Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.

Сообщение: «Чтобы удалить информер выберите страну, отправьте смс на номер 9800″.

Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.

Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.

Лезем в диспетчер задач.

Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!

1. В диспетчере висит лишний services.exe – запущенный от имени пользователя – прибить. Если диспетчер не загружается – выполнить – gpedit.msc – конф пользователя – адм шаблоны – система – возможности ctr-alt-del – удал дисп зад – отключен
2. В папке с виндой файл – services.exe – прибить, зайти в msconfig и убить параметр автозапуска.

Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.

Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.

Надеюсь кому-то помогло. Удачи.

Увижу тут оторву.... айпи.
“Меня заставляют писать.”
(FBI)

--------------
Да, решение перевести время помогает, но вирус не самоуничтожается, ставьте антивирус и удаляйте его...

------------------
Появилась новая разновидность пример таков
windows заблокирован
для разблокировки необходимо отправить sms с текстом
t7010620006 на номер 3649
введите полученный код
Все это на черном фоне....
Дак вот старые методы не помогут изменилось и название файла и расширение и место нахождение...
Для избавления такой фигни грузимся с LiveCD и полностью чистим папки
c:\Documents and Settings\*имя пользователя*\Local Settings\Temp\
и
c:\Documents and Settings\*имя пользователя*\Local Settings\Temporary Internet Files\
и после перезагружаем
потом заходим
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

находим там "Userinit"
и оставляем только "C:\\WINDOWS\\system32\\userinit.exe" без ковычек естественно
-------------------
Для Windows 7.

Вирь находиться в папке Users/Administrator/AppData/Local/Temp.

Называется nod6F1F.tmp и nod6F20F. Всего 3 файла.

NOD32 не видит, Каспер вылечил. Правда пришлось хард на другую систему подключать.

удалено: троянская программа Trojan-Downloader.Win32.Agent.brpj Файл: E:\Users\Administrator\AppData\Local\Temp\nod6F20.tmp

Надеюсь кому-нибудь помежет.

--------------
Кароче есть небольшое решение, как сделать так чтобы можно было войти и работать в винду, но не решить проблему с вирусом.(придумал Я)

1. Нажимаем много раз кнопку Shift вылезает проблема с залипанием клавиш, жмем на "параметры"
2.В появившемся окне нажимаем знак "?" в верхнем правом углу, далее жмем на любую кнопочку "настройки" в появившейся подсказке жмем правой кнопкой мыши и выбираем "печать раздела"
3. появится окно настройки принтеров, нажимаем правой кнопкой мыши на любом из принтеров выбираем "Свойства" далее вкладка "Дополнительно" напротив меню "Драйвер" нажимаем сменить, в появившемся окне "Далее", теперь жмем на "установка с диска" - "обзор" появится окно поиска файлов, жмем правой кнопкой на любом из них и выбираем "Проводник" (теперь можно работать, есть способы наверно и побыстрее но я делаю так)
4. создаем в любом месте файл Word, Excel или подобный из офиса, пишем в нем любой текст, но ВАЖНО! файл не сохраняем, и сразу в меню "ПУСК" выбираем "выключение". Комп завершит все процессы, в то числе и процесс активности вируса, НО, задаст вопрос файл был изменен, хотите сохранить? Жмем «Отмена».
Вуаля мы можем работать дальше, проверять на вирусы и т.п. =)

Надеюсь кому помог =)
-------------

Для текста k2671621000 у меня подошел
ключ 10459646 УРА !!!

Дерзайте !!!!

Увижу тут оторву.... айпи.
“Меня заставляют писать.”
(FBI)

Дальше в биосе на зараженном компе установить очередность загрузки с этого носителя (раздел boot), клавишами F5 и F6 можно двигать носители вверх-вниз по списку) дальше нажать F10(сохранить и выйти).

в следующий раз загрузка пойдет с этого диска или носителя - включаете антивирус ...

К сожалению, не могу точно сказать какие программы тут лучше использовать и как их точно устанавливать - думаю, стоит поискать в инете дополнительно инфу по этой теме. Не проверял, но знаю, что можно так сделать.

Более радикальные способы - попробовать сделать восстановление винды с загрузочного диска Windows без потери данных. или совсем уж радикальный и неэкономящий время способ с уничтожением ВСЕХ данных - отформатировать жесткий диск с загрузочного диска, опять же Windows или Partition Magic.

Увижу тут оторву.... айпи.
“Меня заставляют писать.”
(FBI)

Вчера столкнулся с такой-же проблемой...
Раньше был уже такой вирус(месяца 2 назад), только SMS отсылались совсем на другой номер 3649... Смысл тот же, и удаление тоже, разве что пару файлов нужно удалить, в старой не нужно было...
Чтобы удалить вирус без liveCD нужно зайти в Безопасный режим, потом Пуск / Выполнить: msconfig / Автозагрузка
убираем галочку там где в адресе написано C:/WINDOWS/ctfmon.exe (не путай-те с Windows/system32/ctfmon.exe, потому что система не запуститься)...
потом Применить / Закрыть
Идём в папку C:\RECYCLER - удаляем всё что там есть
Затем идём в Папку C:/Windows/Temp - тоже всё удаляем
Затем идём в C:/Documents and Settings/имя вашего пользователя/Local Settings/Temp - тоже всё сносим...
Затем идём в C:/Documents and Settings/имя вашего пользователя/Local Settings/Temporary Internet Files - тоже всё сносим...
Всё!

Встретился со случаем, когда Windows не блокируется, запускается, но на экране окно загораживающее другие программы. Ни в каком режиме safe и т.д. оно не пропадает. Ещё два симптома: не работает интернет и блокируется менеджер задач. Как описано в одном из постов нужно исправить "Userinit" путь C:\WINDOWS\system32\userinit.exe,
Путь в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
сделать это при работающем трояне не получится, он снова туда лезет.
Запускаем систему с внешнего носителя LiveCD или USB, идем в папку C:/Documents and Settings/имя вашего пользователя/Local Settings/Temp удаляем все, название конкреного файла прописано в конце строки C:\WINDOWS\system32\userinit.exe, в реестре, оканчивается на tmp размер у меня 309К. Путь кривой по нему искать бесполезно. В общем чистим все tmp, как писал Юрий. Перегружаем машину, можно и в safe. Редактируем строку "Userinit" - C:\WINDOWS\system32\userinit.exe, запятую оставляем. Кроме этого ещё были найдены два трояна сканером с LiveCD DR.Web. При удалении сканером троян блокировки все равно оставался, получилось удалить только руками. Теперь будем чинить остальное...

Увижу тут оторву.... айпи.
“Меня заставляют писать.”
(FBI)