Описание.
Рекламный модуль www.pornohub.com
требует СМС M20171726217 на номер 3381

Белое полупрозрачное окно в центре экрана.
по бокам две голых девки.

Диспетчер задач, редактор реестра и тд, естественно не запускаются.
Обычно такую хрень ТоталКомандером убивал. Он тоже не запускается. точнее запускается и тут же выключается. С большей частью приложений такая же хрень.

В безопасном режиме все то же самое, только окна нет.
CureIT! при первом прогоне пару троянов обнаружил и удалил, на середине сканирования комп в ребут ушел. Последующие запуски - ничего не находит и в определенный момент комп ребутиться.

При попытке запустить AVZ комп сразу в ребут уходит.

Генераторы от ДрВеба и Касперыча не помогли.

(0) Ну давай..  Рассказывай..  Как случайно зашел на порносайт...

В безопасном комп ребутится?

и в безопасном не запускаются Диспетчер задач, редактор реестра?

(2) Да. в безопасном ребутиться.

(3) Все вышеописаное к безопасному режиму относиться. Там только окна нет.

Грузись с альтернативы. Потом ищи последние созданные/модифицированные файлы. Куда-нибудь резервируй и сноси.

Возможно после этого система умрет.

msConfig в авто запуске все что можно поотрубал. не помогло, как я понял он вместе с explorer стартует.

(6) Ну это на крайняк оставлю.
Мож еще какие способы есть?

Код разблокировки:

   * Y61184493 [2 порнокартинки на белом фоне]

форматируй, переустанавливай

+(10) Взято отсюда:
http://support.kaspersky.ru/viruses/deblocker

(12) См (0) - Генераторы от ДрВеба и Касперыча не помогли.

Еще есть. Если у тебя подменен explorer возьми с другой машины (не зараженной) :))

(11) Да вот не хочу до этого доводить. На переустановку винды времени совсем нет - админ в отпуске.

(14) Можно попробовать, НО скорее всего в реестре просто какая-то хрень вместе с explorerom стартует.
Какие альтернативные редакторы реестра есть? может что-нибудь да запуститься

(15) Буквально вчера приходил коллега, по описанию очень похожий на твой случай у него - юзал прогу Combofix. Устанавливается, перезагр-ся комп, чистится автоматом, перезагружается снова и вуаля!

(17) Спасиб. щас пошукаю

http://www.spyware-ru.com/combofix/

Лечил так, вызываешь диспетчер задач. Он моргает на экране и закрывается. Успел его поймать мышкой на верхней полосе окна. Тут же вирус выдал ошибку. Не закрывая ошибку, вызвал диспетчер второй раз. Он уже не закрылся. Дальше убил процесс почистил комп!

(0) msconfig в безопасном режиме тоже не работает?

А livecd (или установку винта в другой комп) придумали слабаки которым влом систему переустанавливать?

Мне тут приносили ноут. С аналогичной хней. ЛайвСиДи - не помогает.

+(23)Причем ноут - ведомственый, пароль админа - неизвестен. Посоветовал отнести тому админу, для переустановки.

(21) Работает. и в обычном работает. Просто толку от него нет. выше писал, что из автозагрузки все поотрубал

(9) поискать информацию по номеру телефона. Где-то бывают ответы на вопросы ;)

(25) Combofix не помог чтоли?

(27) Еще не пробовал.
Что-то там с ним заморочно, как-то. Консоль восстановления ставить надо.
Ищу диск с дистрибом винды

Щас сначала ЛивСД попробую

(28) Не знаю. Знакомый сказал что в 10-15 минут уложился, причем не особо заморочно было.

разблокировка порно банера (бесплатные коды от NOD)

(31)
"
Номер телефона: 3381

Текст сообщения: M20171726217

К сожалению, код для разблокирования ПК не найден.

Рекомендуем повторить попытку поиска кода чуть позже. Информация о новых кодах постоянно добавляется в базу.
"

Попробуйте код 8130211 или 3903395


http://www.drweb.com/unlocker/index/?lng=ru

Вчера лечил у себя такой.
В каталоге c:\users переименовал файл system.exe b другие  с цифрой 2
т.е. system2.exe
текстовой файл содержит счетчик - туда влепил -129382938293
и у информера вылезла ошибка
потом перезагрузился в безопасном и переустановил chrome
и avz4 вылечился

Файловый вирус, надо делать сиди загрузочный допустим Avira AntiVir Rescue System c http://www.avira.com/ru/support/support_downloads.html

Смс на номер 3381
http://virusinfo.info/showthread.php?t=79142

(0) Ищи прогу "ProcessExplorer", там разворачиваешь процесс еxplorer и внутри него ищешь подозрительные подпроцессы, заходишь в свойства и смотришь путь к файлу, удаляешь процесс, а затем файло.

(37) Не запустится она. проходили.

(1) Значкомый случайно зашел

(0) растягивай панель задач горизонтально, потом делай вертикально, баннер сместиться в угол - тогда будет доступен диспетчер =)

279346830

(41) этот код попробуй

(0) http://support.kaspersky.ru/viruses/deblocker сюда ходил?

+(43) Y61184493 - вот твой код разблокировки.

+(44) а блин как всегда до конца не дочитал. Хотя странно - сам этим сервисом одного чудака буквально на днях спасал.

Ручками трудно чтоли? Совсем обленились...

всё не прочитал:
я в подобном же случае запускал в безопасном с поддержкой командной строки (если ХР), тогда самый минимум грузится, через командную строку вызывал тотал и чистил винт.

вопрос немного не в тему...
Если у пользователя убрать админские права, то такая фигня подхватиться не сможет?

(48) скажем так: ей будет сложнее подхватится.

Winternals позволяет редактировать реестр

У нас недавно поймали такой порнобанер. Этот особой зловредностью отличается, если у остальных достаточно было убить процесс и удалить файлик который запускается то у этого ничего не получилось на 2х компах пришлось систему переустанавливать. Так что если автор убьет его по возможности пусть отпишится.

или ERD-Commander

Мдя... А образы видимо для идиотов придуманы?
Руками убивается почти все.

На данный момент LivCD сканю. уже полтора часа. большая там файлопомойка.

(47) Командная строка, как и другие полезные проги, сразу после запуска закрывается.

(46) Как? чтоб понять где зараза, надо или в реестр попасть или процессы глянуть, а ни того ни другого сделать не могу. Ни одна сторонняя программа для этих целей не запускается.


Отпишусь позже, как скан закончиться.

(0) ставь нод32 + аутпост

(55) Оплатишь? :)

(0) Через восстановление системы откатись на момент до его появления и всего делов...

(56) тебе ключи нужны ?

(58) Причем тут ключи? мне лицензия нужна.
Компы то казенные. Зачем мне лишний геммор с законом?

(59) а на "обрубленых правах" может появиться порноИнформер ?

Не пробовал.

(61) порнуха хоть стоящая была? :)

(60) В большинстве случаев - нет, но не факт. Есть такие что пишутся в реестр, они понятное дело немогут. А вот те которые подменяют файло - вполне реально.

(62) Я то откуда знаю. Юзверь один пошалил на выходных :)

(63) так подменяют они файлы где  (в какой папке) ?
насколько мне известно - "в системных"

(65) Такая хрень, как правило файлы не подменяет, а вреестр в shell помимо explorer еще какойнибудь файл прописывает

(66) вот тут диру удалял на той неделе два рааз (сидел бузе антивирусов и фаерволом)
заметил, что подмена идёт в windows\app data

(67) И такое тож бывает.

(65)(66) Ничего не подменяет этот вирусняк. Он куда-то в Doc&Set свои дистрибутивы пишет. MS Essential Security фиксит эти файлы.

(69) нод32 убивал оттуда
+ их разное количество вариантов

видел один, который даже не даёт зайти в безопасный режим

(67) я такие хрени обычно руками удаляю, т.к. всякого г о в н а после них остаётся много

(71) понятно, что можно и руками
чтоб ему не удалять постоянно - поставил нод и аутпост

(68) Это ты до сих пор с ним ковыряешься? Ну ты даешь :)

Только что прибил такого на рабочем компе. Антивирусы не помогли. Помогла программка XPTweaker. У нее есть возможность выкинуть из автозапуска подозрительный файл и отключить возможность автозагрузки из реестра. После этого перезагрузился, нашел файлы заразы (C:\Program Files\Common Files\SysAware Soft) и прибил. Восстановил автозагрузку и все. В реестре эта сволочь не нагадила.

в безопасном с поддержкой командной строки

а ветка фуфул

(75) Про командную строку я выше писал.

(15) Админ в отпуске, пользователи на порносайтах!

WЫньDа Forever!!!

(76) не запускать командную строку, а имено загружать безопасный режим с поддержкой командной строки (в выборе загрзки) - это разные понятия

Если грузится под другим пользователем в безопастном режиме, то может помочь очистка папок Temp и Temporary Internet Files находящихся в C:\Document and Setting\User\Local Setting,где User тот пользователь, под которым баннер вылезает.Также почистить c:\Windows\Temp. Потом перезагрузка и DrWeb CureIt почистил.Если не под каким пользователем не грузится в безопастном режиме, то LiveCD И CureIt DrWeb.

(0)Учись ставить винду за 3 часа ;)
Потом когда админ выйдет... пусчай тебе все зарегистрирует :)
А пока бушь пользоваться триалами на 30 дней :)

DN118922
777246604
RP372251
TS938684
DRCRT
код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
Y61184493 [2 порнокартинки на белом фоне]
279346830 [2 порнокартинки на белом фоне]
сначала код #1: 74952448, затем код #2: 19464834
сначала код #1: -4220014848, затем код #2: -4275502462

(82) генератор касперыча ему не помог (он это в (0) описла). Я ему прямую ссылку на сервис разблокировки кинул.

автор.
счастья свово не понимаешь.
тут , кроме пофигуратора - никаких развлечений :(

лИВсд нашел кучу всего. удалил но не особо помогло. так же всё и осталось.
Ехель только на радость юзера запускаться стал.

(81) Винду можно и за час поставить.
Вот только ни дров ни собственно дистриба винды нет. хз где это все храниться

(86) Была такая ситуация когда дров небыло, скопировал папки \Windows\Inf и \Windows\System32\Drivers и дрова поставил из них после переустановки.А вообще есть программа Driver Genius - драйверы бэкапить перед установкой.

Попробовал ХПТвикер запустить. не запустился. за то теперь и в безопасном режиме информер висит :)

(88) аналогичная прога Starter - позволяет и автозапуск, и процессы, и службы выкинуть.

Лучше редактор реестра посоветуте какой-нибудь.

(89) Автозапуск я через msConfig вижу. нет там ничего.
Надо посмотреть что в shell прописано.

поиск новых файлов после даты заражения, обычно в списке сразу видно виновника

(92) Поиск виндовый ищет по дате создания? или изменения файла?

(93) да

(0)
Пару дней назад поборол такой вирус.
Скачал Dr Web Cureit. Загрузился с Live CD, запустил проверку. Антивир удалил около 6 .dll из Windows\Temp и 1 .inf. После чего с помощью AVZ восстановил запуск реестра, диспечера задач и т.д.

Что да? )

(95) Я уже писал - ЛивСД не помог. удалил несколько exe файлов.
Ничего не поменялось.
И сейчас AVZ даже запускать не нужно, как только в папку захожу комп ребутиться

(0) Вылечился следующим образом. Зашел с ноута на касперского, скачал загрузочный диск-рескью. Записал загрузочнкую болванку и запустился на зараженной машине с нее. Касперский всю ночь вычищал этого червя. На утро комп заработал. :)

Всегда сидел на лизензионном касперском. Потом месяца 4 на авасте и словил эту заразу. С тех пор снова лицензия касперского и никаких проблем ;) Рекомендую.

(96) сделал акцент на слово "ищет", по "дате изменения", скорее всего у него даты эти равны.

сто

+к(99) удалил так пару баннеров, сканеры drweb, kav ничего не находили.

(99) Не факт. но попробую.
(98) - скачал загрузочный диск-рескью
А где эту штука находится? не вижу на сайте

(97) скачай свежий Dr. Web Cureit и запусти проверку загрузившись в под live cd.
AVZ использовал после удаления вируса для восстановления запуска реестра и т.д.

(103) + 100000 ! именно так и лечится

Потом

1. Зашел в папку с временными файлами инета и все оттуда удалить,
2. Перезагрузил, при запуске ругнулась, что не могу найти такой то файл и указан путь и имя файла
3. В реестре поиском найти его у далить его параметры.

т.е. сначала в защищенном режиме Dr. Web Cureit

(103) Третий раз пишу. Развернуто.
ЛивСД скачал сегодня. Загрузился с болванки. Просканировал. Нашел N вирусов. удалил. Перегрузился в винду. Симптомы остались.
Как только в папку с AVZ захожу комп в ребут уходит.

Грузишься ERD-Commander-ом. Чистишь темпы, смотришь в реестр - HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlgon. Соответственно там только winlogon.exe с запятой на конце. Проверяшь соответственно там же shell. Рядом ветка HKLM-Software-Microsoft-WindowsNT-CurrentVersion-windows. Если что то есть в AppInit_Dlls - удаляешь. Для надежности проверяешь что в автозапусках. Все.

Можно еще заодно уж и HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Image File Exe ... посмотреть, бывало вирусня там дебаггером к антивирям и ексрореру приписывалась

(0) я с помощью http://www.anvir.net/ контролирую автозагрузку
Попробуй

(110) Не встанет оно.
Вообще возникло впечатление, что ключи генерятся индивидуально на каждую машину :(

Три ноута лежит - решения пока нет. :((

(102) - ссылка была прямо с главной страницы. Тогда пик на этого червя пришелся. Сейчас не знаю - попробуй порыться у них на форуме. Я как раз там на самом деле ссылку и решение проблемы и нашел.

кароче надо слать смс

сегодня два компа повисли с сисяндрами и нескромными предложениями выслать денех

http://www.spyware-ru.com/combofix/
вот это спасло.

+ не запускались антивири, почистил политики в реестре

на третьем вируса нет, но сайты антивирусов не открывались. Похоже, касперский гадину пристукнул, а реестр не почистил. Ручками, все ок.

а на первых двух зверям по башке веслом и на каспера пароль. Отключают гады.

Я тоже позавчера словил, FireFox уязвим что ли от них. Есть бесплатная лечилка от Доктора Веба, также есть коды разблокировки на сайте Касперского. Настораживает что оно ловится без выполнения каких-то особых действий, а просто заходом на страницу.

(116) Скрытый переход

Притаранил сегодня установочный диск из дома.
И просканил combofix. Запустилась она только в безопасном. Помогло. Диск, кстати, не понадобился.

Всем спасибо.

(114) Я комбофикса автору посоветовал еще в (19), но он решил что это "слишком заморочно" :)

(118) Ну вот :) Наконец то...

(119) Дык, там написано, что консоль восстановления нужна, либо дистрибутив Виндовс. Ни того-ни другого под рукой не было. решил не рисковать.
Спасибо:)

(121) если попадаешь на такие баннеры, а попадают на них далеко не все, а лишь избранные :)- Лучше поставить серверную венду.

(122) на такие "баннеры" попадают все, кому позволено грузить и ставить всякую херь, как то "плагин жава для вот этого безобидного мультика".

(116) Рома не гони, а вспоминай каким х... коверкал систему и для какого "удобства" ?

(123)+пицот. А потом просят перегрузить ИЕ.

(0)Дайте ссылочку. Может тема сисег раскрыта ? Позырю на сисьге и порнорекет .

(125) вчера поздно, уже в 21 закончил, сил не было на сервак

(125) Как я понимаю, ссылка в (0)

http://shaman-nk.blog.ru/85403363.html Подробно описано как бороться с такими весчами!!!

(128) очень частно и по сути пионер писал

(0) Два дня назад у клиента боролся с такой хренью. Все очень просто:
1. Делаешь разрешение экрана максимально возможное, чтобы иметь пространство для маневра.
2. Запускаешь командную строку (Пуск-Программы-Стандартные)
3. Отодвигаешь окно с командной строкой так чтобы не закрывалось основной гадкой картинкой.
4. В командной строке набираешь qprocess, видишь список процессов (которые ты не можешь посмотреть через диспетчер задач, который не запускается).
5. Смотришь на список процессов и пытаешься убить их по-очереди (кроме explorer разумеется) следующей командой tskill [pid], в моем случае это был svhost.exe (именно svhost, а не виндовый svchost !).
6. Теперь убиваешь ВСЕ процессы с названием regedit.
7. Запускаешь regedit, ищешь svhost.exe, он должен быть в разделе [RUN] в одном из [hkey_user], убиваешь его в этом разделе.
8. Ищешь svhost.exe в програм_филес, убиваешь его вместе с папкой.
9. Перезагружаешься.
10. Радуешься жизни :)

ЗЫ
Что самое удивительное, у клиента стоял честный обновляемый лицензионный каспер 2010 ! И он даже не вякнул. Более того, когда я ткнул его мордой в папку с вирусом, он и тогда его не опознал !!!

Недавно столкнулся с новым порно-информером с смс на номер 3381, ни один из кодов выложенных ранее не проходил (видимо обновили коды), позвонил к контент провайдеру (номер 8-800-555-0102 20 минут ждал пока ответят), и просто спросил у них код разблокировки.

(130) Читай выше- командная строка не запускалась, как и сторонние программы для управления процессами и рекдакторы реестра.

:) "если не можешь удалить порноинформер - расслабься и получай удовольствие.."

(0) Вот смотри, Ты уже примерно день мучаешся с восстановлением системы (судя по первому и последнему сообщению). Намного проще нужные файлы скопировать куда-нибудь и установить винды заново со стандартным форматированием диска. Эта операция по максимуму займет пол дня.

(134) неспортивно :)
по каждой хрени венду переставлять - и юзеры расслабятся, и сам ничему не научишься. Лучше день потерять, зато потом за пять минут долететь.

(134) за такое не только руки, еще и голову отрывают

(135) За то гарантирован успех за ограниченное время, что и нужно клиенту.

(137) а как ты будешь определять нужные и не нужные файлы никогда не думал ?

(132) Тогда зайди в защищенном режиме и убей файл svhost.exe

(132) запускается - только надо знать как
(139) не сканает (не всегда)

(138) Ну, все зависит то ситуации. Если это комп на котором установленны банковске программы и прочее, то придется долго искать причину не снося винду, а если это комп бухгалтерши на котором кроме моих документов ничего нет, то надо сносить...

Мдяяя... Стаж: 4 г. 10 мес.

(140) Обрати внимание: я сказал, что клиент подцепил бяку пару дней назад. Значит, должно быть нечто похожее на то что у автора. Ну если он не найдет svhost.exe, тады "ой" ;)

(141) ну я бы не сдавался ! Всегда интересно найти способ оказаться умнее, чем разработчики вируса :)
Такой же вирус но двумя месяцами раньше я вообще убил за 10 минут, ибо таск-манагер запускался. Сейчас они стали поумнее - таск-манагер не запускается, но в моем случае запускалась командная строка. В случае автора уже и комстрока не запускается.
Способ незапускания regedit'а вирусописатели выбрали в запуске нескольких невидимых процессов regedit. Очевидно, что и с комстрокой (являющейся так же приложением) они поступили так же!
Значит, автору совет: попробуй через Пуск-Выполнить следующую строку "tskill cmd" несколько раз.

(132) кстати, может комстрока все-таки запускается ? Попробуй хреноокошко подвигать - оно конечно возвращается обратно, но все-таки позволяет кратковременно увидеть то, что находится за ним.

+(144) можешь еще в выполнить раз 10 завести строку "tskill regedit", тогда гарантированно regedit у тебя запустится.

(140) >> запускается - только надо знать как
Научи :)

(145) Да вылечил уже всё. См. (118).

Окошко вобще малую часть экрана занимало. а в безопасном его вобще поначалу не было. Проги все, в т.ч. консоль, запускались, но сразу и отключались.

RemoveIT попробуй

Дубль №2, дорогие товарищи :)

Опять тот же порно информер, но более умный.
Combofix уже не дает запустить. при попытке его запуска вылазит второе окно информера :))))

переименую все чо надо в .com
авз загони на флеху под именем с краказябрами
убей все процессы усера
далее Win+U и думай

о блин кракозыбра прицепилась

(152) тебе самому лечиться походу надо )))

:)аха

(150) Прообую. Эта падла еще и автоопределение флешек отрубала похоже.
На дик пишу....

(154)+1 )

(156) к (151)

(151) вроде помогло)
спасиб

(150) а пользователь все тот же?

(158) против такой пакости ставь пробного каспера, он 100% чистит подобную хрень.

боролся в пятницу. подцепил на рабочем месте с какого-то безобидного сайта.
День бились, еще полдня испоравляли последствия.
Ни один антивирь не находил.
В момент слова на машине стоял Касперский, ничего не поймал.

(159) Нет. замшефа из дома притаранила системник :)

На днях лечил, как в (130). Вместо пп.1-4 запустил FAR. Он умеет показывать текущие процессы. Нашел подозрительный файл. Это был svhost.exe. Убил его здесь же. После этого зашел в реестр, нашел где этот файл запускался. Удалил запуск в реестре. Нашел в этой папке файл. Переименовал папку. Перезагрузился - о чудо, все ОК!

Файл всем разослал по почте.. Гы-гы-гы.. Шучу.
Оставил для ёпытов.

Зафоткал экран этот с двумя порноинформерами одновременно.
Вечером выложу.

(161) Не, на самом деле лучше всех подобную хрень чистит каспер. То что игнорят остальные антивирусы, каспер прибивает очень хорошо, ессно не каспер 2000-бородатого года :)

(165) бред

А вобще на этом компе хороший букетик.
Ща куритом сканю, уже около 10 разных троянов-вирусов нашел

(166) нууу... бред-не бред, не голословно говорю, каждый день проверяю, наша контра помимо прочего антивирусами барыжит, ну и тестит соответственно "вживую" :)
просто как у меня практика показала так и написал.

(168) да вы хоть затеститесь - от антивируса абсолютно ничего не зависит !

(167) если лицензия поставь от мелкософта и прогани, даже если не будет потом использоваться (не забудь отключить обновление продуктов МС, не винапдейт)

(169)+1

было подобное, експлорер сносил и заливал по новой,

в систем32 обнаруживал exe файлы с набором букв и удалял
заблочил диру windows/temp для юзера system

Помогла прога rrtri.exe. С помощью нее для включения диспетчера задач:
ставим ноль (вирус поставил туда 1) в ветке реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
Редактор реестра разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001

(165) стоит KIS 2010 с последними обновлениями, все равно пропустил

(172) подкинули сразу 2 информера + трояна и червя, нодом чистил, но он не все осилил

Если эта картинка действительно имеет своё окно, то можете попробовать узнать какой файл её создал.
Для этого идёте сюда и скачиваете программу Prioritet и запускаете её.
Потом щёлкните по этой картинке ну чтобы сделать это окно активным и нажимаете на на клавиатуре на кнопку Pause/Break и если эта картинка находится действительно в окне, то программа укажет путь к исполняемому файлу, создавшему эту картинку.
Останется только "прибить" его процесс в диспетчере задач Windows и удалить сам файл.

Ссылка: Для этого идёте сюда и скачиваете программу Prioritet http://www.cyberforum.ru/post116327.html

(172) диспетчер задач включаетс без ничего

НОВШЕСТВО !


порнобаннер убивает разделы харда !

(165), +(173) вот-вот, лицензионный KIS-2010 и стоял ! Буквально на глазах у меня заразился, а каспер молчок!

(178) жэсть :(

Самое простое:
- грузимся с LiveCd и копируем нашу систему куда-нить (самое важное - папки config - там реестр).
- Переименовываем Program Files во что-нить "интересное" (и Documents And Setting s тоже)
- ставим новую систему - желательно поставить и дрова.
- Переносим из старой всё, что нас интересует касательно программ и настроек пользователя (при этом, избегаем перезаписывания системных файлов).
- загружаемся c LiveCd и переписываем config в новую систему.
- должно работать.

P.S. если вирус не даёт запустить ничего в системе, то заходим с LiveCd и делаем переименование explorer.exe -> explorer.old и копирование CMD.EXE -> explorer.exe, перезагружаемся и видим окно командной строки (а все автозапуски реестра никто не отработает).
Если "засланец" поставился как сервис, то рекомендуется вместо CMD.EXE сразу запускать REGEDIT.EXE и гробить сервис в системе - лучше через REGEDT32.EXE, так как там можно расставлять права доступа, а "умный" вирус не даёт пользователю себя "убить".

(180) фишка в (178), что при перезагрузке - система повисла
далее вообще не запускалась
LIVE скачал, что нет ниодного логического диска

(181) Ну, при поимке вируса бывало, что система не грузится (и это как правило), если делаешь копирование с одной системы на другую.
LiveCd, кстати, не все современные Serial-ATA видит - надо в BIOS-е включить режим совместимости (да и с системой именно это могло и произойти - "отвалился" драйвер диска и она "захотела" увидеть диск в режиме совместимости).

Аж интересно стало....
Поставил на витруалку WinXP.
Запустил, проинсталил огнелиса, добавил пользователя без прав администратора.
Перелогинился под пользователем без прав админа и полазил пол-часа по порносайтам.
Перезагрузка и здравствуй порно-банер.
Как оказавается легко это подцепить.
И какое безбожное убожество в плане безопасности эта винда...

+(183) Хоть и трындят насчет "не работайте под админом" - пофигу, всеравно подцепил.. О_о....

(1) Тебе на сайты wwww.kaspersky.ru и ДокторВэба у них найдёш коды какие надо ввести чтобы порноинформер сгинул. Удачи. Главное не плати этим бандитам.

(183) дочери кроме венды ничего не видели и не подцепляют даже с админскими правами )))

(183) Интересное кино... Ты знаешь системы, обученные нравственности?!
Или ты расцениваешь показ картинки на весь экран вирусным действием?!
ХА!
По сути. Если подцепил каку под юзером, но победить его легче, чем под Админом.
Или у тебя другоей мнение?!

Недавно тоже приходилось бороться с подобной шнягой. При запуске системы на рабочем столе по центру появлялось окно с тем самым содержанием и предложением отправить смс (не помню точно на какой номер). Диспетчер задач вызывался и сразу исчезал. Браузеры - то же самое. В безопасном режиме без доп.параметров - диспетчер вызывается, но ничего подозрительного нет и окно с деффками висит, хоть бы хны. Перелопатил кучу инфы в инете, перепробовал все варианты от сканирования антивирем до поиска сомнительных ключей в реестре.
Вылечил так: Запустил в безопасном режиме в поддержкой командной строки, (окно порноинформера в этом случае не появлялось), закрыл окно cmd, вызвал диспетчер, запустил Explorer, и тупо сделал восстановление системы (в безопасном режиме без доп.параметров восстановление не прокатывало, т.к. девочки мешали машине спокойно уйти в ребут). Но что самое интересное, почему-то гладко прошло только с 3-го раза. Первые 2 раза после процесса восстановления и последующей перезагрузки машина вываливалась в бсод (виноват информер?). Короче, восстановление системы рулит, товарищи. Без него бы хрен знает как от этой фигни избавился...

Рассылка вируса под прикрытием ложного сообщения о соглашении "1С" и "Консультант Плюс"
http://www.buh.ru/newsDescr-6233

+(189)
Уважаемые пользователи и партнеры!

Обращаем ваше внимание на то, что в настоящее время неустановленными лицами производится массовая спам-рассылка электронного письма под заголовком "1С и Консультант Плюс теперь партнеры!". Текст этой рассылки не соответствует действительности и составлен с целью спровоцировать получателей на скачивание файла, якобы содержащего "обновление", с помощью которого пользователю будут доступны льготные условия использования программ "1С:Предприятие" и "Консультант Плюс".

Лабораторией Касперского установлено, что данный файл содержит компьютерный вирус ("троянскую программу") Trojan.Win32.Agent2.csfb, детектирование этого вируса будет добавлено в следующее обновление Антивируса Касперского.

Мы настоятельно рекомендуем НЕ переходить по ссылкам, указываемым в анонимных спам-рассылках и НЕ скачивать файлы, на которые эти ссылки ведут.

Официальная информация фирмы "1С" о партнерских соглашениях, изменениях в программных продуктах и условиях их поддержки публикуется в информационных письмах "1С" и на сайте www.1c.ru. Для получения достоверной информации рекомендуем пользоваться этим ресурсом.

лучшее средство от порноинформера - бром.

(187) Я в общем о дырявости винды говорил.

У меня как-то вылезла такая штука и вообще ничего не работало, даже кнопка пуск не нажималась. В защищеном тоже самое, сразу окно вылазит и ничего не работает. Установила винду на другой диск, запустила, нашла все файлы изменнёные за тот день, их много было, и в ТЕМПе и в систем32, а во временных файлах интернета были файлы без расширения, по размеру совпадали с теми что в систем32 и ТЕМП, почистила, посмотрела в папке Prefetch логи что запускалось, так эта пакость каким-то образом использует акробат для прочтения и запуска этих файлов, потом запустила старую винду и всё работает, сделала откат на всякий случай. Всё работает как надо.

Вывод: надо на другом диске иметь резервную винду.

(194) Зачем?
LiveCD и все

(195) У меня такого нету. Тем более он на линуксе, я не умею с ним работать.

(194) Есть более интересное решение. Изначально при установке разбиваем диск на 2 логических раздела, на один ставим ОС и программы, на другом будем хранить данные. После установки и настройки системы "с нуля" делаем образ системного раздела и сохраняем вне компьютера. Затем повторяем это регулярно (например раз в месяц).
Теперь в случае серьезного заражения вирусами, даже полного краха системы, просто берем последний сохраненный образ системного раздела, восстанавливаем и наслаждаемся жизнью дальше. У меня например стоит XP, восстановление системного раздела занимает 5 минут (пробовал в целях тестирования этой функции, необходимости пока не возникало).
Естественно на системном разделе никаких файлов, о потере которых могу пожалеть, не храню.

(197) Так и делаю. Но дин хрен приходиться кое-какие данные вытаскивать с системного раздела.
В винде есть очень тупая фича - хранить профиль пользователя на системном разделе.
А щас многие программы туда по умолчанию что-нибудь сохраняют.
Приходиться  перед восстановлением выдергивать

(197) Ужас!!!

(192) нет никакой "дырявости" есть люди грамотно эксплуатирующие систему в корыстных целях
если надо могу дать ссылочку на спамбота для линукс, упешно внедрявшегося некоторое время

(197) Зачем ? (с)

Добавлю своли три копейки. Вчера словил аналогичную хрень , окно с девками, блокирующее все остальные олкна и диспетчер задач. Вредоносный процесс назывался не svhost , а bljad.exe ! Такое вот чувство юмора у творцов информеров. Удалил , используя смесь способов из указанных выше. Кстати, спасибо всем , кто поделился опытом в этой ветке.

вчера у отца на компе такое чистил.
благодаря этому топу сразу лайв сиди записал и тупо просканировал систему)
кста, подскажите простой и бесплатный антивирь, чтобы его поставить на комп пенсионеру, и у него не было б заморочек с обновлением)

Все не читал. Влом Если у кого такое вылетает звоним прямо из-за компа 8-800-100-73-37 (это агрегатор который заведует короткими номерами) диктуем ему номер на который надо отправить смс и код. Он сразу говорит код (или несколько подряд которые надо вводить) разблокировки.

(204) я правильно понимаю, что после разблокировании вирус остается в системе, и потом все повторится?

(204) звонок бесплатный ?

(205) есть информеры которые требуют сначала 1 код
а потом 2 код

(206) 800 - это всегда бесплатная линия

(204)(208) спасибо за инфу

(208) ну, да, конечно ....

Удалил информер аналогичный описанному в (202) - т.е. блокируется наглухо всё, кроме поля для ввода кода.
Самый простой способ сработал: в момент загрузки рабочего стола за долю секунды до появления баннера возможен вызов диспетчера задач. Подозрительный процесс - instal.exe. Он и оказался заразой. Был снят, переименован и позднее удален, прописался в папке /Proram Files/Microsoft Office, в реестре обозначил свой старт через винлогон. Кстати, антивирусы его так и не обозначили (КьюрИт,  Авира, avz), но был отловлен его инсталлер во временных файлах юзера (не помню каким из первых двух).
ПС: а баннер-то эволюционирует. Уж не почитывают ли его создатели этот топик?

+211 Да, забыл. Безопасный режим не канает.

если есть возможность запуска консоли восстановления (указана в загрузке, есть диск с винХП) то лечится без ухищрений запуска утилит