В последнее время участились случаи обращения клиентов с просьбой вылечить компьютер
от вируса, который ведет себя примерно так: при запуске Internet Explorerа на экране
появляется окошко с непристойным содержанием и надписью "Благодарим Вас за установку
информера". Так же предлагается отправить SMS, в ответ на которое якобы придет код, для
удаления этого окна.
Здесь я попытаюсь вкрадце объяснить, как сэкономить свои деньги и самостоятельно убить
эту заразу. Итак...

Открываем "Панель управления" (пуск-> Настройка-> Панель управления).
Запускаем "Свойство обозревателя" открываем вкладку "Программы".
Нажимаем вкладку "Надстройки". В столбце "Файл" ищем файлы в имени которых присутствует
нечто похожее на ****lib.dll. Выделяем название этой надстройки и внизу ставим галочку
"отключить". Так проделываем со всеми найденными надстройками. Будет не лишним воспользоваться
поиском и удалить эти файлы из компьютера.
Всё.
Напоследок рекомендую скачать и запуститить бесплатную лечащую утилиту CureIt! от DrWeb
Скачать её можно тут: http://www.freedrweb.com/cureit/

это есть правильно!

была такая хрень около 2 месяцев назад,убрала.

Было такое, знакомый помог почистить также, как здесь рекомендует Студент.

«Доктор Веб» сообщает о крупномасштабной эпидемии троянца-вымогателя Trojan.Blackmailer
7 апреля 2009 года

Компания «Доктор Веб» информирует о крупномасштабной эпидемии сразу нескольких модификаций Trojan.Blackmailer, которая началась в конце марта 2009 года и продолжается до настоящего времени. С 31 марта наблюдается значительное присутствие данной вредоносной программы среди обнаруженных инфицированных файлов. Речь может идти о миллионах заражённых компьютеров. С начала распространения новых модификаций Trojan.Blackmailer специалистами компании "Доктор Веб" были оперативно добавлены соответствующие записи в вирусную базу, и на данный момент пользователи антивируса Dr.Web надёжно защищены от данного троянца.



Данный троянец представляет из себя плагин к браузеру Internet Explorer с рекламой порно-сайтов, который отображается при посещении любого интернет-ресурса. Таким образом он постоянно напоминает о себе пользователям. В то же время, данную программу практически невозможно удалить стандартными средствами - для деинсталляции злоумышленники предлагают пользователям отправить SMS-сообщение, а затем ввести полученный код.


С момента начала эпидемии сразу 4 различных модификации – Trojan.Blackmailer.1094, Trojan.Blackmailer.1093, Trojan.Blackmailer.1086 и Trojan.Blackmailer.1091 – расположились в первых 5 строчках статистики инфицированных файлов, переведя во второй эшелон даже сетевого червя Win32.HLLW.Shadow.based. Поэтому даже если принять во внимание, что на каждом заражённом Trojan.Blackmailer компьютере обнаруживается несколько инфицированных этим троянцем файлов, то масштабы эпидемии всё равно серьёзные.

Установка Trojan.Blackmailer в систему происходит не только при посещении заранее подготовленных вредоносных порно-сайтов. Заражение данной вредоносной программой возможно и при посещении вполне благонадёжных интернет-ресурсов, которые были взломаны с целью добавления к их страницам вредоносных скриптов, которые, используя уязвимости Internet Explorer, загружают и устанавливают вредоносный плагин.

Компания «Доктор Веб» рекомендует использовать альтернативные интернет-браузеры, а также устанавливать актуальные обновления для операционной системы и другого ПО для снижения риска заражения Trojan.Blackmailer. В случае, если заражение одной из модификаций Trojan.Blackmailer всё же произошло, то не рекомендуется отправлять SMS-сообщения, тем самым делая свой вклад в обогащение злоумышленников. Для удаления плагина достаточно просканировать компьютер сканером Dr.Web с актуальными базами или актуальной версией Dr.Web CureIt!.

Похоже сегодня начинается новая атака злоумышленников на компьютеры. По словам клиентов, троян блокирует работу Windows, выводя на экран сообщение с предложением отправить SMS и получить код для разблокировки. Повторяю, это мошенничество! Ни в коем случае поддавайтесь на эти уловки. Пока лично я с этим не сталкивался. Принесут "больного", будем диагностировать и искать лекарство.

Встречал,лечил. Safe Mode + CureIT или любой другой адекватный антивирус с обновлениями...

ANTСпасибо за информацию.

«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
10 апреля 2009 года

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.



Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленный на компьютере Dr.Web оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами «Доктор Веб».




http://news.drweb.com/show/?i=304&c=5

Ни в коем случае не пытайтесь переустановить Windows в данной ситуации. Возможно, загрузка с CD приведет к удалению всей информации с жесткого диска. Мной уже зарегистрировано два случая.

Вот он, родненький:)

Кстати правда, удалил себя сам спустя некоторое время.

Очень интересно, где сейчас автор этого червя!? Наверное отдыхает где-нибудь на Канарах, потягивая коктейль из трубочки. Представляю, сколько пользователей отправило ему смс:) И если мне не изменяет память, стоимость данного смс составляла 175 рублей.

Есть еше и такой вариант.

словил-доктор пропустил, переустановил винду-все нормально

касперского поставь восьмого, проблем не наблюдается

Удаление Trojan-Ransom.Win32.Blocker своими руками

Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.



Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается браузер.



После запуска браузера можно загружать из него любые целебные утилиты, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.

Специально щас заразил свой ноут.
А вот не получается!!! Не выводится окно в котором есть гиперссылка. Соответственно браузер запустить невозможно.

Теперь понятно кто заражает компы в сети

Олег Зайцев ( AVZ ) и Лаборатория Касперского думает иначе - http://www.viruslist.com/ru/weblog?disc ... 4&return=1

Студент
Словила блокировку Windows. СМС отправлять не стала, потому как насторожила меня такая ситуация. Пыталась починить сама и вынесла всю систему, пришлось нести в ремонт...
А насчет информера, поняла, как его можно подцепить - при заходе на любой сайт (на порно не хожу) всплывает характерное окно с порнушкой и в углу надпись pop-under.ru [close]X, так вот, если нажать на крестик, подцепишь информер...

Wolsi
такого рода хрень можно подцепить путем запуска скаченного файла. Обычно, скорее всего, вам предложили установить какой либо кодек для просмотра видео.

Wolsi
ещё вопрос. Как можно было ТАК завалить файловую систему? Ответ можно в личку.

Студент
Мне ничего не предлагали устанавливать. Просто на одном из форумов, который я посещаю, это окошко достало прыгать по экрану, ну я и нажала "закрыть". Потом захожу - бац, информер!. Сейчас скину в личку, потому как история глупая.

Сегодня был "пойман" очередной троянец. Картинка с мохнатой мужской задницей вымогала деньги и очень злилась, если пароль был введен неправильно. Троянец был загружен с сайта вконтакте.ру под видом флеш плеера. Еще раз предупреждаю, что качать и устанавливать всякого рода кодеки и плееры ТОЛЬКО с официальных сайтов разработчиков.

Очередной прикол. Вместо сайта вконтакте или одноклассники появляются либо цифры, либо страничка, что ваш аккаунт заблокирован, и просьба отправить смс. Это очередной вирус. Лечится путем удаления всех записей из файла c:\windows\system32\drivers\etc\hosts

Типа это вирус?
c:\windows\system32\drivers\etc\hosts.20080523-214305.backup

правда не факт что обратно не появится- тогда уж лучше отключить просмотр lmhosts в доппараметрах tcpip

Надпись мелким шрифтом(орфография сохранена):

*Программа блокирует все доступные способы входа в Windows,
так как если не удалить зловредный вирус ВСЕ файлА
на вашем компьютАре очень скоро будут заражены.
Внимание, переустановка ВИНДОВС не изменит ситуацию,
так как вирус прописывает себя в загрузочные сектора
жесткого диска.

не нужно пользоваться эксплорером, он дырявый нах
майкрософт - жлобы
опера эту хрень не пропускает

Пару советов не используйте эксплорер, юзайте оперу, мозилу, гугл хром
И НЕ СИДИТЕ В КОМПЕ ПОД АДМИНАМИ!!!!!