал этот Кейген памятник поставлю когда денег будет много.:) пасибо от всей души. Помогло.
gsp
Значит так. Словил. Блокеров ни где не было. Реестр C:\WINDOWS\system32\userinit.exe, был в порядке. Приглашение на смс через двачаса пропало. Прикаждой перезагрузке дрвеб находил donB.tmp, который удалялся...до следующей загрузки. Был отловлен автозагружающийся процесс и файлик services.exe, находящийся(ВНИМАНИЕ!) C:\WINDOWS\services.exe. При удалении его автозагрузки через Startup Extractor он тут же помещал сам себя обратно в автозагрузку....Процесс был остановлен через Windows Defender, затем грохнут физически, и автозагрузка удалена через Startup Extractor... ВНИМАНИЕ! Файл services.exe, который находится C:\WINDOWS\system32и и процесс, связанный с ним ПРАВИЛЬНЫЙ, его удалять НЕЛЬЗЯ!
После этого возникла непонятка с виндовым брандмауэром (SP2). наверняка ни кто не обращает внимание. поэтому посмотрите.Я никак не мог его включить, т.к. кнопки были неактивны. Помогло вот это :
"Чтобы полностью убрать надпись и восстановить управление брандмауэром в windows XP Home надо в реестре раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
полностью удалить.
Видимо вирус просто добавил указанную ветку в реестр, вырубив тем самым брандмауэр."
Видимо вирь постоянно модифицируется.
Что интересно, хватанул неизвестно как, просто запустил браузер (Опера), никаких мр3 и ехе не нажимал....
gsp
ЗЫ Обезательно провепяйте все папки TEMP, указанные ранее. Туда тоже занесло (у меня в C:\WINDOWS\Temp)
.....Во блин как нагнуло 😳 Давненько я так не попадал 😠
Trash
Где его скачать то можно или подцепить?
GreenCloud
дада, мне вот тоже сильно интересно, где люди его нашли, хочу посмотреть.. расскажите в кратце кто и по каким порносайтам лазил)))
j
хм, а у друга я просто через безопасный режим загрузился, сделал откат на сутки(стандартным восстановлением системы) и никаких хвостов уже не видел, ни файликов блокеров, ни в реестре...
m_sha
только сегодня с таким столкнулся.
загрузился с загрузочного диска и нашел файлик:
C:\Doc&Set\maria\maria.exe
соответственно maria - имя учетки, и файлик так же обозвался.
рядом лежал он же, но с именем file.exe

переместил оба в другую папку - винда загрузилась нормально. потом уже нашел и стер в реестре автозапуск программки.

Достаточно тупая и слабоватая.
Но антивирусники в большинстве своем ее не замечают:
http://www.virustotal.com/ru/analisis/9a9a4a55b047a3ba386af89677f85071

Roman
у меня этот вирус был под названием nod5c.tmp и nod5c.bin в папке Windows/Temp
Наталия
У меня проблема я ввела код но ничего не вышло, что мне делать???
Сергей
К сожалению генератор от Dr. WEB мне НЕ помог! 😱

Вирусо-писатели изменили код! Остается только ручками в БЕЗОПАСНОМ режиме попробовать почистить автозагрузку, а потом провериться у Dr. WEB'а.

🙂

Foxter
Безопасный режим не помог. Вирь остался. (Слава Богу машина не моя)
Решение видимо и правда загружаться с LiveCD и искать эти злосчастные файлы. Правда исходя из комментариев - ума не приложу где они могут быть.
Сергей
Я установил время в BIOS на 6 часов вперед, комп нормально запустился. Этот вирус устанавливается на пару часов.

🍻

SiD Vinchester
Вот жеж блин! Я первый раз об этой штуке услышал от своего папы!:( он сказал что появилось окно с номером....типо"Отправьте смс... бла бла бла" ну он взял и отправил...:( 600 рублей сняли,тока так:))) сегодня опять столкнулся с этой штукой! видать она возникает через какой то промежуток времени! типо смс отправил, тебе допустим дают неделю а потом опять эта штука срабатывает...и блокирует винду!...:) хорошо что я залез в БЕЗОПАЧНЫЙ РЕЖИМ и Nod32 все на**р удалил! (я имею виду вирус 😊 )
Алекс
Да нод 4 тоже никаких подозрений не давал, а во всем виноваты баннеры с порнухой!!! Брат пытался сегодня посмотреть на ноуте что-то вышеописанное, при запросе установки кодека - нажал продолжить и установил блокировку... Сейчас с помощью LiveCD сканирую 😟 Пытаюсь так сказать исправить
Vendicator
Поставьте время в BIOS на день вперёд. После разблокировки, скачайте Dr.Web и прогоните его. Потом, смело можете удалять.

Да, ещё. Этот вирус, воплощающий весьма хитроумную задумку, обычно подхватывается (впрочем, как и другие) пользователями Internet Explorer илм людьми, качающими левый софт с левых сайтов.

Вывод: 1) ставьте Firefox; 2) качайте только то, чему можно доверять, и только оттуда, откуда качает большенство. (Официальные сайты авторов П/О)

Виктор
Молодец чувак который придумал такое!!!! Уважаю!!! А еще уважаю тех кто придумал порнуху на весь экран на любом сайте! Сразу видно извращенцев которые по порносайтам лазают! Еще и денег зарабатывают на извращенцах, молодцы чуваки!
Саша
Спасибо тебе товарищ!!! Респект и уважуха!!!!! Реальная помощь!!! А хотел винду сносить и заново ставить 😊 в итоге решили проблему за 2 минуты!!!
Niruksorp
ВНИМАНИЕ ТОТЖЕ ВИРУС СТАЛ НАЗЫВАТСЯ NOD32.DAT в Temp катологе профиля пользователя
makst0r
Есть еще одна разновидность вроде...все там же...nod69.tmp...в каталоге Temp...вир работает часа два...потом отрубается...магину не перезагружал...что будет, не знаю...но лучше антивиром прогнать...удачи всем..
P.S. Автору большое спасибо...
gsp
Vendicator, Виктор, ерунду говорите, первый про всякие мазилы (я на оперу хватанул), второй про порносайты (ко мне из сети залетело)...От сумы, тюрьмы и, добавлю, от виря не зарекайтесь, господа, поменьше гонора 😠 ...
Vendicator
Саша: не за что.

Niruksorp и makst0r: у меня самого вируса нет, но рискну предположить, что он генерирует имя файла либо тщательно продуманным механизмом, либо используя определённый набор слов. Конечно, существует вероятность, что авторы/соавторы просто изменяют в нём параметры каждые пять минут и скидывают в сеть, но для столь неординарного вируса, это было бы слишком просто.

gsp: Это статически доказанный факт. Если сравнить количество различных инфекций, которые подцепляют компьютеры пользователей Internet Explorer и Firefox, то будет видно, что инфекций через Firefox не более 10%. IE же легко уязвим практически в каждой версии. Opera тоже сравнительно уязвимый, к тому же без открытого исходного кода. Вирусы приходят и уходят, здравый смысл – остаётся. Гонор тут не причём, просто глупостей делать не надо.

Серега
Спасибо выручили!
gsp
Vendicator, т.е. иными словами ставь Firefox и спи спокойно& 😃 ....Научите людей, они поверят, потом как отмываться будете? Ваш гонор состоит в безапеляционности утверждения (в первом посте yf 'ne ntve). Во втором уже теплее, оказывается все таки 10%...ВНИМАНИЕ - 10 % от кого -от всех, кто ухватил вирус? Если этО имеется ввиду, то весьма вероятно, что от общего количества людей, смотрящих в инет через разнообразные браузеры, использующих Firefox значительно меньше, чем 10 %, и уж точно меньше чем использующих IE...
Vendicator
Пользователи броузера Firefox гораздо реже страдают от вирусов встроенных в сайты. Это факт. Совершенных броузеров нет, Firefox всего лишь безопаснее. Его используют, по разным данным, от 22% до 46% всех пользователей сети потому, что он надежнее и быстрее в эксплуатации. С технической точки зрения, он наиболее совместимый со стандартами.

Из личного опыта: за 5 лет работы с Firefox был только один подобный инцидент, два года тому назад. Для сравнения, с Internet Explorer’ом таких случаев было более 30.

Популярность Opera, при этом, всего от 0,5% до 2,5%. Отчасти это обусловлено тем, что он долгое время был trialware, а потом стал adware-ом, что в принципе недопустимо. Его движок медленнее Gecko, что не позволяет использовать его в полной мере на слабых компьютерах, которых в мире ещё много. Его разработка ведётся ограниченным коллективом, что делает его непривлекательным для сторонних программистов и бессмысленным для вебмастеров.

Дмитрий
Спасибо огромное!Уже 3 час ищу помощи в интернете про эту проблему!Сегодня на работе такая фигня случилась с сервером,хотя NOD 32 стоит 😟 Вы молодец!Завтра попробую все восстановить!С Пасхой Христовой!
gsp
Vendicator 😉
gsp
Vendicator,очень понравилось про зловредную Оперу, мол "trialware">"adware"...ерунда какая-то...
С сайта Каспера - "Adware - программы показа рекламы на компьютерах пользователей, часто такие программы входят в состав официально поставляемых продуктов, производители которого предоставляют условно бесплатные версии своего программного обеспечения (Gator и подобные)"
Никогда не являлся безумным фанатом Оперы, но НИКАКОГО ПОКАЗА РЕКЛАМЫ в ней никогда не было...Интересно с чего Вы это взяли?
Сначала этот браузер был (выражаясь по вашему) freeware, потом стал shareware, потом вернулся в freeware...
Вобщем какой-то некопенгаген получается 😃
Vendicator
Фома неверующий, вот статистика не "с одного из сайтов", а от фирмы анализирующей статистику, из одного очень популярного ресурса для вебмастеров.
http://marketshare.hitslink.com/browser-market-share.aspx?qprid=0
http://www.w3schools.com/browsers/browsers_stats.asp

Далее об Опера:
http://en.wikipedia.org/wiki/Opera_Browser#History
Цитирую . ". But version 5.0 (released in 2000) saw the end of this requirement. Instead, Opera became ad-sponsored, displaying advertisements to users who had not paid for it.[9] Later versions of Opera gave the user the choice of seeing banner ads or targeted text advertisements from Google.", т.е. с 5-ой по 8-ю там в нём содержался adware.

Согласно той же статье, она была trialware с начала и до версии 5.0.

Но я видимо Вас не убедил.
Возвращаясь к теме, уважаемый Дмитрий, описанный мною (и, по-моему, ещё одним человеком) способ борьбы с «проказой» WinLock – действует. Может Вы добавите его в Updates?

Дмитрий
gsp, Vendicator, вот вам средняя статистика за 3 месяца с моего блога

Opera 9 30.3%
Firefox 3 24.2%
Explorer 7 17.4%
Explorer 6 14.3%
Explorer 8 2.8%

остальные (гугл хром привет :)) меньше 2%, поэтому выкладывать думаю смысла нет.
Моё мнение - опера, ФФ - пофиг, главное не ИЕ! Особенно ИЕ6

POCTOB61
Огромное спасибо! Очень помогло!!! 😊
Venti
Сегодня столкнулся с этой проблемой, с http://news.drweb.com/show/?i=304&c=5 ключ не подошел
нашел заразу сдесь
c:\Documents and Settings\%USERNAME%\Local Settings\Temp\
unloker-ом грохнул процесс и удалил 3 файлика 😎
Berta
А как в BIOS время переводить ???
gsp
Berta, если не знаешь как в бивасе время переводить, мой тебе совет - не решай эту проблему через инет, найди знающего чела, который поможет физически.
vasko
После установки Security_preSP4_9.3.14.exe перестал запускаться редактор реестра, вернее, наверное пытается запуститься, но что его сразу закрывает. Кроме того не запускается ни один файл c названием autorun.exe - эффект тот же, сразу закрывается. Очень похоже, на то, что ссылка в UPD4 это тоже вирус.
Перед тем как устанавливать проверил обновленным антивирусом, он ничегоне нашел. :/
Julia
Я винду уже из-за етой хни 3-ий раз переустанавливаю...надо попробовать ваши методы:)
Валентин
Тоже схватил вирус. Часа три назад. Хотел обновить GreenBrowser. Когда шла загрузка то через сек. 10 вылезло окно "отправь смс итд.". Перезагрузился в безопасный, скопировал все себе необход., думаю дай с тел. зайду в инет, почитаю, может кто сталкивался с такой фигней, хотя прошло минут 30 не больше, я вышел с безопасного, перезагрузился окна ни какого уже не было, может сам удалился не знаю, blocker.bin и blocker.exe я не нашел, папки темпы почистил, GreenBrowser еще раз обновил и он обновился нормально на новую версию. Получается не чего не делал. Антивирусником не пользуюсь.
Vendicator
Дмитрий: молодец.

Berta:
1). Выключите компьютер.
2) Затем включите, и как увидите первые надписи (заставку BIOS или логотип фирмы производителя материнской платы), жмите DEL (или то, что сказано жать для входа в Setup).
3) Войдя в Setup, выберите первый пункт меню, нажмите Enter.
4) Далее, Вы должны увидеть текущие дату и время. Стрелочками на клавиатуре, выберите то, что хотите изменить (например, дату) и введите её.
5) После того, как вы изменили дату, нажмите ESC один раз.
6) Теперь выберите пункт меню с названием вроде “Save changes & Exit” (или нажмите F10).

vasko: Маловероятно, конечно, хотя с другой стороны, это именно то, о чём шла речь выше: это обновления от Microsoft, следовательно, и скачивать их лучше с их серверов (прямо или через Windows Update).

Ильдар
У меня наверно модифицированная эта хрень просит отправить смс t767062004 на номер 3649 только экран весь черный а не как на скрине
Vendicator
Ильдар: у одного моего знакомого он тоже черный. Перевод даты сработал, при следующей загрузке появилось это окно, но тут же само исчезло. Работает ли это у Вас?
gsp
Vendicator, человек не знает как время переводить, значит с бивосом дела ни когда не имел, ща залезет, накрутит, и вообще комп положит...Поедешь к нему ремонтировать?
Vendicator
gsp: С чего Вы взяли, что он не умеет переводить время? Да и потом, если будет строго действовать по инструкции, т.е. менять только дату/время, то ничего не положит. Что касается ремонта - если он действительно накроет своё компьютер, и даже по телефону это нельзя будет исправить, то да, поеду. Почему не помочь человеку?
gsp
Vendicator, "....если он действительно накроет своё компьютер, и даже по телефону это нельзя будет исправить, то да, поеду. Почему не помочь человеку?" 😊
Vendicator
gsp: Просто я помню, как 15 лет назад ко мне приходил один парень. Каждую неделю я ему звонил потому, что что-то не работало или я что-то "случайно" удалял. А он приходил и чинил это. Если бы не он, думаю, я бы разочаровался в компьютерах как таковых, и увлекся бы чем-то другим...
Игорь
Спасибо, никогда не думал,а попался тоже.
Слава богу,не стал переустанавливать,ведать уберег.
Андрей
вот буквально только что вылечил эту фигню... испробовал много способов нифига не помогало...

короче все просто.. т.к. эта дрянь и в безопастном режиме грузится, то выход следующий. - грузимся в безопастном режиме..
злорадно наблюдаем эту хрень в последний раз..!! комбинациями клавишь пытаемся в слепую (на память) запустить какие-нибудь процессы.. дале делаем все быстро.. - нажимаем на системнике кнопку повер и сразу же методично жмем esc!!! комп не сможет перезагрузиться из-за процессов.. хрень дохнет, а раб стол оживает.. стартим антивируску и се!!! удачи!!

Mitiai727
а как это г..но убрать если система одна 😢
dr.Zyon
Зашел из под bios - а сменил время... вирь сам себя убил
Татьяна
Здравствуйте! Несколько дней назад я тоже словила эту фигню, получила код http://news.drweb.com/show/?i=304&c=5,в общем избавилась от вируса, но нетбук стал себя странно вести: сначала не выключался, потом выдавал сообщение, что система восстановлена после серьёзной ошибки, потом появлялся синий экран с белым шрифтом, который не успеваешь прочитать и перезагружался.Сейчас проверила на вирусы и вот результат:[img]http://foto.mail.ru/cgi-bin/photo/editphoto?id=58&album=57[/img]
Мой вопрос состоит в том, что делать с этими файлами, я так понимаю, что удалять их нельзя. И ошибиться с решением не допустимо, так как у меня нетбук ,а в нем нет CD-ROMа и я не знаю как в случае чего установить Windows XP. Подскажите пожалуйста, что сделать с минимальными потерями!
Татьяна
Извените, не получилось вставить скришот!
Сергей
Татьяна, а флэшку моно в твой нетбук включать? А в биосе нетбука моно сказать - загружаться с флэшки?
Сейчас есть недорогие флэшки 1-2 Гб и туда моно залить дистрибутив Windows и если чё восстанавливаться с флэшки! Удачи!

🙂

Сергей
Татьяна, а если для тебя потеря оболочки на нетбуке - смерти подобно, то нужно делать бекап оболочки на флэшку. Есть проги и одна из них "Acronis true image - rus".

А по теме - так везде пишут, что ЭТОТ вирус ничего плохого, кроме вымогательства денег, не делает и убивает себя через 2 часа! Значит у тебя был ещё какой-то вирус, а может и не один. Нужно предохраняться при выходе в интернет - КИС2009 неплохо это делает, но только не с настройками по умолчанию! Его нужно настраивать, чтоб всю заразу лечил, а неизлечимую удалял БЕЗ ЗАПРОСА - АВТОМАТОМ!
Вот и все ответы на твои вопросы.

🍻

Татьяна
Спасибо за ответы,скажу честно,в биос ещё не смотрела,т.к. купила 2 недели назад.Флешку,конечно, включать можно, но она ведь должна быть какая-нибудь загрузочная или образ,а я не знаю как это сделать.А Windows стоит лицензионный и терять его не хочется.Сергей, а Вы скриншот видели? Что делать с этими файлами?Спасибо!
Vendicator
Андрей: у моих знакомых, вход в Защищённый режим не осуществлялся – система просто висла.

Татьяна: да, действительно, как говорит Сергей, сделать Резервную копию необходимо. Но поскольку в ней уже есть проблемы, то я не вижу в этом особого смысла. Я бы сделал так:
1) Проверить всю машину антивирусом;
2) Запустить командную строку и выполнить: sfc /scannow ;
3) Запустить обновление системы и скачать все необходимые (т.е. Важные и Рекомендованные, кроме драйверов).
4) Перезагрузить компьютер.
5) Если проблема исчезла – хорошо, если нет – пишите.

Татьяна
Vendicator, А как Вы считаете McAfee достаточно хорошо проверяет?А как можно здесь выложить скриншот?
gsp
Татьяна, а нетбук какой? Обычно на них (напр на MCI Wind U90-100 и Lenovo S9-10), да и на просто ноутбуках, есть фунция восстановления системы со скрытого раздела жесткого диска, на котором записан образ системный рекавери (дистрибутив) диск...Просто при начале загрузки жмешь на кнопочку (напр. F3 на MCI или OKR на Lenovo)- и вуаля, нулевая заводская система 😉 ....
Татьяна
gsp Нетбук Acer Aspire one .При первом запуске пошла установка, но я не знаю как её запустить, например, из биоса, где находится установочный файл....
Татьяна
gsp, Никакого описания в руководстве нет.
gsp
Татьяна, все ремонтируется, глянь http://4pda.ru/forum/index.php?showtopic=101651 , пост от 5.12.2008, 12:34, раздел "2. Все о Windows и Linpus на Acer Aspire One" , ссылка "Как можно восстановить систему до ее заводского состояния со всеми драйверами и программками?"
Удачи 😊
Татьяна
gsp, Спасибо большое, пошла, не буду больше Вас мучать.....
gsp
Татьяна, отпишись потом, удалось ли восстановить систему?
Татьяна
gsp, Спасибо огромное за обалденную ссылку и за участие!!!
Татьяна
gsp, Я сделала как посоветовал Vendicator
1) Проверить всю машину антивирусом;
2) Запустить командную строку и выполнить: sfc /scannow ;
3) Запустить обновление системы и скачать все необходимые (т.е. Важные и Рекомендованные, кроме драйверов).
4) Перезагрузить компьютер.
5) Если проблема исчезла – хорошо, если нет – пишите.
Пока все работает нормально,все это время сижу с нетбука, только остался вопрос с файлами, которые нашел и поместил на карантин McAfee. И после sfc /scannow ничего не высветилось,значит, все нормально?
Но стало значительно спокойнее после прочтения Вашей ссылки,т.к. теперь знаю куда обратиться за информацией,там очень хорошо все расписано. Пока радикальных действий производить не буду, посмотрю, что будет дальше, в сучае чего отпишусь.Спасибо!
Дмитрий
Татьяна, те файлы, что на карантине у McAfee желательно всё же удалить. И сменить его на другой антивирус. Касперский или ДокторВеб. McAfee у вас установился автоматически так как по соглашению с производителем распространяется на новых ПК и ноутубуках/нетбуках.
Кстати, обратите внимание, что поставляется он в пробной версии на 30 или 60 дней.
Vendicator
Татьяна: я считаю, что нет. Один из вариантов - F-Secure + Kaspersky, но это громоздко, да и есть вероятность, что будет подтормаживать систему.

Оптимально - NOD32 (версии 3 и выше) + какой-нибудь из Anti-Rootkit’ов, Root Kit Unhooker если ОС XP или ниже, Root Kit Revealer если Vista или Выше. Впрочем, это не обязательно.

В идеале ещё отдельный Anti-Spyware, например тот же Spybot-S&D.

Но, если речь идёт именно о трояне WinLock, то, судя по комментарием других людей, стоит попробовать старый добрый Dr.Web.

Еслит после выполнения sfc ошибок не обнаружено (т.е. не было сообщений о нарушении целостности), значит, проблем быть не должно. По крайне мере, системные файлы не повреждены.

Файлы из карантина, если они конечно ненужные (т.е. не инфицированный Word-документ с работой всей Вашей жизни) конечно лучше удалять. Правда сами они оттуда вряд ли вырвутся, да и вирусы которые «ищут других и воскрешают их» мне не известны, но чем чёрт не шутит…

Кстати, Христос Воскрес!

gsp: оперативно работаете. 😊

Юля
Подскажите пожалуйста,что делать если код не подходит?И что произойдёт по истечении времени?
DenverD
Появилась новая разновидность пример таков
windows заблокирован
для разблокировки необходимо отправить sms с текстом
t7010620006 на номер 3649
введите полученный код
Все это на черном фоне....
Дак вот старые методы не помогут изменилось и название файла и расширение и место нахождение...
Для избавления такой фигни грузимся с LiveCD и полностью чистим папки
c:\Documents and Settings\*имя пользователя*\Local Settings\Temp\
и
c:\Documents and Settings\*имя пользователя*\Local Settings\Temporary Internet Files\
и после перезагружаем
потом заходим
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
находим там "Userinit"
и оставляем только "C:\\WINDOWS\\system32\\userinit.exe" без ковычек естественно
И меньше по порносайтам лазайте...
Сергей
Вчера вечером тоже подцепил эту дрянь только у меня наверное модифицированная версия т.к. экран черный и пишет, что осталось 3 часа. Времени вчера разбираться не было поэтому поменял дату на всякий случай на день назад. Подскажите как его лечить точно также? Если перевести время вперед это поможет?
DenverD
А что касается антивируса пользуюсь KIS8 никаких тормозов и проблем с ним на современных машинах нет и не надо меня переубеждать, ловит все что лезет хоть откуда... Да и в основном те кто такую хрень ловил сидели на других антивирусах, только один умелец с KAV8 словил, и то из-за того что разрешил ругавшемуся касперскому установить подозрительное ПО...
DenverD
Ребята при чем тут время, вот если удалось временем зайти под винду дак в чем же у вас проблема, делайте как я описал выше особое внимание уделите строчке в реестре если не знаете как туда попасть то вот
Пуск-->выполнить-->regedit
И смотрите ту строчку что я вам показал
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Там должно быть только C:\\WINDOWS\\system32\\userinit.exe при чем у всех одинаково
И почитите папки темпа тоже описанно выше, да и вообще в этой ветке реестра указанно где сидит тот файл что вам нужен... Вот и мочите его нах...
Дмитрий
полностью согласен с DenverDом
DenverD
http://habrahabr.ru/blogs/i_am_clever/56923/
Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей...
Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
Ну вот давайте дерзайте робяты все для вас...
Сергей
Время назад поменял в Биусе. Ранее писали, что если время поставить вперед то вирус сам себя убьет! Вопрос такой если в модификации как у меня (экран черный и пишет, что осталось 3 часа)если в биусе поменять время вперед вирус сам себя убьет?
Дима
Спасибо, братишки!!! Очень помогли!!!
Эту гадость словил, ища фильм в инете... Не скачивал ничего, просто видимо загрузилась какая-то страничка, Symantec AntiVirus успел выдать сообщение и через секунд 5, пока я переваривал происходящее вылезла "WINDOWS заблокирован, ля-ля-ля... СМС..." и отсчет времени по убывающей (с 02.59.59). Отключил, вытащил батарею из компа (ноутбук)... С утра залез в инет со старого стационарного компа и нашел вас! 😉 ).
Теперь проверяю по полной им же...
Всем удачи! Спасибо!
Сергей
Дима! А экран в твоей версии вируса был черный?
DenverD
Сергей,
Что ты волнуешься так тебе черный экран это только разновидность, одного и того же вируса и ведут они себя совершенно одинаково, ничем этот вирус не опасен а только создает проблемы читай выше что я писал и делай так же...
Дима
Да, Сереж!
При выключении через кнопку "включения" (у ноута) На пару секунд появлялся мой (нормальный) рабочий стол, и все...
DenverD
Кстати для прикола этот вирь в последние несколько минут на форуме выложили, и говорят пойман на порно сайте просил скачать видео кодек для просмотра видео... Могу выложить для прикола людям... 😃
Сергей
DenverD да я не волнуюсь вирус друг подцепил (он волнуется 😃 ) а я хочу потратить как можно меньше времени, что бы его восстановить и мне совсем не хочется тратить время на переустановку винды и диск загрузочный не хочу создавать все это время. Если бы сам подцепил другое дело!
Дима
А может Сереж твой друг подождет как я 😃 и само пройдет? А потом, когда включится нормально - убить вируса? Хотя не уверен...
DenverD
Сергей,
Тогда повторюсь специально для тебя
http://habrahabr.ru/blogs/i_am_clever/56923/
Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей...
Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
строчку находишь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре C:\\WINDOWS\\system32\\userinit.exe и проблем как ни бывало...
При таком случае никаких переустановок и Live CD не требуется
Сергей
Дима! Я так и хочу сделать просто я ему сказал что бы он дату на день назад в биосе поменял вот я и выбираю по какому пути пойти. Попробовать как ты время вперед поставить или пойти по пути как предлагает DenverD. Просто друг боится что у него особая разновидность вируса (черный экран и время идет) вдруг все сотрет! Волнуется!
DenverD
Сергей,
Пусть не волнуется ничего не сотрется, а чтоб не волноваться лучше по моему пути пойти, а то если вперед время переведет включит а там 0:00:00 вот тогда у него очко больше заиграет 8))))))) 😃
Дима
😃 Ладно! Удачи вам, ребят!
Лина
У меня разновидность с чёрным экранчиком вчера образовалась.
Со второго ноута зашла в инет, нашла эту ссылку.
Прочитав всё, попробовала в биосе изменить дату на сутки вперёд. Загрузилось. Потом поменяла дату на сутки назад. Опять загрузилось. Вроде работает.
Дмитрий
DenverD, пусть не волнуется. 😃
Лина, в любом случае - проверьтесь антивирусом
Лина
Дмитрий, Nod32 со свежими базами после манипуляций со временем ничего не нашёл.
Попробую ещё вариант с реестрами и темпами, который предложил DenverD.
Маша
У меня на ноуте такая же хрень!Я не знеаю как с нею справится командной строки нет DOCа нет!!Не могу войти в систему чтобы установить Д.Веб, и удалить файлы.Геннератор не подходит!Помогите!
DenverD
А гениратор поможет только в том случае если окошко как тут вверху темы, а новый вирь где чисто черное окно с Белыми буквами нужно другими способами мочить, как к примеру я выше описывал...
pro1ix
Всем доброго время суток!!! У меня такая проблема: Вирус тоже просит послать смс, есть номер, есть текст смс, есть строка ввода кода активации,но идет время отсчет от 3х часов, после того как пройдет 3 часа заходит в винду и через некоторое время происходит все заного...! bloker'ов нету, эта программа для генерации кода не помогла (кста код начинается на "t", весь код не помню) и что самое страшное форматирование не помогло!!! Антивирусники ничего не находят - пробовал нод и др.вэб(базы новые)!!! Может ктонибудь мне поможет плз... 😳
DenveD
pro1ix,
Вы ребят читать ваще не умеете чтоли... Читай выше что писал я и так и делай...
Сергей
DenverD, способ через shift может помочь не всегда на некоторых версиях виндос он просто не срабатывает или как у меня при нажатие на Печать "раздела" выскакивает следующая ошибка "Не удается изменить параметры настройки принтера. Проверьте их правильность с помощью панели управления. (160)"
pro1ix
sorry... спасибо огромное!!! И всетаки если я очищу все тэмпы и в ресторе удалю все кроме той строки, точно все заработает?
DenveD
Сергей,
Это был альтернативный вариан, для тех у кого свойства принтера это позволяют, если он вообще имеется.
Я же описывал еще один способ через любой LiveCD заходишь и чистишь TEMP папки, потом спокойно грузишься и чистишь ветку реестра
pro1ix,
Кроме какой строки и какого рестор ты имеешь ввиду, я вообще то про реестр говорил, и ничего удалять не надо надо просто эту строку поправить..
pro1ix
DenveD
Все, спасбо, теперь все понял! Сейчас пойду пробовать!
Алина
У меня такая фигня буквально минут 50-60 назад была.....Я и через Биос пыталась-фигня,перевод даты и время не помог!!!Мне просто надоело ждать и я просто переустановила Винду,и теперь все нормально работает 😃
Сергей
DenveD У меня такой вопрос а ПУСК+R или ПУСК+E не помогает? вирусня тоже блокирует?
Прокси
была такая же хрень, только с таймером, тип через 3 часа комп взорвётся, перевел время в биосе на три часа, эта хренота исчезла 😁
Vendicator
Юля: В принципе, ничего не должно произойти. Это вирус-вымогатель, а не вирус-разрушитель. По крайне мере, так говорят…

DenverD: Вы не могли бы закачать его куда-нибудь и скинуть ссылку? Очень интересно посмотреть на этого зверя. И Вы абсолютно правы, Kaspersky один из лучших. Однако, по моим оценкам, на то, чтобы проверить всю систему у него уходит в два раза больше времени. Об NTFS Streams вообще молчу…

Сергей: Лечение известное мне: изменить дату, загрузится и просканировать антивирусом (рекомендуют Dr.Web). И да, у моих знакомых был именно чёрный экран и перевод времени – помог. После загрузки и чистки Dr.Web, проблемы больше нет.

Лина: Видимо это защита от поимки – он удаляет себя через определённое время. Что касается проверок, то ещё очень неплохо прогнать компьютер через Online-версию BitDefender: http://quickscan.bitdefender.com/

Маша: войдите в BIOS, поменяйте дату на день вперёд.

Алина: странно, что не помог. Либо это «прелесть» новой версии, либо, возможно, Вы что-то не так сделали.

DenveD
Vendicator,
Как просили
http://letitbit.net/download/6b6acc04db3fa85/xvidDecoder60.rar.html
Тут первая версия как раз та что в самом начале темы, лечится генератором от Dr.Web Или сменой даты в BIOS...
Крайне не советую качать и темболее открывать неопытным, даже ради любопытства...
DenveD
Забыл сказать пароль к архиву ru-board
Vendicator
DenveD: Благодарю. 😎 Кстати, NOD32 сразу определил как «Win32/TrojanDropper.Agent.NYM Trojan», из чего можно сделать вывод, что он «уже» лечится не только Dr.Web
DenveD
Vendicator,
А касперский у меня этот вирус вообще без суда и следствия грохнул... Даже распаковать не успел... 😃
Denwin
и всё таки генератор помог. правдо незнаю потом куда этот вирус делся но по кайне мере больше не всплывал. 😊
Сергей
а у меня время прошло и комп опять заработал вроде пока нормально 😃
vlad
появилась новая версия. файлов блокер.ехе и блокер.бин в новой версии нет...
vlad
вот сейчас пробую его антивирусом удалить
gsp
Алексей, vlad, прежде чем писать в тему И ЧЕГО-ТО ДЕЛАТЬ прочитали бы СНАЧАЛА ШАПКУ, а потом ТЕМУ!
vlad
gsp, извиняюсь, просто где то неделю назад я лечился от именно этой версии и читал про вирус именно тут, тогда я просто с лайвсиди загрузился, удалил эти два файла, и проверил систему антивирусом. А сейчас снова тоже самое (но в новой оболочки).
в общем вопрос: генератор кодов для всех версий подходит или только для этой?
gsp
vlad, просто уже в теме неоднократно писалось, что вирь модифицируется и блокеров не оставляет. Появляются другие файлы. Вобщем советую, отмотай пяток страниц и почитай - перестановка даты в бивасе рулит, потом антивирем темпы чисть, потом полный скан, реестр проверяй, вобщем все описано.
Вячеслав
Спасибо огромное. Рад, что есть хорошие люди на Земле. Спасибо за инфу.
Вячеслав
😃
Xaero
У нас тут такая же беда! только экран черный и часы тикают отчитывают 3 часа, код просят прислать начинающийся на букву t поэтому генератор не помогает, проверил drweb и avast не помогают, время в биосе отматывал ноль емоций только таймер заново начинается, подцепил hdd к другому компу поискал blocker нету таких файлов! ЧТО ДЕЛАТЬ???
Алексей
Подскажите, как установить сервис пак 4 на винду?
Заранее спасибо.
Дмитрий
Xaero, время наоборот нужно вперед перевести. Затем удалить всё из папок, указанных в посте и проверить ветку в реестре, которая указана в первом комментарии.

Алексей, неужели тут трудности могут быть? скачиваете файл, запускаете, он сам всё сделает. 😃

Верочек
Я тож поймала вчера эту фигнюху...блиннн...поменяла время на компе и зашла нормуль в комп...тока вот Nod32 терь совсем не работает 😃 ...вот зараза какая это)) ниче прорвемся, вылечим
Евгений.
Не знаю, может так совпало случайно... Но я как раз собирался систему переустанавливать, всё попереносил с диска C на D, давно тянул с переустановкой, а тут раз - и фигня такая вылезает. Чёрный экран и часики тикают. Причём когда этот бред вылез, сидел только на сайте vkontakte.ru, так что есть подозрение, что именно с него этот вирусняк попёр. В моём случае проблема решилась переустановкой винды.. Отформатировал винт и поставил систему заново (думаю, для многих - не решение). Так что для меня пока только вывод - не хранить на C ничего такого, что бы нельзя было удалить.
Xaero
Дмитрий, я и так пробовал переводить вперед и на день и на 20 лет, не помогло а в указаной папке нет файлов только папки программ
Mehan1k
CgСпасибо афтару 😎
жертва
у меня просто файл был в виде джава скрипта blocker.js удалил его и все норм щас )))
Никита
А-а-а, люди помогите! 😟 Видимо мне попалась новая версия этого вируса - экран черный, но центральная часть с текстом о том что необходимо активировать виндоус красная, время не тикает... ни генератор, ни переустановка времени в Биосе не помогает... что делать? Винду переустанавливать не реально, копм офисный, куча проблем с наладкой сетей и сетевых программ в последствии...Помогите!!!
Дмитрий
Никита, качайте лайвсиди и с него загрузившись проверьте систему
АНтон
бесполезно... вирус модифицировали. теперь красное окошко на черном фоне. Загрузился с лайв сиди, прошел последним куреитом, расшарил диск С, с соседнего компа просканил последним каспом весь "С", регедит не работает, в мсконфиг ничего подозрительного. файликов вышеописанных нету. ЖЕСТЬ! уже мучаюсь 2 часа. Комп включенный с самого утра... никакого таймера внизу нет.
dmc
попробовал все что можно!!!
ни колюч не проходит, через без режим не работает, только без режим с командной строкой, но файлы эти нельзя найти ни блокер ини ни блокер ехе!!!
что делать то?
Doberman
Сталкнулся с такой проблемой сегодня 😊 Другие способы не пробовал, так что дерзайте !!! 😜 🍻
pro1ix
Походу дела у этого вуруса много дырок!!! Я еще впалил такую систему:(я насчет вида где чегный экран, белые буквы и время идет!) включил комп, пошло время, просто дождался пока оно пройдет не выключая комп! винда загрузилась и больше не повторяется эта хрень, вот уже как сутки прошли пока все норм...:)
pro1ix
А раньше когда выключал проходило 3 часа заходил в винду но через некоторое время опять все повторялось! мне даже форматирование не помогло!
1
userinit системный файл, при его удалении система не будет работать! Он отвечает за вход в пользователя, нет файла userinit.exe нет и пользователя...
Doberman
Совесем забыл
проделайте это:
regedit (Редактор реестра)
Там найдите вот Это:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon измените значение параметра "Userinit" с
"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPL
IC~1\\blocker.exe" (может быть немного другое значение на конце например как у меня don5D.tmp) все удалите оставьте только "C:\\WINDOWS\\system32\\userinit.exe"

в поиске набрал этот файл don5D.tmp значения в инете не нашёл, выдал 2 файла с таким началом убил их и спокойно перегрузился
Всё прошло 🙂

(1)life
--==РЭСПЭКТ==--
fim75
у меня такая беда то же была,но только после установки программы "Ускоритель TCP/IP",там содержался такой файл " booster demo.exe",вылечил так же life CD и поиском файлов boosrer?gjckt удаления всех с таким названием комп запустился нормально.
Sterh
У меня на домаш пок ничего небыло,
а в офисе вылетела эта хр.и хз.
я забил и домой пошол, на утро как и небыло!
😳
roman
Тока сеня поймал вирус,черный экран,красная рамка,че удалить я понял, а как войти в комп,если оно сразу выскакивает?
Виталий
Помогите пожалуйста!
пришел сегодня к соседу. Рассказывает аналогичную историю.
только теперь комп не загружается.
В биосе время менял вперед - не работает.
В безопасном режиме грузится до момента черного экрана и надписей на нем Безопасный режим - но дальше ничего. ни иконок, ни реакции на клавиатуру, ни даже Ctrl+Alt+Del

Есть предложения? 😢

Сейчас качаю Лайв СД - завтра наведаюсь к соседям - попробую еще таким методом.

Виталий
Помогите плиз!

(прочитал весь форум)

Сегодня пришел к соседу - аналогичная история.

Только немного видоизменена:
комп теперь загружается в любом режиме до ПОЛНОСТЬЮ ЧЕРНОГО ЭКРАНА - без каких-либо иконок на нем. и не реагирует на клавиатуру даже на Ctrl+Alt+Del (вообщем я бы сказал "не загружается" - хотя даже в Безопасном режиме я вижу надписи по бокам сверху и снизу "Безопасный режим"
перевод времени вперед - не привел к желаемому результату.
сейчас качаю лайв сд и завтра попробую им.
есть какие либо комментарии по моему случаю?
Заранее благодарю

SMM
толкнулся с такой же проблемой, решение таково:
>жмем "Windows" + "U", вылезает "Диспетчер служебных программ",
>>нажимаем кнопку "справка", вылезает окно справки,
>>>в "параметрах" выбираем пункт "параметры интернета", вылезают "свойства обозревателя",
>>>>в разделе "временные файлы Интернета" жмем кнопку "параметры",
>>>>>и наконец-то жмем кнопку "просмотр файлов или объектов"
>>>>>>открывается проводник, что дает возможность запустить "Диспетчер задач Windows" и завершить процесс вируса и удалить вышеуказанные файлы.

все манипуляции сводятся к запуску "Диспетчера задач Windows"
быстро и не сложно 😎

Виталий
SMM, Спасибо! завтра обязательно попробую с этого! 😃
roman
Люди!!!!!!!Я все понял,но как зайти в комп,если окно висит?
new
SMM, только у меня диспетчер задач не запускается
обновленная версия??
и как теперь быть)
Portugalec
DenverD

Тогда повторюсь специально для тебя
http://habrahabr.ru/blogs/i_am_clever/56923/
Вот почитайте кто у нас такой же Шерлок Хомс круто сделанно и давольно просто для вользователей...
Это я к тому как можно почистить папки нужные а так же зайти в regedit? который находится c:\WINDOWS\system32\regedt32.exe
строчку находишь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
находим там "Userinit" и там же вы поймете что за гадкий файл вам мозги пудрит, удалите его оставите стандартную ветку в реестре C:\\WINDOWS\\system32\\userinit.exe и проблем как ни бывало...
При таком случае никаких переустановок и Live CD не требуется

Не открывается regedt32.exe (((((( 😢

Дмитрий
Portugalec, возможно вирус стал блокировать запуск regedit.
Если уже совсем пипец и ничего не помогает я бы попробовал так:
Скачать на другом компе CureIt и LiveCD
Попробовать загрузиться как писал SMM. Добраться до проводника и запустить CureIt. Возможно он снесёт процесс вируса и тогда можно будет спокойно вылечиться.
Если б не помогло - попробовал бы загрузиться с LiveCD, еще раз просканировать системный диск, снести всё в Темпах, а так же перенести нужные файлы на другой раздел/флешку (там файловый менеджер на Far похож :)) Еще раз перезагрузиться - если не спасло - диск с виндой в привод - и формат ц:\
А после установки - ко мне на сайт - качать пресп4 и ставить антивирус+браузер(оперу или ФФ)
Павел
Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше 😃

у мну немного другое написало. номер отправки смс тот же, а текст смс(внимание) :k2591620000 при перезагрузке иногда показывал :k2590620000 и др варианты тоже
я бы фотку скинул экрана, но на ночь глядя не охото заморачиваться. blocker.bin и blocker.exe не обнаружил в компе. пришлось сносить винду, но этот вирь не пускал, то харда не видать, то рестарт каждые 3 минуты.
короч, еси кому будет интреслинт - то пишите мну.
всем удачи и будьте осторожны

Vendicator
Есть предположение, что вирус распространяется по сети Vkontakte.ru. Делать выводы о том, почему, я, пожалуй, не буду. Скажу только, что сам по себе он довольно простой. Та версия, которую мне любезно предоставил DenveD, даже не зашифрована.

Вот небольшое решение, что называется quick & dirty. Программа ждёт пока Вы не нажмёте F11, что Вы и делайте, как увидите присловутый экран.

http://webfile.ru/3432856
http://rapidshare.com/files/224214267/Vendicator.zip.html
http://letitbit.net/download/2303fa43f0/Vendicator.zip.html
http://www.megaupload.com/?d=PS7ZRTFM

Принцип работы: по нажатию на клавишу F11, программа определяет верхнее (или переднее) окно, которое в данном случае должно принадлежать вирусу, а затем убивает процесс, который его породил.
Примечания: я не тестировал её на самом вирусе, гарантий не даю, теоретически должно сработать.

Vendicator
P.S. Это для тех, у кого вирус возникал более 1-го раза, кому лень скачивать livecd или тех, кто сможет её запустить (либо если у Вас включён AutoRun, либо если Вы можете сбросить её по сети на инфицированный компьютер и запустить).

Кстати, насколько я знаю, доступ к сети он не отрубает, т.е. если у Вас стоит что-то вроде VNC, это ещё один путь к спасению…

DenverD
Vendicator,
Ага я бы для такого случая действительно VNC или TeamViewer поставил, надо бы попробовать спасибо за интерестное предложение... Будет случай проверю на работе...

Что касается, самого вируса, не надо писать мол у меня ни так и никак не получается, человек что его "СОЗДАЛ" сидит и этот же форум читает... 😃 Поэтому ему раз плюнуть его модернизировать, и все таки самый лучший способ считаю через LiveCD загружаться чистить в первую очередь все TEMPы и вообщем все что не нужное и подозрительное, кстати удалять ничего не нужно если есть сомнения, достаточно просто переместить в другое место... Ну а уж после удачной загрузки Windows просто отредактировать реестр, это кстати единственное неизменное место которое никогда не переместится. А файлы исполняемые можно хоть как обозвать и хоть куда поместить, так что не пишите у меня так называется а у вас вот так, дак и что мне удалять...

Maxiros
сегодня уже черный фон посередине коасный квадрат и та же инструкция номер 3649 а текст K2590621000
Maxiros
все пересмотрел уже ни хрена не понятно ни чего не помогает всю ночь просидел и ничего
Maxiros
ну у меня правда вообще весело был доступ разбит еа двух пользователей, и с одного заходишь без проблем а второй заблокирован этим зверем
DenverD
Maxiros,
Дак и в чем же проблема тогда, заходи под одним и чисти ветку реестра...
DenverD
Maxiros,
И раз у тебя 2 пользователя то надо у обоих пользователей чистить TEMP
c:\Documents and Settings\"первый пользователь"\Local Settings\Temp\
c:\Documents and Settings\"первый пользователь"\Local Settings\Temporary Internet Files\
и
c:\Documents and Settings\"второй пользователь"\Local Settings\Temp\
c:\Documents and Settings\"второй пользователь"\Local Settings\Temporary Internet Files\
Думаю что поможет...
Как раз в том то и разница, почему с одного грузится а со второго нет потому что один только словил...
Maxiros
так он на того пользователя не пускает доступ закрыт
Maxiros
я с реестром проделал что предлагалось выше щас попрбую зайти
Vendicator
DenverD: Пожалуйста. 😊 Кстати, на счёт реестра, существует огромное количество мест, куда можно спрятать П/О в реестре, чтобы оно само запускалось с системой. Ещё больше, если время запуска не принципиально...

Не хочу нагонять на людей панику, но покуда выходят новые версии, высока вероятность эпидемии…

Остаётся только пассивная помощь и превентивные меры. Может не всем подойдёт, но стоит попробовать:

Поставьте себе защиту от записи, на раздел, на котором стоит Windows. Например SteadyState от Microsoft ( http://www.microsoft.com/windows/products/winfamily/sharedaccess/default.mspx ). При правильной настройкой, Вы сэкономите себе кучу нервов.

Если есть такая возможность, запускайте скаченное П/О в эмуляторе. Например VirtualBOX ( http://www.virtualbox.org/ ) от Sun. Поставьте в нём «голую» Windows с антивирусом, и изначально запускайте всё скаченное там.

Да, ещё, если он инфицирует пока только одного из пользователей (активного), то, может, имеет смысл просто создать второго? Так, на случай…

Portugalec
Добрался до возможности хоть как-то работать с буком с помощью совета Dobermanна 20 странице. Спасибо ОГРОМНОЕ !!!
Дальше скачал и запустил Curelt (Dr.Web). Обнаружено 5(!) Троянов и ещё два каких-то вирусняка.
Закрадываются смутные подозрения, что эту байду сами WebОВЦЫ и создали (кризис, конкуренция, всё такое). Выводы делаю исходя из того, что стоило мне только скачать на бук продукт Dr.Web (даже не запуская ещё его), бук перезагрузился в своём нормальном режиме (без чёрного экрана с красным квадратом). А уже потом я запустил паучка, который нашёл троянов... Вот так.

p.s. есть ихорошие новости... за весь вчерашний вечер, пол-ночи и утро, я стал настоящим специалистом в компьютере и в частности проблемы "Заблокирован Windows". Так что всем друзьям, кто обратится помогу без проблем ))) И всё это благодаря ВАМ ДРУЗЬЯ !!!

DenverD
Vendicator,
Спятать то можно, но чтоб в самом самом начале грузилось это только в лого впихивать иначе будут доступны многие функции винды для нейтрализации...Не зря же вредитель в лого сунулся, просто знает что оно в самом начале грузится, а к лого только одна строчка в реестре относится...
alfaFenix
Коммент № 204 написал SMM
толкнулся с такой же проблемой, решение таково:
>жмем "Windows" + "U", вылезает "Диспетчер служебных программ",
>>нажимаем кнопку "справка", вылезает окно справки,
>>>в "параметрах" выбираем пункт "параметры интернета", вылезают "свойства обозревателя",
>>>>в разделе "временные файлы Интернета" жмем кнопку "параметры",
>>>>>и наконец-то жмем кнопку "просмотр файлов или объектов"
>>>>>>открывается проводник, что дает возможность запустить "Диспетчер задач Windows" и завершить процесс вируса и удалить вышеуказанные файлы.

все манипуляции сводятся к запуску "Диспетчера задач Windows"
быстро и не сложно

Спасибо!!! Выручил, боролся с проблемой 6 часов и только после твоего комента победил!

Дмитрий
Vendicator, а еще самая главная защита - стать умнее самому! Запомнить что ускорителей интернета не бывает! Что не бывает программ-генераторов карт пополнения для сотовых операторов и прочей подобной лабуды.
Судя по тому, что за 12 дней этот пост просмотрели более 24000раз! можно говорить об эпидемии вируса.
Еще раз повторюсь - ставьте последние обновления и лицензионный антивирус!
И еще решение - для сёрфинга в интернете пользуйтесь учетной записью гостя или пользователя с пониженными правами.
bu2
Автору большое спасибо. Сейчас с вашей помощью по телефону разблокировал компьютер, благо незараженный компьютер с интернетом был рядом. 😊
Vendicator
DenverD: Можно инсталлировать его в качестве драйвера, убить систему восстановления, зашифровать файловую систему (не забыв выставить пароли на всех пользователей), отключить сеть, частично заблокировать клавиатуру, и т.д. и т.п.

Впрочем, я думаю, до этого не дойдёт. СМС-вымогательство не стоит таких усилий…

Дмитрий: Хорошие советы. 2,400 - это мало.

И я повторюсь: Firefox безопаснее Internet Explorer. Скачивайте П/О только с сайтов производителей или из более-менее проверенных архивов. При сомнениях, проверьте файл на одном из сайтов: http://www.virustotal.com , http://virusscan.jotti.org , http://quickscan.bitdefender.com .

Пострадавший
Версия с красным экраном
LiveCD от доктора веба не нашел
Были очищены все временные папки, после этого комп загрузился
в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Userinit ссылался на
c:\document\user\loacalsettings\temp\don72.tmp
видимо его удаление запустило систему
ВЫВОД для красной версии чистим временные папки
DenverD
Пострадавший,
Ну вот и я о том же, и вообще в хозяйстве всегда надо иметь LiveCD, лично у меня их штук 5, но самые часто используемый iNFR@ CD 5.5 (для слабых ПК) или iNFR@ CD 6.4. (для более новых), и конечно же надо всему учиться учиться и учиться... Тогда и проблем меньше будет возникать и денег меньше тратиться...
Вадик Нестеров
Молодцы! У меня был черный экран с белым текстом. Помог перевод времени вперед в БИОСЕ (после этого ЕсЕТ СМАРТ СЕкьюрити 4 не стал запускаться, писал - ошибка при обращении к ядру или что-то такое). После этого восстановление системы с точки восстановления месячной давности, до этого еще увидел в диспетчере задач в процессах подозрительный файл и удалил его (назывался z.exe, у меня имя пользователя z). Затем удалил/поставил Смарт Секьюрити 4 с последними базами, ничего не нашел!!! Было все 3 дня назад, до сих пор работает нормально. Еще после перевода времени в БИОСе ни открывался ни один текстовый файл, писал что нет доступа, сейчас все в норме!! 😃
3axap
Спасибо, сам еще не сталкнулся но люди жалуются.
Danich
Я эту блокировку снял через подпор ключа на сайте докторвеба, но файлов таких не нашол, и плюс ко всему, антивирь не запускаеться, и реестр тоже, и откат системы не работает.. вопсчем последствия никак убрать не могу(( мож кто подскажет?
Саня

зашол через др ос ненашол никаких blocker.bin и blocker.exe

помог только геренатор .

uruurumba
Спасибо Огромное! Этот гоп-стоп кто-то должен был остановить!
kolobam
Поборол вирус "с красным экраном" (как описано у вас -чистка директорий ...\temp + правка ветви реестра HKLM\...\userinit + CureIt от DrWeb, подключив диск на другой машине ). Все вроде бы хорошо,но Windows грузится "криво" - нет toolbar'а (внизу экрана), нельзя запустить explorer.exe, т.е. нет автозагрузки,главного меню, ... и тд. Хотя все программы могут быть найдены и запущены(использую Диспетчер задач->Новая задача->TotalCommander). Как (быстро) реанимировать Windows? LiveCD, к сожалению, не сделал,
Горец
Я подловил такую фигню. Бился целый час. Не нашел ни одной дыры. Некогда было разбираться ушел на работу. Рассказал о своей проблеме друзьям. Готовился во все оружия хотел восстановить образ. Но каким то странным образом эта штука исзчезла САМА СОБОЙ. включил клмп все работало. ЧТО ЭТО!!!!!
gsp
kolobam, посмотри мой пост на 8-й странице от 16.04.09 03:15, проверь у себя всЁ, что я там написал...Только смотри, не грохни services.exe, который находится C:\WINDOWS\system32.
Михаил
У меня похожий вирус только окошко не виндусовское, а красное. К тожу же я через LifeCD смотрел C:\Documents and Settings\All Users\Application Data там не было bloker.bin и bloker.exe Что делать? 😢
Дмитрий
kolobam, Пуск->Выполнить-> sfc.exe /scannow.
Эта команда выполнит проверку системных фалов. Будьте готовы вставить установочный диск с виндой. для пущей верности удалите папку system32\dllcache и запустите команду выше.
Дмитрий
Михаил, очистите содержимое временных папок. Обсуждалось уже в комментариях и не раз. 😊
piraruku
Сегодня боролся с такой штукой на висте. Черный экран, отсчет времени 3 часа. Файлов blocker.bin и blocker.exe нет. Перестановка времени вперед в bios результата не дает, кейген не помогает. Диспетчер задач запускается! Поправил в реестре HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon как описано выше - параметр Userinit имел такой вид: C:\Windows\system32\userinit.exe,\C:\users\%user%\Appdata\local\Temp\nod9130.tmp. Убрал ссылку на левый файл, перезагрузился, винда заработала, поставил nod32-4, просканировал, он назвал заразу "модифицированный win32/ransom.F троян" - два файла nod9130.tmp и nod912F.tmp, оба в вышеупомянутой папке temp.
Vlad
весь день провозился с этой бедой. пошел по пути описанному здесь http://habrahabr.ru/blogs/i_am_clever/56923/. удалось запустить NOD32, который после нескольки секунд прекращал работу и все гасло, запускал заново. вирус находил в винде в папке TEMP и никак не удалялся и каждый раз генерился новый. конечном счете вырезал эту папку из винды, перенес ее просто на диск С, а оттуда его удалил. потом при перезагрузки компа папка TEMP была создана автоматом. все работает ОК!
staz
пасибо!
загрузися с LiveCD(какая то мега сборка), проверил касперским 2009,
выцарапал кучу г..., но нефига не залечилось.
я уж крест на винде поставил...
теперь буду знать, еще раз огромное спасибо!
Portugalec
Для текста k2671621000 у меня подошел
ключ 10459646 УРА !!!

Дерзайте !!!!

Харли Квинн
большое спасибо.. помогло, а то отцовский комп рабочий подхватил, я вот мучалась)
Антон
а у меня таких файликов нет!сначала у меня была надпись на черном окне.убрал.теперь на крассном!!!есть варианты лечения
P.S. генератор не помагает
Джуд Лоу
У меня была разновидность с красным сообщением на черном фоне.
я сделал все как было написано на 20 странице Dоberman
и вечером у меня все загрузилось нормально, я успокоился, а с утра на рабочем столе исчезли значки и не работает справка в экранной лупе, а диспетчер задач работает.
Ни у кого такого не было? Подскажите что с этим делать.
В диспетчере нет процесса "explorer.exe", мне кажется, не работает изза этого. Как его запустить?
Roman
Огромное спасибо!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Tars
Загрузился с liveCD, указанные файлы не нашел... запустил скан - всю ночь работал и продолжает до сих пор. Что делать, когда скан закончится? можно перезагружаться и типа будет все ОК?
Дмитрий
Tars, антивирус покажет найденные выирусы. удалите их! Вручную очистите временные папки и перезагружайтесь
Миха
Люди помогите пишет такуюже ошибку и в вожу код который вылажен на сайте и всеравно пишит неправильный пароль
НикС
о нафлудил то! 😊
Vovs
Похоже, с заражённого компа пишет... 😉
Des
Черт, сосед нахватался где то...
"номер sms 3649 код K2670620000"
Ща через часик пойду мучить, может оживлю. Пиво уже заготовленно 😊
Димонн
да уж все намучились с етим гадом-- я втройне. Убил сначало черное окошко с белой надписью в папке темр, перезагрузил вылезло черное окошко с красной надписью-- убил в папке систем 32, потом появилося белое окошко, вс с той же просьбой отправить смс----- не могу ни че найти!!!!!!
Говен
Имена файлов поменялись, видимо. Проверяю с помощью AVZ. Когда вылез экран этот с СМС я нажал на аккорд, в вылезшем окне "Безопасность Винды" на завершение работы->перезагрузка. Рабочий стол стал доступен, вылезло сообщение о завершении работы какой-то там проги. На нём нажал крестик. Теперь всё доступно. Проверяюсь 😃
З.Ы. Йа перехетрил его! 😜
flash_2006
Спасибо только столкнулся! С вашей помощью и секунды хватило!!!!
flash_2006
[color=red]Помогите с этими файлами не могу их найти я использовал генератор, а файлы не удалил-не хотелось бы встрять ещё! помогите
Vovs
Имена могут быть разные. На том компе, который я пролечил вчера были donda.tmp и donda.bin в папке C:\users\%user%\Appdata\local\Temp\
Точное имя можно увидеть в реджистри по HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon -> Userinit (то, что дописано после userinit.exe)

ЗЫ Пришлось всё делать руками, _свежие лицензионные_ DrWeb и McAffee их не нашли 😟

Elick
Portugalec, огромное тебе спасибо Человечище!!!!!!!!!!!!! 😃
Джуд Лоу
гениально будет сделать его на сайте, где обсуждают как с ним бороться)..ой, че это я)..
Владимир
Помогите! У меня эта хрень на красном фоне!!!!!!
Файлов вышеозначенных НЕТ (не скрытых не системных) Что делать, через 2 часа ничего не изменилось!
LiNED
У одного из моих знакомых такая же зараза, у меня был лайв CD, но он не смог загрузить ни саму утиливу веба, ни какойнить файл менеджер ( хатя диск у меня старый уже. Судя по тому что он писал в консольке он определил жеские диски как L и R а не C и D, и писал, что диск R не готов к записи...
Виктор
Здрасте. Сегодня скачивал винамп6 и похоже ОН был там. На гугле набрал свою проблему, открылся генератор кода, ввел что надо было отсылать на смс, получил код. Все запустилось. Остатки пытался найти там где пишете, нету, проверил антивирусом, нету. Вопрос он мог сам удалиться или он гдето сидит? Спасибо.
Роман
Настя, а какого цвета был баннер? Они разные бывают.(((
kolobam
(to Александр) У меня,похоже, именно этот случай. Пролечил (чистка \temp + СureIt(DrWeb+ ... + ...) .Осталась проблема -
Windows загружается до чистого рабочего стола (без ярлыков); explorer.exe не загружается ни в каком виде, а так же ControlPanel и (наверно) некоторые другие программы Windows, составляющие "ядро". Восстановление системы до предыдущей даты(-20 дн.) не помогло, обновление с дистрибутива затыкается сразу же -"не полностью/c ошибками установлен" InternetExplorer. Главное, думается, запустить ехplorer.exe. Как...?
Алексей
Спасибо огромное,очень помогли
VasSursk
Всем привет знакомые сталкнулись с этой траблой Красная табл. на черном фоне помог генератор от ДРВеба, но появилась др трабла учетные записи не входят не в каком режиме сразу едет завершение и сохранение и выводит окно выбора пользователей
вот еще не пробывал Лайв СД но попробую завтра кстати на работе походу у шефа и его Секретутки тоже появилась такая хрень
Akril91
Еще один верный способ - пользовался им несколько раз.
При загрузке Windows сразу же после появления рабочего стола до появления квадрата быстро(!!!) вызываем диспетчер задач и отключаем процесс userinit.exe. Затем быстро удаляем из Application Data blocker.exe или другую гадость.=))))
Тим
У меня такая же проблема, я не знаю как разблокировать Windows все, что здесь написано испробовал ничего не помогает. Пожалуйста помогите!!! 😢
Димонн
ПоявилсЯ белый экран и по всему экрану написано много всякой херни, что отправив смс- мы пролечем ваш WINDOWS, ДО ЭТОГО УБИЛ 2 ВИРУСА- просто нашел и удалил. с Этим спаравиться не иогу--- подскажите!!! Сделал диск dr web live-- запустил нажал кнопку старт- он секунд 20 чето написал и все! Подскажите как он работает!!!
samolet
Вылечил комп друга следеющим образом
1.Сначало открыл проводник и пуск следующим образом
http://habrahabr.ru/blogs/i_am_clever/56923/
2.Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
Там должна быть только запись вида «C:\Windows\system32\userinit.exe,»
В нашем случае вирь дописал в конце данной строчки свой запуск.
3.Запоминаем,где лежит этот файл(у друга лежал в папке user/local settings/temp),загружаемся с Livecd и удалаем его.Т.к. в папке темп нет ничего полезного,я удалил из нее все:)
Димонн
Ребят напишите Поподробнее как открыть regedit и где его искать и как найти HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit
я просто с этим ни раз не сталкивался объясните на пальцах плиз
Tars
в общем, файлы не нашел, скан ничего не дал, поэтому я просто поставил предыдущий снэпшот реестра и запустил комп. прошелся антивирем, комп начал стагнировать и умирать. решено переставить винду. такой вопрос: из-под ливСД можно форматнуть диск С и запустить сетуп установки винды, дистриб которой лежит на диске Д?
Димонн
Да кстати какой антивирус или прога защищает от таких Вирусов??? 😢 Что надо сделать что б не подцепить етот "трипер" снова??
Мак Сим
Спасибо. Так же помогает запуск экранной лупы по хоткею.
Тим
Помогите пожалуйста, у меня такаяже история я не знал что делать и случайно удалил userinit и теперь даже через гостя не могу зайти. ЧТО МНЕ ДЕЛАТЬ ПОМОГИТЕ! 😟
Андрей
бл* пизд*ц я из за этой херни переустановил винду, снес все, теперь быду знать что через 2 часа она сама удаляется, не торопитесь перестанавливать ОС!!!!!!!!! 😠
ПРИМАТ
генератор работает!!! все прокатило на ура...
пасиба браццы , выпью дикалона за ваше здаровье!!!
POLINA
Ребята, не в коем случае, не отправляйте эту долбанную смс-ку! Я, как дама, далекая от возможностей бороться с вирусами, перепробовала все, подняла всех мужчин на уши! В конце-концов, я , от безделия, отправила смс: с меня сняли 200 рублей, а за этим последовала ссылка на сайт и телефон 8 800 500 и т.д.! А вот в следствии чего, я так и не поняла, на порнушном сайте не сижу...Подскажите, чего остерегаться?
Димонн
😢 Какой антивирус спасет от этого Вируса??-- подскажите!
лёля
огромное СПАСИБО!!!!!!! ЭТОТ САЙТ МНЕ ОЧЕНЬ ПОМОГ!!!!!! 😃
Alex.sys
Ребят, может эта инфа устарела но эта сволочь теперь сидит в local settings/Temp и называется don41 и don41.tmp
Blood Dragon
Существует ещё одна вариация
C:\Documents and Settings\Ваш пользователь\Local Settings\Temp\
файлы don31.bin (1кб) и don31.TMP (133кб)

Нашёл это по записи реестра которую кинул Дмитрий

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Dima
Fail "blocker" ne nashel, vospolzovalsya generatorom! Pomoglo! Spasibo! Avtora virusa hochetsya stuknut mordoy ob stol!
Артём
А у меня всё тоже самое только всё на чёрнов фоне и ещё дается время- 3 часа для разблокировки и этих файлов у меня по дирректории там нету что делать!!!!!!!!!!Комп через каждый час работы вот такую фигню выдаёт!
Den
СПАСИБО!!! А анривир обязательно закину
Настёна
не знаю что делать..у подруги такая же фигня твориться...пыталась перезагрузить или через безопасное режимы НИФИГА!!!!!!требуют на номер 3649 отправить текст к2592621008.....помогите плиз....подруга через 2 дня диплом сдавать...а инфа вся на компе!!! 😢
Миха
Люди какой файл надо удалять надо ли удалять userinit.exe
Денис
Прошел по ссылке на генератор кодов, оттуда ввел код в окно - система открылась, но вот файлов вируса найти так и не смог. Подскажите, как войти в реестр, чтобы исправить там? За помощь спасибо!
alexship
столкнулся с этой заразой.
этот троян при появлении пробивает защиту nod32 и KAV 2009
обязательно полностью проверяйте весь компьютер
в Tempory Internet Files , Temp могут оставаться "хвосты"
Оля
Помогите. Неделю назат появилась эта проблема. Пока у друзей сидела искала, что делать все исчезло и заработала. Сегодня опять то же самое, но ссылки не работают кто может зайдите сгенерируйте код. текст сообщения k2780620002
гена
Блин никак от этой фигни не могу избавиться,подскажите что дела.((((((((Эта хрень уже 2 день(((((((((
Евгений
На Webe генератор выдал на код CMC k2780620002 - Попробуйте код 9399534
Может кому поможет
Блин вымогалово однако 😱
Миха
Че делать помогите код k26106210000
Миха
Кто чем может
Олег
Здравствуйте! Если халявщики решили с вас поиметь таким образом, самое действенное средство - Live CD, я пользую Alkid, зайти через ERD Commander в редактор реестра, путь указан в 1ом коменте. Всё, что написанно после userinit.exe и запятой и есть путь к вашему вирю, он может быть разным, его нужно запомнить и тупо удалить, оставить "C:\WINDOWS\Sistem32\userinit.exe,", затем используя запомненный или записанный путь убить виря. Е сли наофтопил, прошу не ругать, читал только первую страницу коментов. Удачи!
Оксана
Помогите пожалуйста!!!! Поймала эту заразу 2 недели назад. Причём пока искала человека, который поможет, эта зараза прошла сама собой. счастью не было предела, но компьютер стал очень медленно загружается и плохо работать. посоветуйте, что сделать!?
Олег
RE: Прошел по ссылке на генератор кодов, оттуда ввел код в окно - система открылась, но вот файлов вируса найти так и не смог. Подскажите, как войти в реестр, чтобы исправить там? За помощь спасибо!
Набери в командной строке regedit и запусти редактор откроется, дальнейшее описанно выше. Удачи!
de3^!L
ПРОБЛЕМА ТАКАЯ- Windows заблокирован Для разблокировки отправьте смс k2590621006 на номер 3649. КАК БЫТЬ???
Олег
Выше описанно всё самым подробнейшим образом и на несколько раз, если прочитать внимательней, вопросы отпадут сами собой. Это гадость распростроняется авторанчиками. Чтобы в какой-то мере избежать этого, не плохо было бы в качестве профилактики отключить функцию автозапуска в винде. Делается это следующим образом: выполните в командной строке команду gpedit.msc, откройте "Административные шаблоны" и выберите "Система", затем "Отключение автозапуска", в открывшемся окне поставте "включён" и "на всех дисках". Не 100%, но действенно. Рад буду, если кому-то поможет. Удачи!
Дмитрий
Благодарю за помощь.Отправлять смс смысла нет денег не хватило.Воспользовался Dr WEb
Олег
RE: Всем привет знакомые сталкнулись с этой траблой Красная табл. на черном фоне помог генератор от ДРВеба, но появилась др трабла учетные записи не входят не в каком режиме сразу едет завершение и сохранение и выводит окно выбора пользователей
вот еще не пробывал Лайв СД но попробую завтра кстати на работе походу у шефа и его Секретутки тоже появилась такая хрень.

Похоже это другой вирь, NTDRL.EXE, маскируется под системный файл ntdrl, Файл важный, отвечает за загрузку винды, главное не перепутать, оба сидят в корне на системном диске, на настоящем нет расширения. Лечится также, как и вышеописанный, т.е. правится запись реестра userinit и удаляется ручками. Удачи!

Sinerug
Спасибо теперь буду знать.
Санёк
Огромное спасибо=) 😊
Ник
Победил...через проводник и пуск нашел где сидит, потом просто через восстановление системы откатил её на одну контрольную точку назад...все ок! В папке ТЕМP поубивал все...do1D.tmp
Сергей
Спасибо Все.
А этих ботаников яйцеголовых сам бы удавил.
tsvetok
работаю оператором, спасибо за разьеснения проблемы))) в работе памогло. если интересно то смс вы отпарвляете на контент провайдер А1 стоимость смс без ндс 150р, с ндс 177))))
Егор
у меня sp3 а вирус назывался trojan.winlock
landcruiser
Почему-то после прочтенки всех сообщений в этой ветке и приняв участие в лечении компа моего друга, пришел к выводу, что Dr.Web нашел новый способ как заколпачивать бабки, а именно: сам придумал, сам написал, сам разослал, сам вылечил. Вот только вау эффектом много не заработаешь, а я как юзал NOD32, так и продолжать буду :-)
eosnw
Если возражений нет, я кину ссылочку на свой сайт. А НОД действительно эту дрянь не видит
Андрей_
Появился новый вид блокиратора, с красным экраном. Все выше перечисленное не помогает. Ни каспер ни DR Web пока ни предлогают решение этой проблемы.
Олег
Да всё помогает... Вчера убил этого красного на дочереной машине в 5 сек. Антивирем юзать бестолку, не находит... Ручками, как описано выше. В моём случае они назывались
don22BD. 2 штуки с разными расширениями сидели в темпе.
Ivamg
Олег
У меня вчера вечером появился блокиратор с красным экраном.
Запустился с другой Windows, просканировал Каспером - убил 2 трояна "Troian-Mailfinder.Win32.Agent.aan" и 2 зараженных файла в Temp, но блокиратор не удалился.Генератор Dr.Web не помог.
Можно поподробнее - как его убрать (где это описано выше?).
С уважением,
Иван.
tranceer
тоже столкнулся с этой гадостью щас качаю livecd от доктор веба...
😳
Апрелька
Доброе утро! Вчера появилась проблема(красный квадрат на черном фоне с кодом для отправки смс k2630621004)ввела код 904894 и перезагрузила компьютер, вроде все работает, решила найти файл"bloker" через поисковик,чтоб удалить...но ничего не нашла...что теперь делать? 😳
Ivamg
Нет файлов "bloker". Они теперь называются по другому.
Олег
Live CD от Dr.WEB не пробовал, всегда использую Live CD от Alkid, выручал он меня в самых аховых ситуациях, если кому интересно. вот ссылочка "http://www.zhmak.info/1151489077-alkid-live-cdusb-aprel-2009.html". Именно с его помощью убил блокиратора с красной мордой на машине дочери быстро и без потерь... Диск постоянно обновляется, имеет несколько антивирей и все необходимые утилиты. Удачи!
ARBUZzZz
Спасибо всем за помощь! Сам, чуть смс не отправил от безЫсходности. Помог генератор, НО почему то только в безопасном режиме. В основном режиме - курсор (мышь) просто исчезала через 5 сек. от момента запуска винды.

Через поисковик - ничего не нашел.

Прочитал многие посты.
ПОДСКАЖИТЕ - КАК НАЙТИ ЭТУ ДРЯНЬ НА КОМПЕ? И ЧТО ТАКОЕ "regedit"? и как в него войти / вызвать?... 😲

Ser_Ser
У соседеа вылечил енту гадость генератором с сайта ВЭБА.
Красный квадрат с черным полем.
Активировался с первой попытки.
ARBUZzZz
C regedit_ом разобрался...
Но у меня Userinint содержит только "С:\windows\system32\userinit.exe, " ... и где и как искать эту дрянь теперь???
heroine
у меня он так стоит уже почти 2 часа и нифига, перевод времени тоже ничего не дал ни в каком другом режиме не входит и гениратор не помогает :(( 😢
ARBUZzZz
для heroine

Может повторюсь,.. попробуй в безопасном режиме (администратор).
Мне помогло. а какой код? напиши?..

snejik
помогите пожалуйста, такаяже проблема, но с текстом смс: к2550621000, дайте пожалуйста код активации.
Олег
RE: Но у меня Userinint содержит только "С:\windows\system32\userinit.exe, " ... и где и как искать эту дрянь теперь???

Похоже вирь мутирует... 😠

Ксения
Помогите!!!! у меня заблокировали! только не синее окно а красное и так же просит смс! пробовала вводить коды не помогает!
colisto
Сколько людей -столько и мнений.
Вопрос такой: Получил этот глюк в красном варианте (стоит Vista),мучал ее с обеда и до полуночи,ничего не получалось,потом в один момент она исчезла.Web нашел троян Winlock, что то там поудалял и перезапустив систему я обноружил ,что комп тормрзит и не открывает ни одно приложение,ни один документ,все время грузит и грузит.Кто знает в чем прикол ? подскажите! 😟
heroine
для ARBUZzZz

код k2670620110.

пытаюсь зайти в безопасном режиме долго черный экран а потом здавствуй красная морда 😕
тут прочитала, что файл уже носит название не blocker, а какое теперь?
сэнкс

myl'ka
так что сделать надо? я в компах сильно не секу, не пойму как вы там файлы удаляете, я в винду зайти вообще немогу! Эта гадость все кнопки блокирует.
Кому не сложно, опишите последовательность действий. Заранее благодарю. 😎
CJlaB9H
Всем привет.

Третьему человеку помогал решить данную проблемму (исключительно без вспомогательных программ ) вирус постоянно мутирует и планомерно отрубает все подступы к проводнику.
Так что без доп. ПО и генератора, задача лечения становиться почти невыполнимой. Неужели нельзя ни каким образом привлечь разработчиков этого вируса??

Кстати , ссылка на генератор кода выдает ошибку (((
хотя судя по местным каментам она работает
в чем причина?

Алексей
Тоже самое
Kirill
Всё нормально отрубается. Все дебилы-хакеры сосут. Проблему решили за 5 минут. Даже расстроится не успели. Сгенерировали код через сайт доктор ВЭБ и пи...ец хакерской игрушке. Лучше бы у Бен Ладена отсосал - гадюка! 😠
colisto
Сколько людей -столько и мнений.
Вопрос такой: Получил этот глюк в красном варианте (стоит Vista),мучал ее с обеда и до полуночи,ничего не получалось,потом в один момент она исчезла.Web нашел троян Winlock, что то там поудалял и перезапустив систему я обноружил ,что комп тормрзит и не открывает ни одно приложение,ни один документ,все время грузит и грузит.Кто знает в чем прикол ? подскажите! 😟
Алексей Ульяновск
огромное спасибо за помощь.С 18.00 до 2.00 ночи сидел, знакомого замучил с этой поблемой... Что я раньше не подумал, что есть еще добрые люди в интернете, которые готовы прийти на помощь))))))))) DANKE!
Максим Петров
а можно найти получател смс на кого зарегистрирован короткий номер и присечь по всей строгости закона или собствеными силами...????? на конкретный адрес бабло уходит и есть его получатель??? кто нибудь так пробывал??
Константин
есть другая модификация
окно сообщения красного цвета.
файл гадости лежит в C:\program files\windows common\svchost.exe
colisto
😟 Просканировал файлы на целостность командой sfc.exe /scannow и она выдала что некоторые файлы востановить не удалось .ЭТо все последствия удаления вируса с красным окошком .Как востановить файл SBS.log windir\logs\CBS\CBS.log. (путь указывает C:\Windows\logs\CBS\CBS.log
Валерий
Поймал такую же бяку, на работе в инете нашел генератор и все ок, блокировка снята
Генератор рулит 😊
Uly
Спасибо огромное! 😊 Помогла програмка на http://news.drweb.com/show/?i=304&c=5 Гадские вирусы!
Saffers
"WINDOWS Заблокирован. Для разблокировки отправьте смс" (Новая версия)
Вышла новая версия трояна-блокиратора.
Старые трюки не работают.
Читаем подробности тут:
http://forum.kaspersky.com/index.php?showtopic=114430
Вообще это детский троян. Cоздан, для обмана домохозяек.
Для решения проблемы, надо иметь любой LiveCD.
Myasoed
У меня новый вирус сохранился в директориях C:\WINDOWS\Temp\ с расширением .tmp и C:\System Volume Information\ с расширением .exe
Doberman
А Я вот теперь стал его коллекционировать =)
Интересно сколько ещё этой гадости понапридумывают =)
Doberman
Saffers, Вообще это детский троян. Cоздан, для обмана домохозяек.
Для решения проблемы, надо иметь любой LiveCD.

Что ты хочешь сказать ? 🙂
Мдя....

pik
Спасибо огромное за полезную информацию )))))))))))))
Владимир
Вчера и у меня такая шляпка выскочила,но у меня не стоял ни антивирус и фаервол виндовский встроенный стоял,первый раз такая ерунда.Пришлось переустанавливать систему сегодня,пол дня убил 😉
Alex
у мя у друга такаяже шляпа, сёдня он это в 8 утра обноружил! чё делать"? сколько примерно ждать с включённым компом"?
Игорь
Спасибо огромное!!!! правда есть одна проблемка, немогу найти blocker.bin и blocker.exe. я смотрел путь который вы указали, но и там тоже нет их.Что посоветуете?
Alex
Мне ктонить ответит?!?!?!? чё можно с этой фигнёй сделать"??"
Игнат
А в C:/WINDOWS/Temp/ должно что-нибудь находиться? Захожу через LiveCD, а там 6 штук: HTT1712.tmp, HTT182E.tmp, HTT1A54.tmp, HTT1E78.tmp, HTT1E82.tmp, HTT1E88.tmp. Что с ними делать?
gsp
Alex, тебе кто-то чего-то должен? Темку почитай от начала до конца, и шапку тоже, модификаций куча, мозги включи и анализируй 😠
Дмитрий
Игнат, удаляй всё! Там всё равно временные файлы хранятся.
Alex, как вы думаете, на предыдущих 35 страницах комментариев и в посте есть ответ на ваш вопрос? Правильно - есть 😊 Отвечу коротко - у некоторых вирус пропадал через 2-3 часа. Некоторым ожидание так и не помогло. Так что советую всё же ЛайвСиДи
Дмитрий
gsp, 😃 спасибо за активность в комментариях. Хотелось бы видеть вас постоянным читателем!
heroine
Дмитрий, все может быть 😉

спасибо за сайт!

У меня наконец-то еще вчера решилась эта проблемка:

Ничего из всех вариантов, которые я видела на сайтах не помогло, кроме LiveCD. Названия вирусов были совсем не такими, какими постили другие люди. Я ламер и не знала точно какие там должны быть файлы, а какие нет и тупо почистила все папки Tepm какие были найдены мной. После перезагрузки пк заработал, только вот хр переставить все таки пришлось или он уходил в неизвестность для меня 😁 .

Вообще заметила интересный факт, наджеюсь мне ответят это совпадение или смысл имеет?
На ноуте сидя в интернете вдруг выскочила такая же фигня, я ничего не делая сразу его вырубила, потом вкл, у меня стоял пароль (12-значный) и все загрузилось отлично, уж не знаю что так подействовало наличее пароля или кол-ва цифр в нем. Поставила наконец антивирь, сделала проверку все таки пару троянчиков нашлось.

abs
Красное и черное.
Снял жесткий, поставил на свою машину,очистил все ТЕМПы и
Tamporary.... Последовательно прогнал через Касперского,
Cureit, AVZ и Avast. Любопытно, что КАЖДЫЙ! что-то нашел и
удалил. Даже Avast, который шел последним.Возвращаю диск,
все грузится, все работает, никаких глюков.
Заходим в ИНЕТ на сайт vkontakte.ru -"Windows заблокирован.
Для разблокировки отправьте смс ...."
Какие-нибудь соображения есть? То есть, произошло новое
заражение, или что-то все-таки осталось после всех чисток и
активизировалось через INET?
Дмитрий
heroine, думаю наличие пароля никак не влияет. видимо что-то помешало вирусу "развернуться в полную мощь" 😊
Жанна
Всем привет!Я тоже столкнулась с этой проблемой.Была в шоке, была истерика, думала сломала комп.Потом от знакомого программиста узнала, что надо на 5 часов оставить комп включенным, и не трогать вообще.И этот вирус сам исчезает.Удачи. 😃 :D
Жанна
роман, Роман здравствуйте!Советую удалить висту и установить XP.Там проблем нет.
Чеширский кот
Попробуйте накопать какой-нить ЛайвСиДи с любым проводником типа Нортон Командера или Волков Командера. Оттуда просто в два пинка выгоняется вся эта хрень... Кстати, прочитайте темы, написаные выше, от пользователей Первый и Второй... ))) На многих компах сразу перестаёт работать всё, включая ХотКеи, а вот пресловутая 8-секундная давилка на Шифт - пашет всегда...
А вообще - маленький совет: ставьте нормальный антивирь и Файрвол в придачу... поначалу придётся помучаться с файрволом, пока он научится распознавать чё ему можно, а чё низя, зато потом - лЯпота... )))
Удачи всем и помньше вирей... :-)
heroine
Дмитрий, сенкс за ответ 😃
gsp
Дмитрий, спасибо, периодически просматриваю 😉
катя
у меня самый новый экран чёрный ничего неразрешает не менять время не папки удалять недаёт и всё кто знает что делать помогите и за день или 2 я была в контакте
Александр
чо делать, чо делать, ноды, вебы, касперы... на linux перелазить там зараза не живет и все летает!
Дмитрий
Александр, вот не люблю я вас, линуксоидов. Не достаточно линукс еще приспособлен для хоум-юзера, не говоря уже о том что части программ просто нет, а под вайном виндовые работают крайне криво (например, тот же 1С).
А как линух станет популярен - и в нем дыры найдутся 😃
ДЖАКУЗИ
Я ДАТУ В БИОСЕ ПОМЕНЯЛ ВСЁ ПУТЁМ СТАЛО 😃 ТОЛЬКО Я НЕ МОГУ НАЙТИ ФИЛЫ BLOCKER 😟 : ГДЕ ИХ МОЖНО ЕЩЁ ПОИСКАТЬ ПОДСКАЖИТЕ ПОЖАЛУЙСТА ЗАРАНЕЕ СПАСИБО 🍻
gsp
ДЖАКУЗИ, блокеров может не быть, отскань жесткий антивирем, и почисть папки TEMP.
Handhandwash
Поможите пожалуйста!
Столкнулся с этой дрянью, воспользовался генератором, ввел код все ок, запустил антивирус макафии он пару файлов в карантин, перезагружаюсь. грузится заставка рабочий стол а на нем пустота... мышка пашет, процессы работают а как дальше пробраться не знаю..
Vovs
Handhandwash, проверяйте ветку HKLM\Software\Microsoft\Windows NT\Current Version\Image File Execution Options (см. http://forum.windowsfaq.ru/showthread.php?t=109836&page=2)
Handhandwash
2 Vovs, спасибо за совет, у меня нетбук NC10 без привода, как лайвсд запустить не представляю..
Дмитрий
Handhandwash, а есть еще один ПК? Если да - загрузившись на нем с лайвсиди доктора веба можно создать загрузочкую флешку.
Ну или если данных сильно нужных нет - можно просто восстановить систему в предпродажное состояние
Handhandwash
Дмитрий, спасибо за подсказку. все почмстил с загрузочной флешки, все временные уничтожил, userinit чистый, полностью в отчаянии, не помогло
Handhandwash
Огромное спасибо VOVS и Дмитрий, ваши советы помогли мне востановить все на 100%!!! Еще раз спасибо за отзывчивость!!!
Vovs
Не за что, сам чистил 2 компа с разными вариантами этого вируса. Надо _вдумчиво_ смотреть _всю_ информацию из этого форума, а также из http://www.ixbit.ru/forum?open=1239364609_732&page=13 и http://forum.windowsfaq.ru/showthread.php?t=109836&page=2
Во втором случае у меня этот вирус прикинулся svchost'ом (svchost.exe), и "сидел" в Winlogon'е не в Userinit, а в Shell 😲 От так от!
gsp
Vovs, а как левый svchost.exe вычислил и где екзешник сидел?
Дмитрий
Vovs, интересует тот же вопрос
Worm
В систем32 сотрите файл portmap.exe а также ссылки на него в реестре
ARBUZzZz
была проблема с красно-черным окном. Решил ее кодом. Все работало.
Теперь - при загрузке винды - у меня чистый рабочий стол, хотКейс не работают... что делать, подскажите. Читал предЫдушие посты - нифига не понял,..
ARBUZzZz
цитата: " Не за что, сам чистил 2 компа с разными вариантами этого вируса. Надо _вдумчиво_ смотреть _всю_ информацию из этого форума, а также из http://www.ixbit.ru/forum?open=1239364609_732&page=13 и http://forum.windowsfaq.ru/showthread.php?t=109836&page=2
Во втором случае у меня этот вирус прикинулся svchost'ом (svchost.exe), и "сидел" в Winlogon'е не в Userinit, а в Shell От так от! "

а у меня shell содержит только explorer.exe

все еще сижу с пустым рабочим столом - ПОДСКАЖИТЕ,.. 😲

ARBUZzZz
Я долго ждать не люблю, и поэтому продолжал искать на просторах интерента.
ЕСЛИ У ВАС ПУСТОЙ РАБОЧИЙ СТОЛ - вот по этой ссылчки все сделал меньше за минуты...
http://z-oleg.com/secur/advice/adv1103.php

Удачи .. :_)

PeterM
Антивирусы Live CD не помогли, удалил все файлы "don..." и...
Таже трабла как у предыдущего поста - пустой рабочий стол, диспечер задач "блокирован администратором".
Чаго делать!?!?! Есть возможность зайти с другой ОС
ARBUZzZz
Если не показывает рабочий стол

вот прога AVZ.(http://z-oleg.com/secur/advice/adv1103.php)

скачиваем ее - и решаем проблему пустого стола!
ПЛЮС - там а куча настроек по проверки компа, . С ее помошью нашел вирусы, которые и вызывали смс_провокацию и исчезновение иконок с рабочего стола !!

Удачи всем! 😃

Дмитрий
ARBUZzZz, спасибо за информацию. Думаю сделать отдельный топик по этой проблеме, т.к. судя по отзывам, многие с ней уже столкнулись и не раз.
Vovs
To: gsp и Дмитрий
Я же написал 😊 ), по нему увидел, что он поместил себя в C:\WINDOWS. Потом поиском нашел его и в C:\WINDOWS\Prefetch, там же были парочка "левых" pf-файлов, которых я тоже снёс. Был вариант с красным окном, но не самый серьёзный, regedit и прочее работали, HKLM\Software\...\Image File Execution Options Он не тронул...
gsp
Vovs, интересует алгоритм поиска - ведь svchost.exe стандартный процесс. Я например свои вычислял тупо поставив два компа с одинаковыми системами рядом и сравнивая процессы.
Vovs
Ну какой-такой алгоритм... 😊 То что он может прописаться и в Shell а не только в Userinit, прочитал на каком-то форуме. То что он может назваться svchost, прочел на этом форуме (Коммент №338 от Константина), про каталог Prefetch тоже где-то читал. А дальше включил мозг... 😃
Artemmm
Всех приветствую!Или я что-то пропустил или это новая хрень!День назад схватил одну из этих "КАКАШЕК"(красное окно на черном).Сам не продвинутый user поэтому за пом обратился к другу,временно решили проблему с пом регенирации кода на сайте Web-а, а дольше уже начал долбить антивирями(результаты дал Dr.Web).Следом почистил реест, заглянул в автозагрузку все лишнее выкинул и вроде бы на этом страдания закончились.И как только я отписал другу,что с гнусным червем покончено,-ВОТ ТЕ НА! Уже не (красное на черном) а (синие буквы на белом) сфоткать не смог но помню содержание! Автор сего текста описывает следущее:"Ваша система заражена вирусом... а дальше история с SMS повторяется, только теперь даже стоимость указывается и перечень работ по спасению ОС(обещая прислать нужный алгоритм действий).(т.е. автор как бы честен перед нами= 😊 нажал отменить!- появилось окошко с обратным отСчётом времени(системное а не очередная занавеса) с ссылкой на какоето дольнейшее действие по окончании времени! 😃 ! -ВСЕМ УДАЧИ!
Анастасия
блииин...ребята...помогите прошу вас!!!!!у меня комп уже 6 день...не работает из за этой блокировки....=(((ведь по идее этот вирусняк через 2 часа сам удаляется.....а у меня до сих...пор ничего не проходит.....и смски я уже наотправляла...штук сто.......помогите мнееее...оочеень прошу...что делать???
Олег
RE: Коммент № 388 написал Анастасия
Анастасия, у вас комп несколько дней стоит, да не поленитесь, полистайте странички, выше все варианты подробненько описаны, не факт, что вирь через 2 часа удалится... Поверьте, просто лом ещё раз всё описывать.
viprus
Не раз сталкивался за последние месяцы с похожими случаями, успех (если таковой был) как правило обеспечивался загрузкой с LiveCD или Win PE чисткой папок Temp, разблокировкой с помощью AVZ4, естественно ДрВеб - Курит. Но я хочу обратить внимание вот на что, примерно треть случаев кочается переустановкой оси. Потому что после "излечения" винда часто продолжала работать криво. По моему ощущению в некоторых случаях, зловредная гадость создавала нового пользователя, перехватывала на себя права управления со всеми вытекающими последствиями. Победой или успехом это назвать не могу, так как у любой нерабочей, но физически живой системы всегда есть возможность сохранить нужные файлы, форматнуть диск, поставить новую чистую ось. То есть проблема у меня не в том, чтобы "вылечить" систему, а втом, чтобы восстановить все настройки, рабочий реестр, и т. п. Пока самым дественным средством остаётся AVZ4. Но она не всесильна.
Многие отписавшиеся здесь (Ура, я вылечил!) пропадают, а было бы интересно насколько система после лечения работала, может быть им всем или почти всем в итоге пришлось переставлять винду. Тогда целесообразность всех мучений и танцев с бубном теряется: всё-равно систему сносить, зачем лечить-то?
Сейчас "вылечил" очередного "вымогателя". Да винда грузится, но что толку, идеально ось не работает...
mac-ruslan
никаких изменений в работе винды я не заметил,наоборот стала лучше работать.после того как проверил диски на наличие ошибок.Раньше никогда этого не делал.Не знал.Хотя это к этому трояну никакого отношения не имеет,имхо.
gsp
viprus, винда потерь не понесла, были траблы со штатным брандмауером, но все решилось.
Просто все, у кого нормализовалось без потерь не пишут об этом. Пишут обычно те, у кого возникают проблемы.
viprus
Спасибо за ответы 😊 может кто ещё отпишется. Вообще хочу поклониться утилитке AVZ4. Чем больше ей пользуюсь тем больше глубоких полезностей нахожу, и антируткит есть и возможности по восстановлению реестра, и антивирусные базы хорошие. В паре с Drweb всегда удачно идёт.
Был случай, восстанавливал винду после "блокировки" хотел откатить систему на пару дней назад, а ERD точек контрольных не находит. Может ли подобный вирус отключить службу восстановления, интересно? И ещё, может не в тему, если служба "Справка и поддержка" УДАЛЕНА из системы, подскажет кто-нибудь как запустить Восстановление (служба запущена) из самой оси? Может какие хот кеи есть? Или из командной строки?
Олег
Здравствуйте! Отписываюсь, после востановления, система работает ровненько... Почему я так настойчиво рекомендую использовать Alkid Live CD, да потому-что в нём есть все вышеперечисленные Випрусом утилиты, и др. веб, и АВЗ4, и незаменимый ЕРД командер, только надо, прежде чем зайти в редактор реестра ЕРДешником, выбрать нужную директорию, иначе открывается реестр самого Лайв си ди... Мне, собственно, для востановления одного ЕРДешника достаточно оказалось. Удачи!
aleksandr R
[size=10]блин, 😟 лажа,я ввожу текст, а ключ активации не выдает! что делать-то? может кто-то мне поможет? текст k2550621000...
Олег
aleksandr R, Попробуй 1525006, мне так выдал на твой текст.
спасенный
человек!!!!!!!!!!!!спасибо тебе аграменное!!!!!!!!!все что написано всем пользовался!спспспспс 😃
Макс
поймал эту херь одним из первым, самое смешное что у меня нод ее пропустил, хотя базы обновляютса ежедневно, видимо код написан с нуля, поэтому мало какие из антивирей могут его спалить. Лайв сиди сразу пустил в ход, обновил базу, проверил 4 антивирусами и толку не было, благо у меня мой родной линукс стоит еще, из под него файлы почистил, ан нет((
пришлось сносить С, благо у меня ось совсем свежаю стояла.
Колян
Столкнулся с такой же проблемой! Код, предложенный здесь, не помог! Генератор код не показал((( Загрузился с лайв сиди и удалил файлы блокера вручную)))
kristina
Всем привет, тоже случайно поймала такой вирус, только вот др.Веб не помогает, т.к. просят ввести не цифровой код, а буквами, др. Веб не видет и просит ввести ноль - не помогает, пробовала поменять через биос дату - не помогает.. чего мне делать? 😲
Олег
RE: Коммент № 402 написал kristina

Live CD и всё проблемы в ноль...

КиРиЛЛ
У миня у 5 Друзей Такая фигня Была!Но файлов blocker.bin и blocker.exe НЕ нашли!
Олег
Коммент № 404 написал КиРиЛЛ

Да называться-то они могут по разному и сидеть, где угодно... Если почитать все посты, то увидишь массу вариантов.

Дмитрий
Сегодня узнал, что вирус снова модифицировался. Причем для рассылки себя научился использовать qip!
Олег
Ну, что, Дмитрий, затихла тема... Любознательные ознакомились, ленивые ось грохнули, пора и нам восвояси. Спасибо! Было интересно и своевременно.
radish
была такая штука.ничего из простых для меня вариантов не помогло,и поэтому просто переустановила винду 😎
mac-ruslan
я думаю,что вирус еще покажет себя в новом обличии,поэтому тему закрывать рано.Пока затишье.Информация,которую я тут нашел помогла мне справиться с этой проблемой.Я этого гада поймал со спутниковой рыбалки.До live CD дело не дошло.Помог генератор от др.веб.
antiz
блин,у меня тоже окно выскакивает но совсем другое, хотя смысл сообщения такой же. отправить смс на номер и последнее слово в смс которое вам придет напишите здесь, на английской раскладке, alt+ctrl+del, alt+tab, ctrl-esc и тд + залипание Shift не помогают, никак не сворачивает...и эти два файла с другой ОС найти не могу...что делать? подскажите плз)))
LekaD
Вчера, ребенок такую гадость скачал из нета вместе с картинкой.
Только вместо виндовского, окна был синий экран.
безопасный режим был заблокирован, откат не помог, Выручил liveCD
и AVZ4.
😊
Игорь
Что-то новенькое появилось - требует отправить сообщение Regsys b20 на номер 7132. Где-бы код найти?
Матвей
Всера славил типо етого ток не чо не помогает... 😠
Дмитрий
Отпишитесь по результататм
Tuman
Я нашел другое решение проблемы: Значит выскачила у меня такая вот фигня на маниторчике, ну я в панике что делать, перезапустил комп, снова появилась и поверх остальных окон висит, свернуть никак, но я вызвал деспетчер задач после очередного перезапуска компа ( но и его всёравно закрывало это окно с смс ), сделал так зажал Alt+Tab и держал их не отпуская, получилось что диспетчер был над этой прогой и я нашел ехе который отвечал за эту байду ( ckpqg.exe )нажал на завершить процесс не отпуская кнопок альт и таб, всё прога закрылась, дальше ввел в моем компьюторе поиск ckpqg, он мне выдал такую строку C:\Documents and Settings\Tuman\Application Data там и находился тот экзешник, удаляем экзешник и все дела. Перед этой операцией установил 3!!! разных антивируса все чёнить находили 😉 но проблему это не решало. Помогло то что я описал выше.
Tuman
Мммм и вообще есть неплохая утилита которая ищет всякую пакость на компе Malwarebytes' Anti-Malware. Малоли кто не знает...
anya
народ, вот тоже в это вляпалась, только вот blocker и второй файл отсутствуют, не знаю что делать, подгрузила с liveCD, а найти не получается по этому пути...blocker.bin и blocker.exe, что делать подскажите!!!
Стас
у меня 11.06.2009 залез вирус HEUR:Trojan.Win32.Generic который блокирует WINDOWS я немог найти ключа скорей всего это новый потому что там надо был отправить смс с кодом который был написан буквами а не цифрами в данной ситуации я просто поставил диск с виндой и восстоновил систему больше чем это не немог сделать не чего я смог только восстоновить систему WINDOWS
bonifciy
у меня такая же х..ня, только когда я перезагрузил компьютер винда грузится но потом комп выключается.внвь это сообщение не появляется.что делать??
Strong-spb
Коммент № 417 написал(а) anya
народ, вот тоже в это вляпалась, только вот blocker и второй файл отсутствуют, не знаю что делать, подгрузила с liveCD, а найти не получается по этому пути...blocker.bin и blocker.exe, что делать подскажите!!!

У меня всё тоже самое

Strong-spb
Коммент № 417 написал(а) anya

Аня, наша ошибка в том, что мы не читаем предыдущие коменты, перед тем как писать сами.
Из комента Тумана, я понял, что эти файлы не в ALL USER, а в своей папки.

Дмитрий
Аня, попробуйте просканировать антивирусом раздел с операционной системой, загрузившись с LiveCD
blood76
Последние два дня разбирался с этим вирусом,у меня на синем фоне,
залипание клавиш(Shift) тоже не спасает,окно появляется за картинкой,хорошо что у меня два экрана монитор и телевизор-это спасает,вирус занимает только основной экран.Вирус имел имя tgRS.exe в C:\Documents and Settings\XXXXXXXX\Local Settings\Temp,в диспечере задач с таким же именем,и главное в C:\WINDOWS\Prefetch под именем tgRS.pf и пока я его отсюда не удалил он возвращался каждые 4 часа,ил около того.
wolff
У меня вот появилось сие чудо... только модификация странная, появляется минут через 10-15 после загрузки винды... Не один из антивирей ничего конкретного не нашел. Есть идея что эта пакость работает удаленно открывая себе какой-то из портов и сидя в самом IE. Еще пока искал по сети "таблетку" вот (http://implanet.ru/index.php?showtopic=928) че нашел (сразу извиняюсь за возможную "рекламу"пред владельцами данного ресурса, но мочить такие объявления надо!)
Дмитрий
вот же ж казлы. Думаю нахождения этой гадости антивирями - вопрос пары дней. Судя по сообщениям проблема пошла на 3 виток развития. Жаль неопытных пользователей, которые могут пострадать.

В качестве профилактики рекоммендую использовать другой браузер или обновить Internet Explorer до 8 версиии и поставить набор заплаток PreSP4 (ссылка на скачивание в посте)

Саня
Столкнулся с проблемой вчера, AVAST, AVZ, NOD32 ничего не видят. Под безопасным режимом эта штука не работает. Щас пытаюсь найти вирус с помощью dr.web

очень хочеться раскрошить лицо того человека, кто это придумал....

Артём
Коды от др веба не подходят , лайф сиди нету( у меня не резак!)
Файлов этих в Application Data я не нашел!
Сегодня словил этот вирус , похоже он уже более навороченный , помогите 😢
Alexei
Встречался с этой фигней, но на свой комп словил другую...новее!!
Черный экран, красным цветом похожий текст и 24 часа на отправку СМС. Смена времени в биосе не помогла, вариант с "залипанием Shifh" тоже. Решил загрузкой в безопасном режиме с поддержкой коммандной строки. При этом вирус не включился и позволил из коммандной строки запустить Total Commander, а там и запуск CureIt! с флешки прошел без проблем....
Новая модификация лежала в папке:
C:\Windows\Media\sound.exe
C:\Windows\system32\winlo_.exe
P.S. DrWeb онлайн утилита по подбору кода не помогла, код 3893879 тоже.
ABJIoM
ничего не помогло... даже др.веб ничего не видит, надеюсь восстановление системы поможет...
ABJIoM
Помогло, больше не беспокоит 😃
Markabus
Нажал alt-ctrl-del / выйти из системы. Пока закрываются проги и комп старается выйти из системы, запускаем антивирус и сканим системный диск. Блокировка в этот момент неактивна. Еще на всяк. случай проверить прогой Spybot - Search & Destroy
Пострадавший
Утром впервые столкнулся с этой пакостью - понял,что это вымогательство. До появления заставки работал минут 5,успевал почитал что люди пишут затем С+A+Del и завершить сеанс. DrWeb и Nod32 ничего не нашли (в безопасном режиме).В C:\Documents and Settings\User\Application Data модуль tkpzc.exe имел утреннее дату-время. Доступ для удаления оказался запрещен. Загрузка+ F8+ безопасн.режим с команд.строкой-> используя команду CD (и оболочку FAR) добрался до файла и удалил. Уже 2 часа я свободен !
олегыч
А я три раза перезагрузил и все прошло 😲
Danil
Народ, ну на висте-то как??((
serg5x
Программа" Ваш анинсталлер" определила несколько автозапускаемых. Среди них вызвала подозрение - wsock, по адресу
C:\Do..and Set..\..\Appl.. Data\tvuag.exe
Дальше написано Current User - Registry Key
Исключил.
Пока ешё зараза не проявилась!!!!
Азат
Седня 18.06.2009 поймал данную хрень, после перезагрузки удалил geogq.exe с директории %SYSTEMROOT%\Aplication Data\ю Убрал автозагрузку из msconfig, перезагрузился, и дааная хрень исчезла!!!
Дмитрий
да вам повезло )))
Илья
kirsby, у меня также появилась эта хрень, а потом врубил комп и она пропала)) большееё нет)))
Fish
прибил его drWeb cureit, процесс в оперативе otasa.exe, идентифицирован как trojan.Winlock.105 лежал в application data
sergeant
тут на днях эту хрень подцепил, типа отправь смс с текстом v1v1v1 на номер 4430. нод натравливал не ловит, outpost тоже. удалял вручную. когда вылазит окно, выловил в журнале запускаемые приложения, обнаружил левый adc***.exe весом >200kb. нашел его в папке C:\Documents and Settings\All Users\Application Data.
Evelin
Ничего из сказанного выше не помогло. На код не реагирует.Файлов с именем bloker на ноуте нет. Но из этого вируса выходит с большим трудом если пальцы держать на всех клавишах Ctrl-Alt-Del "снять задачу. Антивирус последний вчерашний Др.Веб не ищет вирусы. Что делать ума не приложу. Чайник по жизни.
sand
Вчера намотал! Что делать не знаю, так как невозможно войти в пользователя, тут же появляется эта гадская заставка!На клавиши CTRL-Alt-Del не реагирует!что делать?
Камилла
у меня та же проблема...сижу с компьютера мужа, ибо мой в осаде((( но у меня он вроде уже свеженький и новый((( хочет не просто код, а слово OPLATA на номер 7122 и ещё и написать номер телефона с которого будет смс отправляться!! а такого варианта на сайте доктора веба нету((( люди, помогите блондинке!!!
Дмитрий
sand, Камилла, пока решение виду только в записи LiveCD от DrWeb, загрузка с него и сканирование системного раздела
FunD
Увы и ах,DrWeb LiveCD от 22.06 (новейший на данный момент) не спасает от обновленного вируса (того, который пишет прислать слова oplata на номер 7122. Надеюсь, что в ближайшие дни появится лекарство.
admishen
Вечер добрый или день...ну вообщем не важно...
Проблему решил таким образом:
При появлении черного экрана с сообщением вызвал диспетчера задач (сделать это было сложно т.к. черный экран его перекрывал, необходимо нажать alt+ctrl+del и держать но не долго), диспетчер начнет мигать и в нем можно будет увидеть какое приложение уже запущенно, пока он (диспетчер) мигает правой кнопкой мыши щелкаем по этому приложению и в подтекстном меню выбираем "снять задачу", не забудьте запомнить как эта программа называется. В моем случае эта бяка называлась sound. Вообщем видите вы теперь свой родимый рабочий стол, запускаете поиск и ищите этот файл. Выскакивает большой список (ну это естественно) сортируете по дате, и файлы с таким названием того числа когда это произошло сносите. В частности у меня они были в двух местах C:\WINDOWS\Media и C:\WINDOWS\Prefetch. Принцип такой в папку Prefetch садиться загрузочная часть вируса, а в папку Media садиться его детище и при запуске системника, в тот момент когда система пытается спеть свой гимн, то и запускается эта шняга т.к. она стоит в качестве гимна. При выполнении того что я тут навоял после перезагрузки загружается рабочий стол, но система выдает ошибку мол файл C:\WINDOWS\Media\sound.exe не найден, оно и правильно ведь при запуске гимна не было... Заходим в настройку звука и ставим звуковую схему windows default, можно не перезагружать.
Вотак вод. Вообщем мне помогло, надеюсь кому-нибудь тоже поможет, отпишитесь тогда если не трудно, тупо интересно...
УДАЧИ!!!
P.S.: любой антивирус беспомощен перед этим детищем.
Proza
Спасибо Вам большое, уже не знала куда бежать, а вы помогли 😊 Только этот код 3893879 мне не помог, пришлось перейти на сайт http://news.drweb.com/show/?i=304&c=5, там ввела текст СМС 841111, он выдал номера 26079 и 189, ничего из этого мне не помогло...Ниже по троянской программе можно код узнать, я тупо выбрала самую последнюю и ввела ее код aaaa8529 и все заработало вновь 😃 Удачи всем!!!!
Никита
я скачал образ CD запускаю Nero... делаю так как там (http://www.freedrweb.com/livecd/) вставляю пустой dvd диск нажимаю файл, открыть выбираю то что я скачал нажимаю прожиг потом пишет нет диска
AkAToT
ЛЮЮЮЮДИИИИ ЧТО ДЕЛАТЬ СО слово OPLATA Вообще ничего не спасает,у меня Виста !!!!!!!ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!перепробывал все вышеперечисленные способы...=(((
sand
Я чайник.Поймал в воскресенье.Комп не реагировал ни на что.В понедельник на работе переписал все что сказано на этой ветке и стал сумбурно претворять в жизнь
Сначала ничего не помогало.
И номера вводил, и часы переставлял и кнопки жал.Но вот в какойто момент вошел в систему как Гость.Толку было мало , но в папке application data удалил все файлы не включенные в папки.После этого вдруг зашел с учетной записи с правами администратора.(зашел это громко сказано, заполз, долго и не уверенно).Удалил у всех пользователей такие же файлы.Стало чуть лучше.Скачал Spybot , проверил и о!Чудо!Комп заработал!
После этого включил NOD32, который вирусов не обнаружил!.Я его снес и поставил демонстрационную версию Dr.Web и он показал 93 проблемы!!!:вирусы, трояны, зараженные файлы и архивы! После лечения все заработало нормально.
У меня только один вопрос: что делал два года в моем компе платный,обновляемый ежедневно, лицензионный NOD32?
Дмитрий
для записи нужен CD-диск
Дмитрий
После того как в организации, куда меня пригласили помочь я выгреб неимоверную кучу различных вирусов и еле отбился от эпидемии на компьютерах под "защитой" НОДа вообще его за антивирус не считаю
sand
25.06.09 Как я вылечился позавчера написал.А вчера мой Spybot сообщает: неизвестная программа хочет изменить реестр C:\Windows\system32\userinit.exe. Ага! Зараза ходит по сети!.я естественно отказал этому процессу , чем спас свой комп. Спасибо Spybot!
Сергей
Я уже голову поломал... 😳 : сволочи предлагают прислать sms "elnii2" на № 6005 чтобы разблокировать якобы не лицензионный винт XP. Люди добрые помагите... 😢
Сергей
Автор: printeX
Против elnii2 на 6005 - загружаем винду в режиме отладки, ctrl+alt+del - выполнить и вводим explorer. Загрузили - ищем во всех системных папках файл hlp.exe, после чего и в реестре сносим записи с ключем, где встречается этот файл. Из реестра можно снести с помощью ccleaner...
Сергей
Только ищите все файлы hlp.exe и УНИЧТОЖАЙТЕ, ато я удалил только 1, теперь комп глючит...
Посторонний
elnii3 на 6005:
alt-ctrl-del в режиме отладки не работает, помогла только загрузка с LiveCD и удаление hlp.exe из папки //Windows/Help/
Tuman
Ых по меньшей мере 2 раза было написано как стоит попробовать эту шляпу убрать:
Загружаем комп---> появляется текст с смс---> жмем пару раз alt+ctrl+delete для вызова диспетчера задач---> зажимем alt+tab ( и не отпускаем )---> диспетчер будет мелькать над прогой с смс, пока он мелькаем ищим в диспетчере процессы которых раньше небыло, или те которые странно называются, ---> жмем по такому процессу правой кнопкой мыши, завершить процесс
, экранчик с текстом смс закрывается ---> проверяем антивирусником др. веб подойдёт ( в реестре тоже просканить )---> заходим в мой компьютер, вбиваем в поиcк название того процесса который отключили в диспетчере ( пример ckpqg.exe можно без .exe )---> удаляем этот файл и рядом ещё должна быть парочка подозрительных файлов их тоже del.
Пробуйте, только сразу после того как подцепили!
Я сам такое уже проделал комп живой, не лагает.
FunD
Для варианта с "oplata"-ой паразит тупо создал файл в C:\Documents and Settings\NAME\Application Data и прописал его в автозагрузку.После удаления из автозагрузки (как раз хватает пары минут, пока комп работает) сообщение исчезает...но файл я все-таки на всякий случай стер 😃
gsp
Лечил тут нетбук с ХР от "elnii3 на 6005".
Сделал следующее.
Подготовил две загрузочные флешки, одна с live CD от drweb (http://www.freedrweb.com/livecd/), вторая с Avast Bart PE 2.0 Eng (http://flash.orens.ru/).
Загрузился с первой, удалил hlp.exe из C:\WINDOWS\Help.
Загрузился со второй, поправил реестр [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] обратно на значение "C:\WINDOWS\system32\userinit.exe," (вирь изменил его на "..... hlp.exe")
Ну и конечно прогнал Dr.Web LiveCD....
Комп пока работает нормально...
Единственное-этот способ доступен немного продвинутым пользователям, т.к. надо уметь создавать загрузочные флешки, безопастно править реестр и т.д. Поэтому прежде чем что-то делать в рамках предложенного способа, желательно спросить (если не знаешь как)здесь, или у др. опытных людей.

PS. Хорошо бы, еслибы в дистр Dr.Web LiveCD внесли редактор виндового реестра...

QWERT
в некоторых случаях диспетчер задач и горячие клавиши не действуют. Безопастный режим – не помогает…
как лечить:
1.грузишь с CD Windows Life
2.ищешь поиском все файлы, появившиеся в день заражения
3.по ситуации, смориш и переименуешь все подозрительные (.exe .bat и т.п.)
gsp
"Лечил тут нетбук с ХР от "elnii3 на 6005"."
Добавлю: - еще необходимо удалить из автозагрузки ссылку на "hlp.exe"...
Вроде бы все...
Cтас
Народ а у меня тут какаето новая версия вируса он не куками вышепечерислеными способами не лечиться че делать?)
и оформление у него нетакое как на картинке!
Cтас
Народ помогите у меня сомсем другой вирус совсем по другому выглядит но принцип тотже! там написано отправьте смс с кодом#complt4271 на номер 6008
Cтас
При этом я свободно могу выходить в интернет включать музыку и лазить в меню пуск через кнопку виндоус... но не таскменеджер ничего не открываеться из програм и я не могу запустить установочник
Cтас
Как выяснилось в ходе моего расследования ))))
Окно с просьбой отправить смс вылетаает только при запуске любой exe программы
я попробывал переиминовать exe B bat и воля программы запускаються
но мне это нечем не помогло )))) решил написать может поможет вам
sadomius
Я нашел ещё его разновидность, он пишет отправить 6008 на #win1t5086. Не один антивирь его не видит, но он прописан в реестре и в автозапуске, у меня назывался nmdlw.exe и лежел в C:\Documents and Settings\User\Application Data

вот...

karmokov
На работе впоролся в этот вирус. Появлялось полупрозрачное окно с предложением отправить смс, как и у sadomius'а. В процессах висел под именем a.exe. После снятия процесса окно исчезло. a.exe сидит в C:\Documents and Settings\User. Также есть ещё один вредоносный файл hlp.exe, который сидит в C:\WINDOWS\Help. Его тоже удаляем и сносим все ключи с этими файлами в реестре.
Alex
хм интересно, у меня вирус какраз разновидности sadomius, когда подхватил юзал оперу и стоял нод с новыми базами, вышеперечисленные способы в статье не помогают блокируется даже окно которое вызывается через залипание шифта, загрузился с лайвсд нашел файл в автозагруске pwdlocked.exe или както так удалил его эффекта 0, не знаю как мне править реест моей винды сидя из под лайвсд, знающие люди помогите
прохожий
Объясните пожалуйста по пунктам чайнику как побороть заразу под номером 6008 на #win1t5086
Bolek
Мой 6008 лежал в c:\windows\media и звали его sound.exe
После того как его заархивировал и убрал оттуда стало все норм.
virustotal.com его не определяет
Alex
как обнаружил что именно этот файл-вирус, можешь по пунктам написать предпринятые действия для устранения?
bolekk
просмотром всех файлов с датаой изменения на день появления вируса. Смотрел exe bat dll. sound.exe лежащий в папке c:\windows\media сразу бросился в глаза
Alex
удалил файл C:\WINDOWS\Help\hlp.exe, после перезагрузки блокировка уже была снята, но окна открывались очень медленно и при вызове диспетчера задач не было привычных вкладок Приложения, процессы, быстродействие и т.д.(получалось урезанное окно диспетчера задач), также нашел запись в реестре с ключом hlp.exe ее удалил, после перезагрузки перестало заходить в профиль, теперь видимо придется заниматься переустановкой системы 😟
grek
немного другой интерфейс вируса с такой надписью
в связи с повышеным уровнем распростронения пиратских копий windows....на вашем комппьютере обнаружена не лицензионная версия виндовс система была заблокирована для разблокировки и активации отправте смс, окно не сварачивается не отключается, безопасный режим не грузится, решил сделать востановление так на 33-й минуте вылазиет это же окно, не чего не смог сделать, лечил хард антивирусами, удалял подозрительные файлы но нужного не нашол
emil
у меня подобная проблема - только текст смс - text - переззагрузил нормально комп включился только ярлыки на рабочем столе не работают - выходит выбор программы(пытался установить нод32 не устанавливает!!помогите пожалуйста!
Alex
1) Первое что нужно сделать это загрузиться с лайв-сд
2) Далее с уже загруженного live-cd запустить поиск файлов которые были созданы в день заражения, удалить подозрительные файлы
3) После удаления, скорее всего, рабочий стол уже не будет заблокирован, но останутся продукты жизнидеятельности этого вируса, в виде тормозов системы(как у меня)
4) Далее лучше всего использовать прогу типа __http://samlab.ws/soft/trojanrem/, я не использовал, а полез чистить реестр, видимо убил не все, результат - переустановка оси
Александр
такая же фигня, только бинарников и экзешников в папках док-с & сеттнгс нету, лайв сиди ничего не нашел
Александр
теперь это файл usrinit.exe в папке system32!!
олег
Я усовершеннствовал вирус держитесь хаха! готовьте ваши денежки!Сеечас будет просто прозрачный экран и нечего больше НЕ ПОМОЖЕТ!
john
Тема с переводом даты в биосе сработала на УРА!!!
таню
А у меня не получается ничего(((
что же делать?
Дмитрий
опишите подробнее, что именно пишет. Если есть возможность - пришлите картинку. Попробуем помочь...
BiBega
Вот тут http://www.cforum.ru/t4/forum/6m60wm самое действенное решение проблемы.
Я делал так: Win+U (экранная лупа) - запустить - Веб-узел Майкрософт - (открывается ИнтернетЭксплорер) - погуглил и нашел прогу ProcessExplorer (http://soft.mydiv.net/win/files-Process-Explorer.html), скачал ее, распаковал архив и установил.
"Убил" ею 2 процесса: explorer.exe и programicon.exe (правой кнопкой - Properties - Kill)/
Далее в ИнтернетЭксплорере - в поле адресной строки набрал путь к Program Files-Total Commander (C:\Program Files\Total Commander\Totalcmd.exe), открыл его. В нем зашел в system32 и удалил зараженные файлы explorer.exe и programicon.exe (в Коммандере выбрал отображение по дате, чтобы легче было найти). Кстати, в Коммандере эти 2 файла имели нехарактерную иконку - как будто для картиночного файла.
Важно!!! До начала вышеописанных процедур скопировал с другого компа explorer.exe на флешку, и теперь, после удаления зараженного на его место перекинул новый.
Удачи всем!
Allion
Сижу, читаю и понимаю, что я такая не одна..
Началось всё с того, что зашла я на сайт Vkontakte.ru, вступила в какую-то сомнительную группу с тестами, и чёрт меня дёрнул пройти их (ведь знала, что ничего особенного там не будет, а оказалось ещё хуже).А что бы узнать результаты теста - надо было отправить смс, стоимостью от 250 рублей и выше. Я решила закрыть страницу, зачем мне это надо, потянулась к крестику в верхнем уголке..не тут-то было...монитор погас,экран стал чёрным и белыми буквами написано (немного подругому как было сказано, но с тем же смыслом)Жаль не сфотала, но приблизительно так: "За последнее время участились случаи использования пиратских систем Windows. Ваша система была заблокирована компанией Microsoft в целях безопасности, так как в ПК найдена не лицензионная операционная система. Для разблокирования отправьте sms (*стоимость 32 руб.)
(P.S.дёшево, я подумала...НО ПРИ ЭТОМ НИ НОМЕРА, КУДА ОТПРАВИТЬ, НИ КОДА SMS НЕ БЫЛО УКАЗАНО!!!А моя ОС кстати лицензионная). В Вашем распоряжении есть 24 часа, после система будет автоматически удалена!! Тут у меня паника 😃
Дмитрий
Не бойся, ничего не произойдет. Чтобы убрать сообщение о не найденом файле попробуй сделать так как я писал в первом комментарии
Артём
Автоподбор кодов от доктора Веба. http://vms.drweb.com/virus+anatomy/?i=304
юлия
что делать у меня наэкране написано ваш виндовс заблокироан отправте смс и не скрываеться не как не могузкрыть програмуу эту и выити в меню что делать
Дмитрий
Попробуйте сгененировать код на сайте доктора веба http://vms.drweb.com/virus+anatomy/?i=304
khann
ребята 😊
удачи вам)
примерные коды 107 ,307 и 404 . пока больше вычеслить не смог.
Иван
Ребята спасибо не то слово!!!!!!!!)))) 😁 никогда не пускайте младших братьев или сестер за компютеры и тем более в интернет
Ксюша
А я совершенно случайно ввела какой-то код, все отключилось. Не знаю только надолго ли...
LinkCatcher
Вчера это произошло со мной... В интете ключ подобрали, пока все работает. Антивирусом комп проверила. Решила пунк 4 использовать. (Обновления PreSP4 для русской Windows XP SP3 я выложил здесь.)-запускаю установку- Отказано в доступе к указанному устройству, пути и ли файлу. Возможно у вас нет прав... Что это такое?
Дмитрий
тут скорее всего одно из трех:
1. либо вирус все же остался и блокирует установку обновлений.
2. у вас учетная запись пользователя а не администратора.
3. скачался битый файл
Евгений
Всем привет. Помогайте(
Недавно подцепил одну из версий этого вируса:
Синий частично прозрачный экран, требует отправить смс на номер 3649. В процесах имеет название "cmon.exe". После загрузки компа, получается быстро запустить диспетчер и закрыть процесс.
В главно директории диска С: нашел его файлы up2.exe и вроде clean.exe. В папке Виндовс файл cmon.exe. Удаляю их, но после перезагрузки и включения инета, сразуже загружаются эти файлы и запускают процес/вирус. Иногда успеваю тут же удалить.
Аваст ничего не находит.
В реестре с userinit всё норм.
В документс и сетингс подозрительных файлов не нашёл.
тин
пацаны, а где эту штуку можно скачать?
троп
Поймал похожую штуку сегодня. Окошко такое как у trojan.winlock.169/172 (http://news.drweb.com/show/?i=304&;c=5), только номер для отправки смс другой - 7122. Подбор кодов на вышеупомянутой ссылке не помог, перевод времени в биосе, способ ykcyc'а, не помогли. Диспетчер задач и все остальное заблокированы, возможности поставить другую ось пока нет, помогите 😟
троп
upd: попробовал перевести время биоса вперед (на три часа), и во время загрузки личных настроек пользователя зажал ctlr+alt+del, что из них сработало не знаю, но это помогло - диспетчер задач открылся хоть и со второго раза, ищу последствия. Всем спасибо)
N1rdoSh
Евгений, хех та же проблема и у меня. Поймал вчера, форматировал и полностью сносил ОС. После захода в инет вирус появляется снова.
Дмитрий
Всем у кого Windows XP SP3 рекомендую установить пакет обновлений PreSP4 (скачать). Это защитит вас от уязвимостей, найденных после выпуска SP3. В пакет включены все вышедшие обновления до сентября месяца.

Следите за этим постом - ссылка в UPD4 на пакет обновлений обновляется, как только обновляется сам пакет.

Irena
а у меня все гораздо веселее... кто знает что делать помогите... тоже пишет что ваша система заблокирована и пришлите смс на такой то номер и тому подобное... но дело в том что у меня в автозагрузках стоит командер и он на этом синем экране открывается и запускаются все проги, в плоть до аськи..так же могу все скачивать с инета и работать в любых программах... но диспетчер при этом не отвечает... антивирусники не находят вирусов... но было куча троянов... после нескольких проверок разными антивирусниками все вирусы удалились... ну я так думаю..))) так вот не знаю что делать с этим синим экраном... работать то можно и комп работает в полную силу... но рабочий стол то как то тоже нужен... ПОМОГИТЕ ПОЖ... и все что написано в постах выше было после прочитки сразу же сделано... но не помогло(((
Дмитрий
Irena
да пробовала тоже не помогает...
та же самая фигня, форматировал и переустанавливал ОС, два других жестких диска не трогал, после выхода в инет вирус появляется снова. Перед этим постоянно выскакивает табличка Windows - диск отсутствует.
гоги
мне тож помог код 0000000 тока винда терь ипёца па срашноу(сёдня востановление чрез консоль сделал терь диспетчер хз как включить(
Денис
Уважаемые чуваки кто хочет спсасти свою винду перед тем как появилась эта фигня перезагрузите комп при самой загрузки винды успейте нажать ctrl+alt+delete и закройте вирусняк сейчас он называется както на f ну в диспечере увидите полное название вот потом найдмте этот файлик и удалите
Wizz
перевел на сутки вперед и все сработало.
Спасибо.
Juventus
Зажимаем ctrl+alt+del окно мегает а мы выщемляем ненужный процесс.
Irena
avz не находит вирусов, за то вебер при каждой проверке находит что то новое... вроде удаляет но изменений нет... что делать???
женя
как удали blocker.bin ???????
женя
помогите у меня заблок windows требует отправить 1pcp2a на 6008
Old
Сосед вызвал спасти от этой хр... Антивирус не поймал (Касперский) Убрал чер Ctrl+Alt+Del На секунду появляется диспетчер, блокер в нем первый, нажал кнопку завершить (с третьей попытки) Потом ручками все вытер. Через день он же или новая напасть запустила Виндовый фаервол и Антивирус 2010. Блокировал всю работу, писал загружаю антивирус, и т.д. Пришлось чистить даже реестр и все пути.

Поймать бы этого "великого" программера и всунуть ему этот блокер по самое нехочу!

Дмитрий
остается только бороться. Ну и обновляться почаще
Korbu
Знакомая отдала брату мининоутбук с этой фигней, поставили из безопасного режима авиру, проверили - находит файл к к-рому нет доступа, вирей не находит. Хотел скачать обновление базы и на флэшку скинуть - посадил себе через флэшку. Авира (обновлял буквально за час до этого) успела что-то закричать, удалила файлы какие-то, но эта фигня висит всеравно. Все вышеперечисленное не помогает. Сейчас скачал дрвебовский cureit и проверяю им, один файл он нашел и удалил, определил как win32.HLLW.Lime.22 лежал в корзине. В безопасном режиме чистил корзину до этого, но прои норальной загрузке в ней опять лежит файл. Еще интересно, сейчас я с безопасного с загрузкой сетевых драйверов скачал с инета cureit и им прохожусь, потом в нормальном режиме будет ли все работать, если убью все что найду в безопасном 😳
Как чистить флэшку - не знаю, пробовал форатить из безопасного режима - доступ запрещен, авира нашла там инфекцию и убила, но ожет опять там есть что, если так не находит, так же появляется файл на флешке autoran.inf - с ним тоже ничего делать нельзя - доступ запрещен, хотя везде права админа %(((
Korbu
Полная проверка drweb cureit не помогла. Нашел пару рекламных вирусов и 1 тот самый win32.HLLW.Lime.22
После перезагрузки всеравно та же фигня с смс((
Генераторы на сайте двеба не помогают, блин, в инете пока ничего не могу найти по этому поводу, болванки тоже не могу найти чтобы нарезать liveCD. Может есть где-то как бороться, просто я не нашел?((
Korbu
Вроде убил. Скачал AVZ, при Ctrl+Alt+Del у меня не диспетчер задач, а окошко со сменой пароля, пользователя, менеджером задач и тп. Через смену пользователя есть какое-то время пока это окно вируса опять не выскочит, но времени мало, я сначала затупил и ничего толком не сделал, а потом окно почти мнгновенно выскакивает при повторных попытках, в итоге смог запустить лису и через нее запустить включить инет и запустить AVZ. Нашел в редакторе
лишний файл, просто гуглил все подозрительные, оказался C:\WINDOWS\ctfmon.exe , а должен настоящий такой быть C:\WINDOWS\system32\ctfmon.exe
Убил его - умерло окно вируса со всем эксплорером заодно, но зато уже запускался деспетчер задач, через него запустил userinit.exe, все заработало, потом в редакторе реестра AVZ отыскал все подозрительные записи и правил или удалял. Сам не очень хорошо разбираюсь в том что системное, а что нет, но ест полезная функция по правой кнопке "поиск в гугле/яндексе/рамблере", так что можно посмотреть что вам нужно, а что точно удалять. Ну и потом уже в менеджере автозапуска убил все подобные процессы, отыскал заодно пару троянцев (походу он их подгружает сам, ибо до этого проходился дрвебовской лечилкой и авирой со свежей базой). Потом опять обновил базы и прошелся авирой и дрвебовской лечилкой версией поновее, вроде пока все, тьфу-тьфу-тьфу, работает. Может кому-то это поможет, а то сам я сначала очень огорчился, ибо находил в инете инфу только за апрель, а все способы борьбы, указанные там, не работали =)
Дмитрий
Спасибо за подробный рассказ.
Действительно, с момента написания поста вирус сильно видоизменился — использует другие файлы, иначе блокирует доступ.
Вам после победы я бы рекомендовал скачать PreSP4 (ссылка на него есть в UPD4 этого поста) — это поможет защититься от повторного заражения.
LordMetal
Уже опять какой-то новенький появился вирусняк. Смс номер высвечивает один из распространенных, однако код уже другой и опять же файл с вирусом уже другой и переехал по неизвестному адресу. Еле загрузил винду (Windows 7) что б не выскакивало окошко с активацией. safe mode не помог. Как ни странно норм. загрузилось в режиме с поддержкой командной строки. сча тестю последним cure it, благо комп не тронут, вирус моя благоверная успела только на ноут занести (через аську). Пока нашлось: Win32.HLLW.Lime.based.18. Создал странный файл svcgost.exe (жалкая подъебка на svchost.exe ?? =) ) в папке windows.
LordMetal
уря! система запустилась норм, даже рабочий стол не лег. Ща пробегусь eset ss и cure it'ом, попробую отловить остатки заразы
LordMetal
не открывается диспетчер задач(
александр
Здравствуй гений, у меня к тебе совсем другой вопрос. Почти все тоже самое как и у многих пострадавших, типа на такой то номер отправить смс с таким то текстом...Только с компом все нармуль, появляеться окошко с этими данными (её не сдвинишь и не переместишь).Вобщем, не стал никуда ничего отправлять а просто антивиром удалил злополученую папку.Проблема теперь в другом, комп работает а вот в инет ваще доступа нет, что делать?
Дмитрий
проверьтесь антивирусом еще раз. Тем же CureIt. По всей видимости в системе до сих пор вирус, который и блокирует доступ
LordMetal
а вообще если система после чистки антивирем кое-как грузится, но часть ее, эмм, опций, не работает, то прежде чем ковыряться в реестре (а может и вместе с этим, если первое не помогло) неплохо помогает команда "sfc /scannow" (восстановление системных файлов). Правда понадобится диск с виндой. В отличие от опции восстановления системы эта штука реально помогает. По крайней мере мне помогла, когда на работе подкинули комп (фактически сервак, винду убивать низя было) с еле живой виндой... (то были последствия неумелого обращения как раз таки с этим вирусняком)
Сергій
Недели две назад пришло мне сообщение:
"заметно что фотка в фотошопе отредактирована или нет?
http://polsovet.ru/img/foto20.gif"
Так как я даже и подумать не мог, чтобы этого человека в чём-то подозревать, то, решил посмотреть, что там, прошёл по ссылке, смотрю - какое-то странное расширение у файла. Думал сначала спросить у приславшего, чем это дело открывать, а потом подумал, что это, наверное, специальное такое расширение фотошоповских файлов (так как хотя у меня фотошоп и установлен, но знаком я с ним мало), тем более, что и иконка, как у картинок. Ну и открыл. Вначале показалась на какоё-то момент моя программа для просмотра картинок, а затем сразу же появилась серая заставка с уже известной надписью. Антивируса у меня не было, так что ничто этой программке не препятствовало. Ну я давай, конечно же, активно нажимать на все известные и неизвестные мне сочетания клавиш, вызывать диспетчер задач (который, кстати, вызывался, но буквально сразу же, как только появлялся, исчезал) и ещё делать чёрт знает чего. После этого я решил зайти на свой компьютер с удалённого робочего стола, но и на другом компе отображалось то же. Зайдя вновь со своего компа, я вновь начал нажимать всё подряд, и как-то - я и сам не понял, как, - эта надпись наконец-то пропала. В первую очередь, я закрыл 250, или что-то около того (точно уже не помню), диспетчеров задач, а попытавшись его открыть вновь, узнал, что он заблокирован! Ну это меня, естественно, не удивило, я его быстренько разблокировал и полез копаться в автозагрузке. Но если до этого мой комп жутчайшим образом тормозил, то сейчас он вообще едва ли не подвис. Я переключился на диспетчер задач, и чтобы хоть как-то разгрузить систему, начал отключать ненужные процессы (а их там собралось немало, учитавая то, что до этого комп дней десять не перезагружался). И, видимо, я немного увлёкся, потому что в конце концов не оставалось ничего другого, как перезагружаться. И тут я пожалел, что так и не добрался до автозагрузки, так как и из безопасного режима эта надпись выскакивала. Загрузившись с поддержкой командной строки, я, по совету своего сожителя, удалил у себя в реестре (где точно, не помню) параметр winlogon. Не стоило этого делать, на самом деле.
В общем, запустил восстановление системы, и, в результате, пришлось только переустановить daemon tools. А так, все установленные программы, все драйвера, все настройки - всё осталось.
Maximal
Если не работает диспетчер задач
попробуйте так:
залезть в реестр Пуск - выполнить
regedit - HKEY_CURRENT_USERS/oftware/Microsoft/Windows/CurrentVersion/Policies/System и удалить ключ DisableTaskMgr.
Перегрузиться.
Maximal
изначально грузится safe mode с поддержкой командной строки
оттуда regedit.exe
Вообще, так же советую держать Far на машинах на такие случаи ,когда не пашет ничего.
P.S. в командной строке есть функция команда help выведет все доступные операции , по сути из командной строки можно выполнить что угодно
основные команды:
dir - показывает директории в папке
cd " путь например с:\ " меняет папку
Всем ГЛ в болрьбе.
kost
у меня просят написать текст 210000 на номер 8535, в безопасный режим не входит вылетает синий экран, винда почемe-то не ставится зависает, может кто-то сталкивался с такой ситуацией?
Ляксандер
Всем привет немогу достучаться до генератора ключей от веба окно вообще не загружается у меня проблема http://extremallife.ru/work/program/virus-sms-2 тут описывается точь в точь только нет антивирусника и инет отрубился ((( может кто подскажет что делать
Заранее спасибо
Алина
У меня выскакивает очень правдоподобное окошко,
что вроде как после обновления системы мы вас
разоблачили и всё поняли - у вас виндвс нелицензионный.
отпарвила сэмэсэ. код активации - 13616.
но оно вылетает каждые 30 секунд, когда я в нете.
днем не так часто, под вечер - зверствует страшно.
аваст пока ничего не обнаружил.
Дмитрий
Попробуйте скачать DrWeb CureIt! и проверить им
Шоколадка
Очень Вам советую, вот сайт на нём программа Доктор Веб, вводите внизу то, что у Вас написано на экране, получаете код доступа...Всё удачи!!!

http://news.drweb.com/show/?i=304&c=5

саша
Советую всем что после того когда переустановили WINDOWS поставьте антивирус Panda Internet Security 2009... я так сделал и пока что у меня всё работает
Дмитрй
Я так понимаю все на этом форуме просто хорошо разбираются в компах? а что делать простым пользователям?! попробую дать версия как я избавился от этой хрени. просто при загрузка нажал F8 и загрузился в безопасном режиме. дальше восстановил систему за пару дней до начала появления этого окна. комп нормально заработал. ну и самое главное удалил файлы с папок C:\Documents and Settings\All Users\Application Data.
Aert
думал никогда не коснётся...ну славо богу у мну есть 2 акк на компе)
помогает...Нашёл эти файлы и удалил)и вуаля всё работает) 😜
Олег
Была более современная картинка о активации, но принцип тот же. Справился зайдя в безопасный режим и восстановлением на день раньше. Жаль не могу выложить картинку (уничтожил) и не могу сказать сайт источник, т.к вирус схватила жена на свой ПК.
halabuda
мне drweb cureIt не помог решить проблему, помогла прога Malwarebytes' Anti-Malware. вирь сидел под видом с:\windows:svchost.exe

всем удачи 😊

ВИТАЛ ИК
Дмитрий, а как запустить этот файл, если у меня при загрузке безопасного режима перезагружается комп 😟
Дмитрий
какой именно файлик?
Дмитрий
Спасибо, что делитесь опытом
Дмитрий
рад, что у вас всё обошлось
Роман
😠 Сука найду этого педика который деньги вымагает я ему голову оторву он за все ответит у меня такая же ситуация была не днях этот файл назывался Aktiwat он запускался в папку Автозагрузка (Пуск все программы Автозагрузка) файл азывался Quiq Office я перезагрузил Windows XP SP3 в безопасный режим удалил к чертям этот файл и все!! я педику покажу как Активировать винду по СМС я ему гаду все активирую!!
рамир
привет,у меня просит отправит смс на номер 8353 с текстом 15598712,подскажите пожалуйста какой код разблакировки?а на генераторе нет моих номеров.
Дмитрий
могу посоветовать только воспользоваться свежей версией CureIt! или DrWeb LiveCD
N21
блин, у меня не пашет...как пользоваться лайв сд?
serYoga
У меня таким же образом Интернет заблокировали, я прогу нашёл, которая заблокировала, удалил, все равно не входит в инет, чё делать? плиз ответьте на мэйл kingst-ss@inbox.ru
CaNab1S
блин ребят, на другом сайте(антивирусника, ссылка вот http://ipsgold.ru/?p=725 ) про4итал про изменение реестра и удаление файла, после подправки реестра винда стала выкидывать ваще накуй, сразу после ввода пароля юзера, кидает в завершение сеанса и опять в менюшку выбора юзаера, ПЛ3 ПРОХЕЛПТЕ, ЕТО Я РЕЕСТР НЕ ТАК ПОДПРАВИЛ ИЛИ ЕТО ЕЩЁ1 КАКЯ-НИТЬ ХЕРЬ ?)))
Дмитрий
более подробно на forum.drweb.com
Дмитрий
опишите проблему подробнее.
Дмитрий
serYoga, CaNab1S,

можно попробовать следующее:
Пуск->Выполнить-> sfc.exe /scannow
Эта команда запустит проверку системных файлов на целостность. будьте готовы вставить установочный диск с ОС

CaNab1S
2 Дмитрий, Легко сказать пуск))) я впринципе в систему вхожу тока с лайф-сдшников, которые седни делал, а если запускать винду с харда, то она впринципе не грузица(после введения пароля юзера тут же кидает обратно в менюшку выбора пользователя с завершением сеанса(перевыбор пользователя), регистри код уже поменял, вирус грохнул(все), система все равно не грузица, команжу выполнить попробую )
ЗЫ: спс за помощ
Дмитрий
думаю тогда смириться и поставить ОС заново. У меня хоть и есть опыт в установке/настройке/поиске проблем, но удаленно очень часто диагностировать проблему явно не получается.

Поставьте ОС заново и сделайте сразу образ системы (я тут http://dimapolyakov.ru/blog/2009-10-27-193 рассказывал)/ В будущем он поможет восстановить систему минут за 15 😉

CaNab1S
С этой проблемой разобрался(сделал ещё один загрузочник с ЕРД коммандером и изменил значение реестра), но почемуто даже после лечилки доктора веба и удаления тонны троянов и мусора, все равно выскакивает сообщение с этой хренью,не подскажете в 4ем проблема(сори что нагружаю, но я вроде все что нужно было сделал)
CaNab1S
УРЯЯЯЯЯЯЯЯЯЯ, я разобрался с этой ерундой, вирус достаточно туп, т.к. блокирует тока виндовский диспетчер задач, но не обращает внимание на ProcessExplorer(кстати полезная программка, советую всем), если успеть до всплывание окна запустить обозреватель, то можно зайти в локальную шару и запустить закачанный на лан комп процесс-експлорер, процесс назывался active.exe, файл лежал в C:\WINDOWS\active.exe, грохнул, все заработало, это название тоже проверяйте у себя )) 😉
Дмитрий
спасибо за то, что поделился опытом 😉
Альберт
Тоже была такая шняга полу прозрачная голубая заставка и посередине поле для ввода отправте смс 8353 на номер 151144 снизу вправом углу у вас пиратская версия Windows при попытке переустановить изменить какие либо файлы будет отправлено уведомление в Microsoft в отдел по борьбе с пиратством зашел на http://news.drweb.com/show/?i=304&c=5 ввел номер в генератор и воля вписал в вирус и чики пуки заработала запустил DR WEB работает отлично нашел два вируса Winlock b Torjan и удалил.)))) 😃
Квадрат
Такая же фигня, только при попытке зайти в безопасный перезагружается комп, генератор выдавал введите 0 или 0, тоже не помогло)) Среди скриншотов на сайте др.вэба такую же разновидность вируса не нашел, нашел похожие, но тоже не помогло, при нажатии ctrl+alt+del не вылезает ничего, выскакивает после загрузки винды на фоне черного экрана маленькое окошко. Кто знает помогите пожалуйста 😟
виталик
вот у меня вабще собираюсь делать как вы начал захожу в мой комп вот вэту документы и программы или чото а=в это роде нажимаю и отказывает в доступе что делать умоляю подскожите!!!
Надя_Iriver
Я переводила дату в биосе и назад и вперед, диспетчер задач и автозагрузка не запускаеться, восстановление винду пробовала делать,cd live нет у меня, комп как был залочен так и стоит, что еще можно сделать?
Дмитрий
либо выбрать более раннюю дату в восстановлении системы и откатиться, либо переустанавливать систему с нуля.
Владимир
Переустановил винду...Пашет где-то час, а потом опять выскакивает эта дребедень..Почему после формата С эта фигня опять появляется?????? 😠
aquarius
Прежде всего выражаю свою благодарность хозяину блога и всем отписавшимся по существу проблемы. Спасибо. Помогло. 😊
Дмитрий
Спасибо, что поделились.
Думаю ваш рассказ поможет многим в борьбе с напастью
Дмитрий
у вас дырка в системе. Если еще не установлен СП3 - срочно ставьте! А потом поверх PreSP4, ссылка на который дана в посте
Даниил
Сегодня случайно брат зашел по спаму в контакте. Результат не заставил себя ждать. Комп заблокировался,а диспечер недоступен.
Часа 2 искал что-нибудь подобное на форумах, наконец, случайно прочитал коммент, какой-то девушки о том что её друг просто ввел кучу нулей. Я тоже решил попробовать, зашел через безопасный режим, набрал... И, о чудо, сработало! Ввел подбором 7 нулей. Затем скачал антивирус De.Web CureLt и удалил всю пакость.
Говорят, что можно ещё зайти через безопасный режим с поддержкой командной строки, ввести msconfig и отключить все автозагрузки + неизвестные процессы, но мне не помагло.
P.S. НЕ ОТПРАВЛЯЙТЕ СМС! ГОВОРЯТ, СЪЕДАЕТ ОКОЛО 300 РУБЛЕЙ и ответа НЕТ. 😢
Viva La Roma
Помогите пожалуйста! Поймал такую же штуку , только еще с рекламой порнухи не рабочем столе, которая "отключиться" если отправить смс. Попробовал все что прочитал.... CureIt не помогает, AVZ тоже. Восстановление системы не включается , выдает какую то ошибку. ОТкрыть c:\Documents and Settings\пользователь\Local Settings\Temp\ не могу, так как комп не показывает скрытые файлы,тоже вроде из-за вируса...regedit не выполняется .. сразу синий экран выскакивает и перезагружается...МОЖНО ЛИ СДЕЛАТЬ ЕЩЕ ЧТО НИБУДЬ ???!!!
Zhuk13
Спасибо большое помогло
Димас
Спасибо, помогла база DrWeb, ввёл код и зашел в систему, что-нибудь после этого ещё делать надо?
DeMaN
спасибо огромное,помог !!!!!!!!!!!!!!!!!!
SAA275
Тот же трабл с инетом, кто нибудь разобролся че за хрень??? 😢
Дмитрий
напиши подробнее, в чем проблема?
Maxim
Новый вид вируса наверно, File Downloader блокирует интернет. Подхватил буквально пару дней назад, пробую все способы которые есть в народе, но не помогает. Отправить смс надо на 1350 с кодом 262016561. Кто от этой хрени избавился помогите!
сергей
Нашли в чем проблема?? У меня просто тоже самое... инета нет...
Maximus
поймал наподобе трояна, только после лайв сд пишет что проблема с проверкой лицензии виндовс, и впускать в винду отказывается напрочь.
Сделал очень просто, формат ц, я обычно всегда борюсь данным способом. У меня важного ничего не бывает на жёстком, всё важное у меня находится на съёмном жёстком
😊
Живой_пока
Аграмедное спасибо-с хозяину сего блога! Чесслово оч.полезно.
Хотя, мне пока не слишком помогло. Хрень в том, что вирус заблокировал все, что возможно: ESS, ProcessExplorer, AnVir Task Manager - это стояло в стартапе, затем - regedit, TC, не дает запустить АВЗ, ДрВеба... 😢 Я не понимаю как это умудриться чтобы этот понос работал также "успешно" и в Безопасном режиме. Я не понимаю аффтаров Винодовоза, которые разрешают посторонней проге нагло писАться куда угодно, как будто везде - дыра. Блииин.
Ну что, ЛивСД не сильно помогають: ДрВебовский ничего не нашел; у него Линух, свою анвирь не запустить... Лив Панда - нашла пару мелочевок... Ну ща вот загрузил ESS RescueCD - вроде чего-то ищет. Капец полный.
Ну разве что подцепить винт на рабочий комп и там бомбить. Еще грят, ежели подключить второй монитор, то на нем можно зделать все-все-все, что нужно. Эээээ....

А ваще-то я на работе случайно нашел, считать, этого долбанутого аффтара, ядри его в Жэ,Хэ,Мэ и весь алфавит!! Он в форуме ХАКЕР продавал свою хрень за 10 уёвин. Народ торговался как на базаре, сидку просил. Кто-то запросил шоб аффтар збацал ему панель, в которой и набирается разный текст "бла-бла", другие СМС, оформление. Потому, видать, и вылезло столько разновидностей этой заразы. Аффтара ф топку!!!! 😠
(ЗЗЗЫЫЫыыы. Нащот аффтара не шутю. Но если сцылка на тот базар нужна, плиз, мыльте. А то я ща за чюжым кампом, случайно набрел сюды).

Алексей
Здравствуйте! меня WIN7 После удаления вышеописанного вируса с помощью программы Nod32?? компьютер видит интернет соед-е и показывает что оно рабочее, но не на один сайт не могу зайти. Помогите 😢
luccello
у знакомой девочки та же фигня- она в компах не шарит- помогала ей удалённо через асю. та же картина - блокировал, зашли в безопасном режиме, почистили комп cure it- ом, нормально грузится, соединение есть, ася работает, бит торрент качает, а браузеры но одну страницу открыть не могут. кто справился с проблемой?
Дмитрий
Алексей, luccello, попробуйте проверить файлик windows\system32\drivers\etc\hosts

в нем не должно быть ничего кроме
127.0.0.1 localhost

Если есть другие записи - смело их удаляйте. Так же проверьте параметры подключения к интернету. Попробуйте в качестве DNS установить следующие адреса:

208.67.222.222
208.67.220.220

Отпишитесь потом о результатах.

luccello
вчера девочка сообщила, что удалила вирусы из карантина и инет заработал! зато не работают звуковые драйвера.... вот млин!
Алексей
Помогите плизз вирус некуда непускает ПРишлось удалить антивирус так как его полностью проели,Требует отправить смс с кодом к705913300 на 4460В инет выйти не могу антивирус установить или скачать тоже 😟
RexGRU
Закончил борьбу 5 минут назад. Скажу сразу загрузка в безопасном режиме НЕ помогла. Вирусня блочит и там. Загрузился в безопасном с поддержкой командной строки.
Затем:
>msconfig
Службы -> Востановление системы. Откат на предыдущий день (до того как появилась вирусня).
После этого поиск файлов которые были созданы или изменены в день заражение или после. И убить все.
Можно для уверенность прогнать парой антивирей.

З.Ы: ОС: Виста

Александр
У меня на компе появилась такая же хрень,отправте смс на номер 4460 с текстом К705113100, я с другого компа стал искать что делать, делал загрузочные диски,пытался найти вирус доктором вебером, но всё оказалось проще.(на все предыдущие действия я потратил день).
Потом прочитал гдето на форуме, что нужно обращаться к оператору которому принадлежит номер на который просят от править смс.
Я набрал на яндексе номер 4460 и получил адрес владельца , в данном случае это компания А1 агрегатор,www.a1agregator.ru, я по всем их службам по почте отправил письма с просьбой прислать мне код разблокировки иначе завтра пойду писать заяву в милицию и у меня винда лицензионная, в течении получаса мне по почте прислали код, потом я ввел и вирус даже самоликвидируется и следов не найти, антивирус потом ничего не нашёл. 😃
Dez
Действительно появилась новая модификация,во вирус блокирует редактор еестра, недаёт запускать exeшники и в безопасных режимах также. Пробовал искать везде этот вирус непомогает. Уже снёс операционкау(XP), правда забыл попробовать некоторые вещи то как перевод часов в биосе на день вперёд. А угрожать оператору что-то я и неподумал )))))
Александр, действительно немогли бы вы поделиться кодом?
Zebra
Спасибо большое! решил проблему с с помошью друга свободного лайфа...Т.К блокирует панель задач сетевое окружение вобшем всё.! КСТАТИ У МЕНЯ НОМЕРА И ТЕКСТ БЫЛИ РАЗНЫЕ НО КОД ПОДОШОЛ, Я ДАЖЕ ЕКСЕШНИК НЕ ИСКАЛ (блокер) ТАК ЧТО НА НОМЕР НЕ ОБРАШАЙТЕ ВНЕМАНИЯ ПРОСТО ВЕДИТЕ КОД.
Артём
я тупо вводил всё вподряд и нажимал "ок", после 20-40 раз появилась панель задач и через минуту весь рабочий стол 😊
Юра
До Нового года подцепил ту же хрень. Но как странно было ли у кого-то такое: хрень эта выскакивала только под паролем администратора, а под паролями обычных пользователей этой хрени небыло, но интернет был заблокирован у всех пользователей. Так как дома есть 2 компа, то проблему решил с генератором ключей на DrWeb. Антивирус стоит КАСПЕРСКИЙ, но хрень эту он пропустил. После скачал DrWeb Cureit, запустил полную проверку, нашел он вирус Trojan.Winlogon591, удалил его. Теперь под пользователем администратор все ОК, но под обычными пользователями интернета нет!!! При чем если войти в систему под обычным пользователем и запустить обозреватель (IE8, OPERA) под администратором (правая кнопка мыши - запуск от имени и выбираем администратора и вводим пароль), то все работает. Но раньше заходил под обычным пользователем и все работало без пароля администратора. Помогите справиться с этой хренью. Мучаюсь уже неделю - ни чего не получается.
Дмитрий
а если создать нового пользователя? Проверь файлик hosts
Юра
Если создаю нового пользователя с правами опытного пользователя, то тоже ничего не работает, а если с правами админа - все ОК. В файле hosts ничего лишнего нет. Если честно, то уже запарился - сегодня целый день на эту херню потратил и ничего не могу сделать.
Вадим Усков
А я востановлением системы его грохнул, файликов этих не нашол но какоето грохнул
axel-asm
😉
Дмитрий
удалять коммент не буду.
Сейчас ты получишь в почту кучу «доброжелательных» писем 😃
EMolchanov
))))) +1 письмо на мыло yurkovich83@gmail.com
sp1d3r
что делать?
меня просят отправить смс на номер 1350 с текстом 861282182 генератор , как впрочем и другие способы решения проблемы не помогли.
помогите , пожалуйста )))) 😢
Дмитрий
попробовать обратиться на сайт http://www.smsrent.ru, как я понял — это они владельцы короткого номера (не вируса!!!). Возможно они подскажут код.
Ни в коем случае не отправляйте смс — вот тарифы — спишут сразу 300р!
Сергей
Если после удаления вируса нет инета, возпользуйтесь AVZ (файл-восстановление системы-14 пункт ())
Андрей
Получил "подарок" в виде запуска некоего INTERNET SECURITY с сообщением о сканировании системных файлов, строкой состояния и в конце-концов нахождения 60-ти зараженных файлов. После меня пристыдили за то что я до сих пор не активировал эту чудесную программу и предложили выход-отправить смс для получения кода активации. При чем все так натурально, не поленились даже добавить кнопки типа "лечить","карантин","удалить". Ничего, естесственно, не сдвигалось и не закрывалось. Диспетчер задач,равно как и восстановление системы да и все остальное было деактивировано.
Помог генератор Dr.Web. Потом запустил gpedit.msc, вернул все на свои места. Затем основательно,вручную, зачистил реестр и все папки TEMP.
Пока вроди тихо...
konditerJap
Бывает же такое.....
kazantiprJap
Согласен, эта замечательная мысль придется как раз кстати
Николай
http://support.kaspersky.ru/viruses/deblocker вам поможет.
sasha
Стоит w7 (антивирь аваст,ну и +) ноут на работе не разу не поймал такую дрянь, да и особо не куда не лазил. Дома все намного печальнее было. (Синий экран и Бла..бла..бла) внизу номер sms. Брат привез жесткий на работу, сканирование антивирусом 0 толку. ладно думаю посмотрим что там. Время переводил 0, искал указанные файлы 0. Помог банальный поиск (созданы ранее файлы таким то таким то числом отправились в топку)После приведение реестра в порядок. Ну и гвоздь программы прогон антивирусной системой 😁
tipic
вирус мегаизменился, после ввода кода идёт обратный таймер,причём время увеличивается с каждым вводом в арифметической прогрессии... способ лечения вроде ест, проверюсь, если вылечил, выложу ссыль на источник.
tipic
кстати, генераторы
INTERNET SECURITY с сообщением о сканировании системных файлов, строкой состояния и в конце-концов нахождения 60-ти зараженных файлов
можете не использовать, не работают
Popados
Уважаемый бойцы с дрянью здравствуйте.
У меня вылезло Internet security генератор кода не работает, он на каждый код пишет анализ 7-6...-0 а потом НЕВЕРНЫЙ КОД.
Все безопасный режим тоже капут, cmd, диспетчер,regedit сладко спят, откатка времени в биос не помогла.
Я скачал liveCD скажите как его правильно записать на болванку.
1)запихал папку boot-тупо диск F:\boot\файлы папки
2)запихал из папки boot-диск F:\файлы папки
Ни так 1 ни так 2 не грузит livе CD(все в биосе правильно настроил-загрузчик, диск windows грузил)
Что мне делать?
tipic
откати число в биосе раньше 12 января и пробуй..
Popados
Да хоть да юрского периода откатывай,не работает.
Дмитрий
По совету добрых людей добавил в пост ссылку на новый раздел на сайте DrWeb, в котором можно получить код разблокировки, а так же на аналогичный сервис от Касперского.
Ссылка на PreSP4 так же обновлена.
Борьба продолжается!
Дмитрий
скорее всего файл LiveCD скачался в формате iso — это и есть образ диска. его нужно открыть программой для записи дисков (все современные проги это делать умеют, платный Nero или бесплатный CDBurnerXP точно) и записать с их помощью. А дальше всё как обычно...
Aikus
блииин, тоже вылез этот бутафорский Internet security 😉
Maleus
Словил такую же фигню как описывается в последних постах, в режим защиты от сбоев не перейти, единственно если в мс конфиг в бут ини указать что грузится в сейф моде с указанием не помню какого режима сейф моде, но по моему крайнего правого, тогда загрузка в сейф моде идет но не под администратором, что т этого тоже толка я не заметил, а в норм режиме закрыт диспетчер, регедит, тотал, антивирус, куда не ткнеш вылазит это окно.
Но у меня стоит 2 ОС , гружусь со второй, пускаю Аваст - результат 0, пускаю - Ад-аваре результат -0, пускаю Нод32 - результат 0, надоело
Нахожу поиском все фалы созданные за дату когда подхватил, и все левые и непонятные удаляю.
Нахожу все файлы измененные за ту дату, часть удаляю, часть заменяю файлами с 2 системы.
Гружусь - все работает кроме диспетчера, регедита, антивира, и загрузки в режиме от сбоем, и восстановления системы - пишет что администратор все это отключил в политике - типа зайдите как администратор.
Лезу через панель управления в политику пользователя, нахожу где включить регедит, диспетчер. Копии реестров не делал( так что реестр не импортировать. В диспетчере сидят вроде все свои.
Но я помню что у меня работает восстановление системы - то что в служебных приложение. Но его не запустить - тоже ограничение, где снять не нашел, кто знает подскажите, хочу откатить всю систему.
Popados
Сука а не вирус, короче я грузился с livecd(не обновился и почему-то сканер не запустился)и rescue(обновился, нашел какй-то троян, лечил),загружаюсь зажав пальцы, а фигушки internet security.Кстати у меня тоже стояла,слава Богу 2 винда.Прогонял всем чем можно, ноль результата.
Плюнул, решил переустановить винду, во время установки решил, а дай попробую воостановление. И сработало, вирус сдох, тока у меня как и у Maleus типо админ все отключил.
Юзаю вот это (http://shkolazhizni.ru/archive/0/n-10631/)восстановил диспетчер и реестр,тока антивир(avira) всеравно мертв, переустанавливал несколько раз.
Скачал все обновления windows и о чудо антивирь ожил, в дополнение поставил комодо.
Прогнал опять всем чем можно систему, реакция ноль.
Пока сижу держусь за яйца 😊
А еще с утра захотел поставит игруху Call of Duty:MW2.
Не поставилась пишет Failed to run install script
Нашел решение
Мой компьютер -> Правой кнопкой на DVD-приводе -> Открыть -> Правой кнопкой на setup.exe -> Запуск от имени администратора.
Тока вот он орет что типо не нулевой пороль или какая-та группова политика.
Ни кто не знает как это исправить?
Максим
я очень легко все удалил 😊 вот вам помощь http://www.drweb.com/unlocker/index/?lng=ru
Дмитрий
в конце статьи я сделал ссылку на этот сервис 😉
dj_ermil
История:
вирус Internet security (ekav)
при загрузке Windows не стартует:
userinit.exe
ccSetMrg.exe
ccEvtMgr.exe
alg.exe
rundll32.exe

заблокирован, не работает диспетчер задач, ctrl+alt+dell
не стартует ни один .exe файл
иногда открывается окно с требованием отрправит смс и ввести ключ

Бился с самого утра, спасибо, помог стандпртный ключик 544625144 и

сайт http://boltunishka.berserki.ru/archives/417
Сейчас загрузился с LiveCD, провожу проверку CureIt

За такие вещи людям надо яйца отрезать

Ксана
Добрый день! Помогите кто может!!!! 😟 даже не могу посмотреть гостевую книгу, где мои друзья меня поздравляют с праздниками(((
Пожалуйста, помогите разобраться, за раннее спасибо!
Дмитрий Поляков
Сергей Кобельников в личку сообщает:

Я - компьютерный "чайник". Вымогатели заблокировали компьютер,но с помощью ребят с форумов,нашелся код активации. Спешу поделиться со всеми,у кого такая-же беда: текст СМС 585359763 тел.Для абонентов МТС 1350,других операторов 3353 или 8355. Подошел код 10149301. Удачи всем!
fariz
народ очень простой способ избавиться от этой заразы токой....просто возьмите телефон и наберите следующий номер.8(495)3631427 там вам ответит оператор "А1АГРЕГАТОР" продиктуйте ей или ему код который вирус предлагает вам отправить по смс... и там вам скажут код требующийся для разблокировки вируса. надеюсь это вам поможет мне помогло. всего доброго. 😊
Денис
Помогу разблокировать Windows. Пишите на почту saieler@rambler.ru
zool
здрасте у меня была та же проблема на ноуте ситуация осложнилась тем что сломан сидюк и переустановка винды не возможна как тут посоветовал один друг по искать подозрительные файлы в апликатион дата нашол дельнул проблема самоустранилась но винда до сих пор блокирована не работает ни regedin ни диспетчер задач также не возможна работа многих эксишников из за изменений в груповых политиках ни востановление системы по этой же причине также иконка в пуске ссылающаяся на эти груп политики атстутствует и я подозреваю тоже не будет работать .....вот такое вот говно ...этот аваст пропустил настолько глобальное изменение системы нафиг все бесплатные антивирусы касперский рулит )))
Дмитрий
Что могу посоветовать:

1. Утилита AVZ должна вам помочь.
2. Запустить управление групповой политикой безопасности можно так: Пуск->Выполнить->gpedit.msc
3. Запрет на запуск редактора реестра и диспетчера задач так же может снять XPTweaker

Дмитрий
Если не поможет, может это как раз причина мигрировать на Windows 7?
Где взять образ диска думаю найдете, а эта программка поможет сделать загрузочную флешку и установить Windows 7 с нее.
Дмитрий
Если кто будет обращаться к автору комментария - напишите потом здесь - добросовестный помощник он или тоже чего вымогает.
Дмитрий
это в случае если владелец короткого номера А1АГРЕГАТОР
Дмитрий
хоть вопрос и не по теме топика, постараемся помочь.
Уточните, как именно заблокировали картинку? Стоит ли у вас дополнение AdBlock и AdBlock element hiding helper?
Наташа
три дня назад нод поставила, сегодня уже попалась! ничего сделать не могу - он отключил клавиатуру! Как с этим бороться??? Уже и коды нашла, а толку-то. В безопасном режиме тоже не зайти 😟
boroda4446
Я использовал Paragon Rescue Disk.Сначала нашел эту гадость-
"C.\Program Files\plugin/exe" а потом загрузился с Парагона и
просто удалил этот файл.Потом CCleaner вычистил автозагрузку
и реестр.Желаю всем удачи в борьбе с замудонцами.
WP Themes
Amiable post and this post helped me alot in my college assignement. Say thank you you seeking your information.
Анатолик
Походу вирус эволюционирует... Скачал с др.вэба загрузочный диск, вставил, в ноут запустил и всё теперь дальше выбора видов загрузок(обычная, безопасный режим, востановления посл. кудачной конфиг) зайти не могу 😢
Дмитрий
а загрузку с диска выбирали? Меню лайвсиди появилось?
Rengenx
Потыкаю по рекламке в качестве благодарности за статью!
Николай
Мне реально помог только AVZ и прямые руки. А потом установил AVAST, он блокирует скрытое скачивание с сайтов и уведомляет об этом, а разрекламированные каспер и др веб курят бамбук. коды др веба не подходят. сканеры их не видят вируса, а аваст после того как я отключил загрузку вируса при старте системы нашол потом хвосты этого вируса. до него у меня стоят nod32 с последними обновлениями, который благополучно профукал сей вирус и умер скоропостижно после перезагрузки компа.
Rengenx
Пощелкал по рекламе. спасибо за пост
У меня та же проблема, только я все таки решил переустановить ОС. Но только не достиг успеха. После форматирования диска начинается установка ОС, но только заканчивается копирование файлов, комп перезагружается и все начинается сначала. Если кто знает что нужно сделать, помогите пожалуйста. Заранее спасибо
Wolf
Только что подцепил эту гадость. Антивирус (Avira) не помог. Вылечил за пол часа руками без всяких фокусов. Тупо зашел в сейф моде под администратором, порылся в журнале событий. Засек точное время заражения. Затем вычистил к едрене фене и жукам майским все файлы на системном диске начиная с этого времени. В числе прочих под нож попал загадочный файл Postmap.exe. После ковыряния в регэдике он бодро нашелся в автозагрузке и был подвергнут страшной каре. До кучи для верности почистил весь кеш. После перезагрузки все стало нормально кроме заблокированого диспечера задач. Эта хрень что то меняет в групповых политиках. Видимо урезает права пользователям. Я не долго мудря перегрузился опять в сейве под админом и откатился до вчерашней точки восстановления. Благо в фортках такой фокус существует еще с Линолиума. Собственно все. Антивирус обновил. Сейчас он весело потрескивает винтом. В системных папках ничего не нашел. Видимо руками все правильно убилось. 😝 ...
Дмитрий
на сайте drweb есть генератор кодов смс. Моего кода не было, Выбрал самый последний который был чтоб примерно подходил и ни че прокатило, комп включился. 😃

у меня был чёрный экран, написано в центре и слева внизу про операционку указано, что не пытайтесь переустановить. 😉 😟

Rengenx
Огромное человеческое спасибочки!
Валера
помогите пожалуйста. поймал блокировщика, просит отправить текст 8056534 на номера 9395 ;8385 или 2090. пытался зайти через F8, но не получается. пытался найти похожие блокировщики не нашел. коды тоже не нашел. подскажите как решить проблемму 😟 😢
серг
8056534 номер 9395 8385 2090 . Что делать ? HELP
Млявый
СЕРГ, держи - himydarling

На будущее тебе вот - http://support.kaspersky.ru/viruses/deblocker

серг
неа неработает ((
Млявый
СЕРГ, странно, что не работает, мне всегда помогало. Все 3 номера пробовал вводить в поле номера(по очереди)?
В любом случае KIS2010 при полном сканировании находит эту гадость, называется WIN32 NESHTA, у меня много раз была она. Заражается svchost.exe, после чего ни один экзешник не запускается и диспетчер задач отрубается. Мне каспер её удалял а все заражённые файлы вылечивал, теперь нет проблем. А всякие авасты можно сразу в топку отправлять.
Млявый
Точнее, не WIN32 NESHTA, а WIN32 RANSOM.
Скачай хотя бы триал каспера 2010-го, просканируй - он тебе предложит лечение с перезагрузкой, после чего норм всё будет, а диспетчер задач можно вернуть восстановлением системы или реестром. Но вообще, ссылка, которую я тебе дал, мне помогала всегда.
серг
Спасибо канечно , но я немогу ниче скачать ибо виндоус не запускается . И ничего сделать не могу вообще . Коды неподходят никакие . Сейчас решил ждать 3 часа посмотрим что будет . Написано если в течении этого времени не отправить смс то писец будет . Остался час . Как думаете что будет?
Дмитрий
попробуй код 5352161

вообще ничего не должно произойти страшного.
DrWeb LiveCD пробовал качать?

Oleg
Разблокировка программ-вымогателей.

1. Найди комп с выходом в интернет
2. зайди по адресу
http://www.drweb.com/unlocker/index
3. Внимательно прочти всю страницу и введи в генератор свои данные
4. Полученный ключ введи на своем домашнем компе
5. Хватит лазить по порносайтам!

Алекс
есть такая проблема , диспетчер задач не работает блокеров нет , пароли не работают которые были написаны , а на сайты указанные здесь не заходит , помогите плз если что аська 470730750
макс445
помогите мне пожалуйста! у меня заблок винду...
просит отправить смс m21720009 на номер 8353
не могу нигде найти код разблокировки
😢
Дмитрий
анлокер на сайте доктора веба пробовали?
Дмитрий
подобные сервисы есть от касперского и нода. Ссылки есть в статье - попробуйте, по результатам отпишитесь тут.
DEN63
Прочитал статью, очень познавательно и полезно. На диске системном нашёл файл "UgWMa.dll - весит 15,5 кб". После его удаления просьба отправить смс исчезла.
DEN63
макс445,
Попробуйте зайти на сайт Dr.Web и там нужно скачать и запустить на исполнение "лечащаю утилиту Dr.Web CureIt". Найти можно в разделе "программы", бесплатные утилиты.
Сегодня лечил комп, так тоже невозможно было найти код разблокировки, спасение нашёл в этой утилите. Интересно что номер смс тоже 8353. Удачи.
LoneWolf
Поймал эту заразу, тел. 8553 CureIt не помогает.

Людй, куда еще можно ткнуться? Без компа как без рук

skerrourl
Кино и немцы...
Всё бы это было очень смешно, если бы не было так грустно
LoneWolf
Не первый раз ловлю. До этого помогала утилитка, или вручную удалял
blocker.* и иже с ним. Сейчас на компе файлов с такими именами просто нет. Что-то новое
Дмитрий
А CureIt свежий скачивал?
LoneWolf
Да.

прогнал весь С:/ в безопасном режиме
- толку никакого - 0 найденных объектов

lechon
став AVG 9 и всё будет пучьком :up:
Дмитрий
И на что он ругается?
Сергей
Всё намного проще.заходим на dr.web там есть ссылка на разблокировку всего.Сам проверял.
plift
Здравствуйте!
Сегодня товарищ позвонил и попросил помочь с разблокировкой. Сам я про такую штуку только слышал, но не сталкивался. Благо есть такой наш спаситель - Дмитрий Поляков:) По ссылочке отсюда перешёл к ДрВебу и как ни странно с первого же раза прошли коды(на удивление их было 2). Коды я продиктовал по телефону и в итоге винда заработала, а интернет по обыкновению нет:) Требует опять отправлять смс, но поля для ввода кода уже нет:( Завтра еду на встречу с тем компом, чтобы попробовать вылечить его. Собрал всю инфу из комментов: имена файлов вирусов, проверку файла hosts, воспользуюсь AVZ и CureIt - посмотрим что получиться. Пишу к тому, что может кто подскажет ещё какой-нибудь способ, который прошёл у него, дабы быть вооружённым завтра до зубов. Заранее спасибо.
plift
Сегодня всё отлично решилось. Прошёлся CureIt по компу. Воймал файл TaskKills.exe в папке system32. После воспользовался по инструкции AVZ и теперь всё работает отлично. Спасибо АВТОРАМ!
димычь)
нет подходяшего кода что делать????????????? 😳
Дмитрий
поищите примерно похожий
max
спс большое создателем сайта я на трекере 2 банера всхватил и 2 раза сайт помог а деньги тратить нехоца :dollar:
romaXA
висит банер вы успешно зарегистрировались на портале для геев и просят положить 300 руб на номер +79670584495. вся система заблокирована ничего не могу сделать...Что делать?помогите плиззз!!!! 😟
Дмитрий
попробуйте код b3s4lwYGaj1eh8owP0Al
hiori
не помогает Тт
сашулька
привет!! помогите, какая то херня вылезла на раб столе( просят отправить смс с текстом:41771027 на номер 3381!.... помогите,4то мне надо сделать?!?! 😟
раф
Вчера принесли бук. При загрузке на весь экран вылазит окно с просьбой, пополнить счёт абонента. В безопасном режиме тоже самое. Скачал minDrWebLiveCD. В биосе поставил загрузку с CD. Загрузился с диска LiveCD, запустил сканирование на ночь. Утром! LiveCD всё ещё в процесе(сканирует). Не выдержал, остановил. Сегодня в течении 8 часов перерыл весь инет, советов куча, только путных нет( для меня обывателя ). Итог, сделал так:
1) На другом компе скачал Dr.Web CureIt с оф. сайта
2) записал его на CD.
3) Загрузился на больной машине в безопасном режиме с поддержкой командной строки.
4) Вставил диск и в командной строке вбил путь к файлу Dr.Web CureIt на диске ( d:\(название файла с расширением)) + энтер. Вместо d, пробуйте f,e.g
5) Грузится Dr.Web CureIt, сканируем. Находит вирус, удаляем. И всё.
6) В биосе востанавливаем загрузку с жёсткого диска.
Monstr
romaXA,

C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr00VKF-это удалить
Вирус называется Trojan-Ransom.Win32.PornoBlocker.vu

Dima
у меня тоже такая штука была)) я даже не знал тогда про ее существование... так мучался и ввел просто код который надо было отправить и вуаля))) щитал себя таким генеем))
Vik
На днях такая же фигня была - висит красный баннер с тремя картинками, требующий отправки смс на номер 3381 и блокирующий практически любые

действия в виндосе. После многих часов бесплодных попыток убрать эту заразу, мне посчастливилось совершенно случайно найти способ обрести

контроль над своим компом. Комп я не раз переводил во все виды безопасного режима, но этот баннер все равно висел и там. И вот, находясь в таком

режиме, я пооткрывал кучу окон с диспетчером задач (также блокируемых), и уж было собрался выключить комп - нажал кнопку, но комп не

выключился, баннер с экрана пропал, но контроль не восстановился, и тут я нажимаю клавишу виндоуса и затем F3 - и, о счастье!, появляется

полностью управляемое окно поиска! С его помощью открывались любые папки, также через него открылась опера с которой я и скачал необходимые

утилиты (DrWeb CureIt к примеру). Прошелся ими по компу - были выявлены трояны TaskKill.exe, Trojan winlock 1897 - 2 штуки и Trojan hosts 373 XIfk.exe.

После перезагрузки комп снова заработал! Естественно просканировал все диски впоследствии с помощью нода, нашел еще несколько троянов и

вирусов. Что интересно, в конце дня в статистике антивируса было написано что на комп было совершено 1350(!!!) атак. Только я не знаю - может ли

каждая такая атака быть следствием лишь одного вируса или нет? Прошелся еще раз нодом и утилитами - опять нашел трояны, лишь после этого

количество атак снизилось до 2-5. Возможно такой оригинальный способ лечения это лишь следствие особенностей моего компа - не знаю, но может

кому и пригодится. Ищите и обрящете 😊 ПыСы: поменьше скачивайте всякую фигню, и все будет ок, я так же установил самораспаковывающийся архив якобы патч для игры сталкер - и вот что вышло. Впредь буду осторожней и вам тоже советую...

Vik
Да, кстати, у меня Windows XP SP3
Алексей
50091054 текст 9693 номер
вот на это нада выслать если у когда было уже это или знает код скажите пож
Дмитрий
Попробуйте 623456 или 533039546
kop444
у меня тоже вчера такая бяка была,я её удалил командой ctrl+alt+shift+f,можно ещё попробовать ctrl+alt+shift+p и ctrl+alt+shift+i 😊
Иринчик
Три дня маялась с такой х... Потом наткнулась на бесплатный телефон 88001007337. Код разблокировки дали сразу! За две минуты закрыла эту заразу! Потом конечно же, комп лечила Dr Web. Всем советую! 😉
Olesya
Здравствуйте
ПОМОГИТЕ ПОЖАЛУЙСТА
после перезагрузки сайт одноклассники выдал сообщение "ваш комп заражен вирусом и рассылает сообщения спам". Для разблокировки отправьте смс 353031310 на номер 3354
спасибо 😢
Дмитрий
Олеся, кодов разблокировки на сайтах популярных антивирусов пока нет.
Сейчас могу посоветовать скачать DrWeb LiveCD, записать его на диск, и загрузившись с диска просканировать жесткий диск на наличие вирусов.
KING413
Ох чует мое сердце..сами антивирусники это придумали..чтоб проггу совю раскрутить да рейтинг поднять 😝 )))
Вен
У меня такое же говно было на днях (пополните счет на билайн там чета 890...... дальше не помню на 400 рублей и из терминала выйдет чудо т.е код для разблокировки, но какого хера, номер та обычный я каждый день счет пополняю и небыло таникако кода, ну лан суть не в это,-- что делать?) лазил через биоз изменял дату,там безопас режим ни споддержкой строки, кроче исе Ф8 перепробовал , на сайте доктора В был кодов 30шт перепробовал, Вовщем в моем случае охиреть хитрожепая модификациях, ну я чел простой програмирования не заканчивал, хотел все по простому и по быстрому, а винда нужна (которая заблокирована)
Вариант1 Быра установил другую винду на другой раздел, без форматирования, ( со Zverем- сборка такая,30 мин иустановлена) потом скачал D.web.6.0 (тока одно разовый не качайте) потом ключ найшел в нете(много сайтов перерыл)обновил , потом начал искать, (у меня 500Г сканировал он их часов 8, хотя троят почти в самом начале нашел потом спасибо немного еше кала нашел, который нод 32 не находил в упор, кстати у меня троян.Siggen2.3 тут был C:\Documents and Settings\Admi или какая у вас учетка\Application Data\Opera\Opera так как лажу всегда через оперу рекомендую, поудалять эту и подобные папки, в други, кроме той что в програм файл, думал все захожу в зараженную винду, а тамО_О роче таже песня хотя таблички для кода уже нет, тупа голый раб стол, опять ни хера не работает ни пуск ни деспечер файлов, и тогда делаем так(должно помоч мне помогло,) потом выполняем вариант2( попробуйте вар2 без первого, может установ 2 винду не надО)
вар 2 зажимаем правый шифт на более 8сек и делаем все как тут http://kadetoff.ru/blocker.html сказано (чваку огромный респект за идею, ) МОЖНО ПОПРОБОВАТЬ как он делал тоже один из вариантов, ИЛИ так ну вылезло это окно, и потом параметры ,- кликаем правой кнопкой по тексту ,- левой по что это такое, потом правой по тому что вылезло БЕРЕМ ПЕЧАТЬ РАЗДЕЛА если есть принтор то все кул, ЖМЕМ настройки потом справка и по справке в мой компьютор - а там быстренько качаем AVZ - http://devbuilds.kaspersky-labs.com/devbuilds/AVZ/avz4.zip делаем как написано тут http://sonikelf.ru/windows-zablokirovan-otpravte-sms-ili-naglost-vtoroe-schaste/ вариант 2 ( челу тоже респект за знания ) или тоже как вариант нажимае win+U (кстати таких комбинаций много, поишите в нете, какая нибудь да прокатит) справка, в справке в поеске пишим мой комп, или проводник или др потом любое из заданий открываем окно мой комп, и далее через AVZ , удаляем (ссылка с инструкциями выше) потом чистив доктором вебом, или каспером, говорят он ихтоже находит, ХОЧУ ВЫРАЗИТЬ ОГРОМНУЮ БЛАГОДАРНОСТЬ Александру Кадетову http://kadetoff.ru/ И Sonikelf http://sonikelf.ru БЕЗ НИХ НЕ СПРАВИЛСЯ
Дмитрий
для веба кстати можно было ключик не искать.
Можно было либо скачать CureIT - он бесплатный, либо после установки DrWeb запросить пробный ключ на 30 дней. Во втором случае никаких ограничений на работу антивируса не накладывается.
хэппи
у меня вчера появилась такая фигня( окно на пол-рабочего стола о том, что я якобы смотрела гей-порно 3 часа подряд и типа пора и честь знать, отравьте 500 руб на на номер 964-628-73-43, и оплатите ваши..ээ.. увлечения.
мне помог сайт Касперского, где можно подобрать код для разблокировки подобных баннеров.
короче, если у кого-то такая же проблема, на в окно нужно вводить EYE OF NEWT.
надеюсь, вам поможет)
vandal
привет всем кто столкнулся с этой проблемой(отправте смс на номер ххххххххххххххх с текстом хххххххххххххххххххх или положите нам денег на номер ххххххххххх)Простой способ избавиться от этих ху....нов.Когда появиться эта ненависная табличка с прозьбами о мат.помощи смело нажимаешь кнопку перезагрузки и держишь F8,после этого тебе дают на выбор загрузку винды.Надо выбрать с загрузкой командной строки.там нажимаете с:\ и если у вас есть "чистелка" или название вашего антивируса(проги уже должны были раньше стоять-до зарожения)и убиваете вирус.Если нет то в этой строке добиваетесь дотупа до одминистрирования и тупо делаете востановление компа с той точки с которой уверенны что невылазили на всякие незнакомые сайты.Если не помните,то лучше с самой возможной раней доступной точки.
Заранее удачи.
Если кто знает другой способ или проще-выкладываайте.
Надо бороться с этими уродами всем миром,может тогда многое измениться!!!!!!!!!!!!
Vandal
ринат
а у меня нет Application Data
Дмитрий
какая операционная система?
Квеста
Надо бороться с этими уродами всем миром,может тогда многое измениться!!!!!!!!!!!!

Наивный Вы человек, Vandal 😃
Свелана
спасибо, очень помогло, а то у меня паника началась))))
Кирьян
Если не убираются, то смотри вот здесь все подробно написано как удалять http://kirzhak.livejournal.com/
Дмитрий
Ради интереса: а что будет, если всё таки, не леча, переустановить систему (formatнуть и т.д.)?
Дмитрий
ну а вы как думаете?)))
3D_Killer
простое решение тут http://www.share-know.ru/?page=antivirus&str=1
п
Отправь 84881+3845626 на номер 4481
Дмитрий
и профукай 250 рублей
олег
после запуска windows выходит сообщение компьютер заблокирован ... и требуют 400 руб на мтс 8-911-288-42-54 но номер при каждом перезапуске меняется подскажите пожалуйста кто что знает?
Влад
народ я не могу найти не blocker.bin и blocker.exe где мне его искать везде искал нигде не нашел подскажи пожалуйста
Дмитрий
Вирусы давно модифицировались. Теперь файлы могут называться как угодно
Дмитрий
Очень помог Касперыч http://support.kaspersky.ru/viruses/solutions?qid=208641245
Эльнур
Помогите, пожалуйста, разблокировать компьютер. Сынок по ссылке ВКонтакте скачал программу на повышение рейтинга, запустил и тут же голубой экран, написано, что стоит Windows пиратская копия и просят отослать смс на номер 1151 с текстом regaicq 19612. Знаю что это троян. Кто умеет, помогите, пожалуйста в этом вопросе. Диспетчер задач не работает, на рабочем столе пусто, никаких значков, только картинка.:dry: 😲 😢
Дмитрий
попробуйте код 6548961 или 135797531.

Пробовали выполнять действия, описанные в статье?
AIBon
Позвонила знакомая с аналогичной проблемой.
Она сразу призналась, что "зашла на российский порносайт".

1) Avira Antivir Rescue System Linux version сраза после загрузки с Live CD обновил базы и нашел 20 вирусов и троянов;
2) после него загрузка с Live CD Se7en и AVZ - уже не записывал количество обнаруженных, но по-моему не более 10-ти;
3) после этого загрузка с Live CD Se7en и ufs - еще несколько, по-моему не более 4-х или 5-ти;
4) страничка DrWeb с генератором кода так же не помогла, хотя пересмотрел все скриншоты и перебрал предложенные коды (не более 50-ти кодов);

Ни один из методов так и не помог.

И только ссылка из UPD9 (версия для печати):
http://support.kaspersky.ru/viruses/solutions?print=true&qid=208641245
вылечила ноутбук знакомой.

Т.е. записал образ на CD, загрузился с него и еще обнаружил
4-ре штуки:
Hoax.Win32.ArchSMS.rar (лечение невозможно, выбрал - удалить);
Hoax.Win32.ArchSMS.idzd (лечение невозможно, выбрал - удалить);
Exploit.JS.Pdfka.eih (лечение невозможно, выбрал - удалить);
HEUR:Trojan.Win32.Generic (предложен был карантин, но я выбрал - удалить).
Первые три вируса были в файлах типа:
00F00000.VBN (записал название только первого, остальных двух не записывал), а четвертый в файле:
C:\WINDOWS\system32\drivers\System32.exe.

Теперь баннера нет.
александр
код на номер 380971794567
DemoN
Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре - это просто встроенное в Windows система восстановления Rstrui
1. F8 при загрузке Операционной систмы
2. выбор пункта безопасный режим с поддержкой командной строки
3. вводим команду rstrui
Подробная инструкция https://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov
Дмитрий
А если восстановление системы отключено? (99% случаев)

И что если точка создалась когда компьютер уже был заражен?
PairmPalPep
Попробую объяснить в двух словах.
Каждый из нас не еднократно сталкивался с ситуацией,
когда приходится заново инсталлировать Windows.
Уверен, что для всех это ситуация неприятна тем,
что:
- инсталляция занимает примерно 2 часа;
- после установки Windows
должен инсталлировать кучу
программ, которые используются на компьютере.
Так вот, чтобы избежать этих неприятных моментов
помогает создание образа системного диска.
Как мы будем делать образ диска?
С помощью программы Acronis True Image.
Oleg
Бедненькие виндусятники, могу Вам только посочувствовать... free linux - и никаких вирусов и антивирусов, жрущих ресурсы похлеще самих вирусов!.. 😃
Дмитрий
бедные пингвинятники, глазки у вас не болят?
TELE2 позволяет узнать стоимость отправки смс на короткий номер | Поляков Дмитрий
[…] отправки смс на короткие номера. Думаю многие помнят вирус, который требовал оправить смс на преславутый короткий […]