Вчера к нам поступил ПК с интереснейшим вирусом. После загрузки винды вирус сразу выводит на экран следующее окно с требованием отправить платное SMS-сообщение для получения кода, якобы для активации Windows. Внимание! Будьте аккуратны и не посылайте SMS, говорят что снимает за раз по 300 рублей.
[653x551]
Неплохой однако, годный фишинг )))

Вирус также блокирует работу ПК, выше изображенное сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой (кнопки Пуск и рабочего стола соответственно), в том числе и до диспетчера задач. Единственно что работает это смена сеанса пользователя по Win+L, но толку от этого никакого. В безопасном режиме компьютер не загружался, машина висла. Короче полный маздай ))

Тело вируса мне удалось обнаружить в трех местах:
1. C:\Documents and Settings\Администратор\Local Settings\Temp\922.exe
2. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\HO9NMBT5\aa[1].exe
3. C:\WINDOWS\mfo.exe
Во всех случаях это был один и тот же файл размером 44544 байт MD5 сумма: E7A247CE628D8F455D5E895DBEF71976

Разными антивирусами это вирус распознается как модификация следующих тварей:
AntiVir - TR/LockScreen.E.1
Avast - Win32:Malware-gen
AVG - SHeur2.BPQG
Comodo - Heur.Suspicious
DrWeb - Trojan.Winlock.428
Kaspersky - Trojan-Ransom.Win32.SMSer.rk
Panda - Trj/CI.A
Symantec - Trojan.Ransomlock.C
Что интересно и удивительно NOD не детектит его вообще!!! Так что пользователи этого антивируса будьте внимательны, не подцепите эту вирусную гадость!


Мой вариант лечения.
Загрузить ПК с LiveCD подключить флешку с антивирусом и провести полную проверку. Будьте внимательны не все LiveCD поддерживают подключение USB-накопителей (можно использовать например Alkid Live CD или iNFR@ CD). В качестве антивируса на флешке хорошо подходит portable антивирус от Dr.Web - Dr.Web CureIt!, скачать который можно с офф. сайта по адресу - http://www.freedrweb.com/cureit/
Также можно воспользоваться AVZ антивирусом (тоже работает без установки), заодно и систему им можно подлечить и закрыть потенциальные дыры в системе. Скачать его можно с офф. сайта по адресу - http://www.z-oleg.com/secur/avz/download.php


Перед использованием не забудьте обновить его антивирусные базы.
[699x561]

После проверки вирусы удалите нажав соответствующую кнопку
[699x561]

[699x468]

Или перед сканированием сразу поставьте галочку "Выполнять лечение" AVZ будет действовать при обнаружении вирусов в соответствии с указными вами настройками
[699x561]

После проверки на вирусы будет полезно проверить систему на потенциальные дыры и угрозы запустив "Мастер поиска и устранения проблем"
[699x561]

[617x437]


Другой вариант лечения (сам НЕ пробовал).
Ввести ключ для разблокировки: 13616. Окно исчезнет дав возможность работать с ПК. А дальше по ситуации, либо сразу проверяем антивирусом. Или сначала через редактор реестра (нажмите кнопку Пуск ---> Выполнить - Введите в поле, Regedit) ищем следующие ключи:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Desktop \ SafeMode
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ ControlSet003 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot

и устанавливайте значение 1 (по идее станет доступна загрузка в безопасном режиме). Затем перезагрузите компьютер, после включения компьютера, незадолго до запуска Windows, нажмите клавишу F8. Выберите загрузку - "Безопасный режим". Загрузитесь и проверьте компьютер на вирусы.