DiMDiMыч написал(а):

просматривал автозапуск

и в реестре просматривал?

Возможно была подменена какая-то библиотека или исполняемый файл. Попробуй отследить по дате изменения или делать репейр системы. Еще некоторые подобные прогарммы-вердители имеют механизм самоуничтожения, так что попробуй еще просто подождать.

Tomat, а что есть репейр системы?
насколько помню, это вроде при запуске винды с загрузочного диска или инсталяции винды включается такой режим?
Kosh_Mar, спасибо, сейчас посмотрим

др Веб
http://news.drweb.com/show/?i=304&c=5

ну и вот еще
http://www.makak.ru/2009/04/29/windows- … 3649-viru/

Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожет потерей всех данных. Зашел VNC,  узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось поебстись. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее :D

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором :) Я вроде ниче не блокировал.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.

DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть «C:\WINDOWS\system32\userinit.exe» (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.

Удалил все говёные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше ;) А ведь секретарша, думала уже СМС отправить за 300 рублей :)))

а это же старый вирус вроде - почему антивирусники не помогли :(

Исправлено Kosh_Mar (02.10.09 00:09)

Сними хард, на другом компе вылечи, если есть возможность

Исправлено JackaL.ukg.KZ (02.10.09 00:22)

1. не слать смс
2. переустановить винду
3. на свежую винду поставить антивирус

Исправлено Wic (02.10.09 00:35)

DiMDiMыч, ctfmon языкавая панель в переводе

koroche snoshu vint k IT-shnikam, puskai popitajut...
spasibo otpisavshimsja

у меня вчера другой вариант был: выкинуло, что типа пиратская версия виндовса, работать не буду. ну и смс-ку требует на какой-то номер.
оказался файлик ctfmon  в папке виндовса килобайт на 50 (штатный лежит в system32 и весит 15) проблем с удалением и чисткой автозапуска не возникло. антивири его не увидели.

может не в тему НО!

На скрине приветствия когда такое висит комп не выключаеш 32 минут и  перезагружаешся скрипт сам удаляеться

Проверенно не один раз
На Drweb описанно
Там же есть и генератор кодов

Старая тема, добавлю от себя - мне помогло сходить к терминалу, кинуть денег на СВОЙ телефон и ввести номер чека этой твари, она схавала)

Исправлено Siron (01.08.12 17:22)

хз, маловероятно, разве так

звонит оператору и жалобным голосом объясняет, что не туда кинул денежку

можно делать? Всегда был уверен - ошибся в номере - твои проблемы. Да и странная это будет ошибка - 9 из 10 цифр.
Да и вообще, пускай подавится 50 рублями.