Цитата сообщения Alfizik Вчера к нам поступил ПК с интереснейшим вирусом. После загрузки винды вирус сразу выводит на экран следующее окно с требованием отправить платное SMS-сообщение для получения кода, якобы для активации Windows. Внимание! Будьте аккуратны и не посылайте SMS, говорят что снимает за раз по 300 рублей.

Неплохой однако, годный фишинг )))

Вирус также блокирует работу ПК, выше изображенное сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой (кнопки Пуск и рабочего стола соответственно), в том числе и до диспетчера задач. Единственно что работает это смена сеанса пользователя по Win+L, но толку от этого никакого. В безопасном режиме компьютер не загружался, машина висла. Короче полный маздай ))

Тело вируса мне удалось обнаружить в трех местах:
1. C:\Documents and Settings\Администратор\Local Settings\Temp\922.exe
2. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\HO9NMBT5\aa[1].exe
3. C:\WINDOWS\mfo.exe
Во всех случаях это был один и тот же файл размером 44544 байт MD5 сумма: E7A247CE628D8F455D5E895DBEF71976

Разными антивирусами это вирус распознается как модификация следующих тварей:
AntiVir - TR/LockScreen.E.1
Avast - Win32:Malware-gen
AVG - SHeur2.BPQG
Comodo - Heur.Suspicious
DrWeb - Trojan.Winlock.428
Kaspersky - Trojan-Ransom.Win32.SMSer.rk
Panda - Trj/CI.A
Symantec - Trojan.Ransomlock.C
Что интересно и удивительно NOD не детектит его вообще!!! Так что пользователи этого антивируса будьте внимательны, не подцепите эту вирусную гадость!


Мой вариант лечения.
Загрузить ПК с LiveCD подключить флешку с антивирусом и провести полную проверку. Будьте внимательны не все LiveCD поддерживают подключение USB-накопителей (можно использовать например Alkid Live CD или iNFR@ CD). В качестве антивируса на флешке хорошо подходит portable антивирус от Dr.Web - Dr.Web CureIt!, скачать который можно с офф. сайта по адресу - http://www.freedrweb.com/cureit/
Также можно воспользоваться AVZ антивирусом (тоже работает без установки), заодно и систему им можно подлечить и закрыть потенциальные дыры в системе. Скачать его можно с офф. сайта по адресу - http://www.z-oleg.com/secur/avz/download.php


Перед использованием не забудьте обновить его антивирусные базы.


После проверки вирусы удалите нажав соответствующую кнопку




Или перед сканированием сразу поставьте галочку "Выполнять лечение" AVZ будет действовать при обнаружении вирусов в соответствии с указными вами настройками


После проверки на вирусы будет полезно проверить систему на потенциальные дыры и угрозы запустив "Мастер поиска и устранения проблем"





Другой вариант лечения (сам НЕ пробовал).
Ввести ключ для разблокировки: 13616. Окно исчезнет дав возможность работать с ПК. А дальше по ситуации, либо сразу проверяем антивирусом. Или сначала через редактор реестра (нажмите кнопку Пуск ---> Выполнить - Введите в поле, Regedit) ищем следующие ключи:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Internet Explorer \ Desktop \ SafeMode
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ ControlSet003 \ Control \ SafeBoot
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot

и устанавливайте значение 1 (по идее станет доступна загрузка в безопасном режиме). Затем перезагрузите компьютер, после включения компьютера, незадолго до запуска Windows, нажмите клавишу F8. Выберите загрузку - "Безопасный режим". Загрузитесь и проверьте компьютер на вирусы.