[@HighMan]

Отправьте SMS с текстом 3378138 на номер 5121
Вешает как и многие баннер, не дает работать.

Вымогатель выловлен.
Внимание! Этого гада не просекли антивири Avast, CureIt, Каспер ни в момент попадания на машину, ни при сканировании. Генератор ответов тож развел лапками. Пришлось привлекать тяжолую артилерию, т.е. МОСК!
Тварюшка прописалась C:\Documents and Settings\All Users\systems.exe
Так же в реестре отметилась в паре мест.
HCU\Software\Microsoft\Windows\CurrentVersion\Run и еще где-то, не помню, но элементарно находится поиском по имени файла.
Ах да! Еще эта скотина перемещает iexplore.exe в C:\Documents and Settings\All Users\
Вот отчет virustotal:
http://www.virustotal.com/ru/analisi...011-1271863781
Этого вымогателя пока очень мало кто ловит. Генераторы ответов тож не спасают.
Надеюсь кому-нибудь сей пост поможет.

[@SaNdigo]

На самом деле он уже начал лютовать, всё больше и больше пострадавших. Спасибо за инфу

[@Дима Александрович]

Цитата:

Сообщение от SaNdigo

. Спасибо за инфу

+1

[@брат]

HighMan
где ты подхватил этот вирус?

[@HighMan]

Цитата:

Сообщение от брат

HighMan
где ты подхватил этот вирус?

К сожалению не могу ответить на этот вопрос - не помню. Точно только, что цепанул в инете.
Очень поганый момент: он не детектится, на данный момент, ни одним из популярных у нас антивирусов. Virustotal тому подтверждение. Ах, да! Таблицы с ответами вымогателям и генераторы келючей тож оказались бессильными.

Если вы все таки словили банер вымогатель, то большую их часть можно нейтрализовать в безопасном режиме.
Грузимся в безопасном режиме с поддержкой сети (F8 сразу после отработки BIOS). Если удалось загрузиться, то принимаемся за убийство. Основной рабочий инструмент: regedit. Открываем regedit (Пуск->Выполнить набрать regedit). В первую очередь лезем:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
Тут расположены програмы, загружаемые Windows. Внимательно смотрим значения ключей.. Если некий ключ указывает хрен знает в где, типа c:\Documents and Settings\... то это скорее всего зловред. На всякий случай скопируйте этот ключ в какой нить файл и после удалите. В файл копируем, что бы потом можно было восстановить, если это не зловред.
Такс... Тут, вроде, все чисто. Тогда лезем
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Тут глаза разбигаются, но нас интересует ключ Userinit. Смотрим его значение:
C:\WINDOWS\system32\userinit.exe, Вот такое, в большинстве случаев, вы и должны увидеть. Если после запятой написано что-то еще, то это, с большой вероятностью, зловред. Опять же копируем значение в текстовой файл. Мало ли что! И чистим все, что за запятой.
Если тут все оказалось в норме, то лезем в
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
И внимательно смотрим на предмет не ясных прог в загрузке.

Если вы обнаружили, что в одном из ключей живет нечто подозрительное, то перед удалением этого ключа все таки перепишите значение куда нить!
Такс! Перегружаемся в нормальном режиме и... Эврика! Баннер убрался. Круть? Угу, но не совсем. Теперь жевательно прибить виновника, абы пока мы прибили только его вызов, а само тельце продолжает валяться у нас в системе. Вот тут-то нам и поможет файлик в котором живут скопированные нами подозрительные пути. Смотрим этот путь, лезем по нему, обнаруживаем паршивца и бесследно удаляем! (Ctrl + Del).
Внимание! Вы можите залезть, но файл не найти, это потому, что вирусы, обычно, высставляют атрибут Hide. Так что заставляем Винду показывать и скрытые файлы тож и удаляем.

Таким образом мы можем выловить и прибить большую часть банеро-виросо-вымогателей.
В любом случае, даж если вам удалось разобраться с вирусом, то пригласите еще глянуть спеца, что бы подчистил хвосты. Возможно удасться его соблазить пивом

[@Arax]

Странно, у меня каспер на зараженной машине нашел и убил его.

[@HighMan]

Цитата:

Странно, у меня каспер на зараженной машине нашел и убил его.

Вот уж действительно странно! Я сунул файл с вирусом в отдельный каталог и сканировал оный паучком, каспером, авастом, нодом. Все вышеперечисленные антивири отрапортавали, мол все чисто.

[@Arax]

У меня на двух машинах вылезал этот вирус, тупо снимал винты, цеплял к своему и продерал касперским, спокойно находил в C:\Documents and Settings\All Users\systems.exe и удалял, просто первый раз я сделал и забыл где он валялся, теперь уже записал )