Kaspersky Lab Antivirus Online — Trojan-Ransom.Win32.SMSer

22.07.2009, рубрики: Windows, Вирусы, Новости | Теги: | 28 комментариев »

Троянская программа, требующая отправки платного SMS-сообщения для «излечения» от некого не существующего в реальности «вируса», попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя (например, флэш-диска).

Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера.

После перезагрузки, стартовав вместо процесса explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Online с требованием отправить платное SMS-сообщение для излечения системы.

Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

Вид вируса

Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.

Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.

Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.

Метод удаления:

  • в окне Kaspersky Lab Antivirus Online введите код 5748839
  • откройте папку C:\WINDOWS\SYSTEM32\
  • найдите файл USER32.EXE
  • переименуйте файл USER32.EXE в файл USER33.EXE
  • перезагрузите компьютер
  • удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\
  • нажмите кнопку Пуск
    если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter
    если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK
  • раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • удалите ключ реестра DisableTaskMgr
  • раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • найдите и откройте ключ Shell
  • удалите значение user32.exe
  • нажмите кнопку ОК
  • закройте редактор реестра
  • если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей

28 комментариев на запись “Kaspersky Lab Antivirus Online — Trojan-Ransom.Win32.SMSer”

  1. 1 cblp сказала в 22:15, 23.01.2010:

    спасибо, помогло!

  2. 2 cblp сказала в 22:21, 23.01.2010:

    правда, пуск так и не появился

  3. 3 KErill22 сказала в 17:41, 24.01.2010:

    Ввожу код, но выдает «На данный момент код шифрование вируса не таков, повторите попытку еще раз».Тоже самое выдает и при других цифрах и просто пустом поле. Что делать?

  4. 4 Alex сказала в 22:20, 24.01.2010:

    Загрузись в безопасном режиме под учетной записью администратора, запусти диспетчер задач, грохни user32.exe, а далее как описано выше.

  5. 5 alevit сказала в 23:23, 25.01.2010:

    я смог удалить user32.exe но после перезагрузки появипись только заставка рабочего стола. как быть ? помогите пожалуйста. очень жаль данные на компе.

  6. 6 silent сказала в 9:17, 26.01.2010:

    Почитай тут, должно помочь.

  7. 7 Ospen сказала в 10:40, 26.01.2010:

    Набор цифр не помогает,загрузиться в безопасном режиме невозможно,что ещё предпринять ?

  8. 8 Ospen сказала в 11:20, 26.01.2010:

    Вылечил — но по методу с портала вирусинфо — путём выполнения скрипта в утилите AVZ — все вышеприведёные коды не помогали,вирус же мутирует,в моём случае ни указания цены и ни названия Касперсого в заголовке не было ! Единственно вот помог этот указаный метод «экранной лупы» — смог вырваться в инет и запустить вэб-браузер,ну а далльше — дело техники и AVZ ! Советую !

  9. 9 F0cus.nik сказала в 13:12, 26.01.2010:

    При загрузке появляется окошко перед приветствием с какими то иероглифами и и тремя черточками (типа пароль) в окне,

    пока не нажмешь ок, загрузка не продолжается, это все последствие трояна,который

    просит отправить смс для активации виндоус. Систему всю востановил, прогнал антивирусами и.т.д,

    работает все нормально, только беспокоит окно это и долго очень стали загружаться файлы сохраненные в Exel,Word.

    Пожалуйста помогите решить проблему с этим окно

  10. 10 Leonardo сказала в 2:48, 28.01.2010:

    Помог совершенно другой способ, так как данный абсолютно не спас... При переименовывании файла user32.dll и последующей перезагрузки компьютера, Винда вообще отказалась грузиться, ссылаясь на несуществующий файл...

    Сделал так — запустил автоматическое восстановлдение системы

  11. 11 Вадим сказала в 17:11, 29.01.2010:

    При нажатии 3- кнопок выскакивает таблица «диспечер задач отключен администратором»!!!!Подскажите что делать?

  12. 12 silent сказала в 17:26, 29.01.2010:

    Тебе только поможет Live-CD с возможностью зайти в реестр, загрузившись с него.

  13. 13 Ospen сказала в 17:27, 29.01.2010:

    Я выше сообщал — идти на портал вирусинфо.ру(так и набивается,только латиницей) — там всё подробно описано! Запускаем эту лупу по нажатию кнопок Win+U — и через экранную лупу,точнее окошко о этой лупе,там будет ссылка на сайт майкрософта — кликаем по ссылке — и вот IE запустился — а дальше дело техники ! Это окошко тоже не так просто открывается — я минут пять нажимал — надо очень быстро успеть кликнуть по ссылке — быстро окошко пропадало !

  14. 14 alevit сказала в 10:48, 30.01.2010:

    я тоже через экранную лупу заходил. У меня avast стоит я его смог через total commander запустить. И он с вирусом в режиме «запуск при перезагрузки» довольно здорово разобрался.

  15. 15 Kelly ) сказала в 16:14, 31.01.2010:

    Что делать?

    Я переименовала и удалила из систем32 юзер32 (измененный на юзер 33) но Пуск у меня не открывается.

    Каким образом можно ещё открыть редактор реестра?

  16. 16 Kelly ) сказала в 17:24, 31.01.2010:

    Так,редактор реестра открылся. дошла до пункта найдите и откройне ключ Shell , нашла , открыла,но когла удаляю значение user32.exe ы тыкаю ОК,мне редактор реестра пишет

    не удаётся изменить Shell . ошибка при записи нового значения параметров

    что делать??

  17. 17 Pasha сказала в 20:24, 01.02.2010:

    Что делать. Комп не перегружается совсем. А как это — через экранную лупу заходить. Подскажите. Срочно надо!!!

  18. 18 Ospen сказала в 8:50, 02.02.2010:

    Ну дык выше же описано,читайте ! «Экранная лупа» — из средств для людей с ограничеными способностями, — вызывается одновременым нажатием клавиш Win и U (если не ошибаюсь), сама лупа как таковая нам не нужна,а нужно окошко с информационным сообщением — внизу окошка будет ссылка на сайт MS — её то и кликаем — тем самым запускаем IE ! Ну а дальше — дело техники !

  19. 19 вовак113 сказала в 21:22, 02.02.2010:

    Ранее как то красный банер-вымогатель был удален с помощью конкретных введенных цифр в окно «удапить» — помогло. Может есть такой же способ и в этом случае, а то вышеизложенный способ сложноват и не получается из-за разных факторов...?

  20. 20 Вадим сказала в 20:52, 04.02.2010:

    ЧУВАК ОГРОМНОЕ СПАСИБО СДЕЛАЛ ВСЕ КАК ВЕЛЕЛ КЛАСС ТОКО ВМЕСТО user32.exe удалил explorer.exe ПАСИБА !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11111

  21. 21 Александр сказала в 7:55, 16.02.2010:

    Помогите пожалуйста! Не получается зайти через лупу т.к. ссылка на сайт микрософт не нажимается. Наверное вирус снова мутировал.

  22. 22 Антон сказала в 15:41, 17.02.2010:

    ПРосто кошмар!Вирус мутировал! Коды недействует,браузер неоткрывает!

    баннер поменял заголовок на

    online antivirus

  23. 23 Александр сказала в 19:07, 17.02.2010:

    Да, правда online antivirus. Проблему решил. Помог сайт

    www.drweb.com/unlocker/index

    Большое им спасибо!

  24. 24 kosta сказала в 15:48, 19.02.2010:

    безопастный режим открываю окно ctrl + alt +del далее завершить процес он называктся PG потом еще раз ctrl + alt +del потом новая задача... выполнить потом обзор...открываем диск С ...ищеем папку\Documents and Settings\All Users\Главное меню\Программы стандартные-служебные потом востоновить систему на более раннее состояние...

  25. 25 mamont сказала в 4:07, 20.02.2010:

    одно уточнение:

    в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нужно прописать параметр — explorer.exe

    тогда появится рабочий стол.

    А вот диспетчер задачь так и не могу больше запустить :( , у меня хом едишн, в нем нет приблуды для настройки политик %(

  26. 26 Алексей сказала в 19:22, 23.02.2010:

    Уважаемая администрация.

    Вы не могли бы дать координаты органов, занимающихся такого рода преступлений.

    Данное действия уже спокойно подпадает под УК РФ вымогательство, мошенничество.

  27. 27 помощь сказала в 16:16, 27.02.2010:

    Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.

    Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.

    Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.

    Рекомендации по лечению зараженного компьютера

    В окне Kaspersky Lab Antivirus Online введите код 5748839. Код подходит только для одной модификации вредоносной программы (Trojan-Ransom.Win32.SMSer.fu). Если код не подходит, то переходите к выполнению других рекомендаций.

    Перезагрузите компьютер в Безопасном Режиме с поддержкой командной строки (Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим)?)

    После загрузки компьютера в Безопасном Режиме с поддержкой командной строки наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр (Что такое Системный Реестр? Как работать с ним?).

    В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe

    Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;

    Справа отобразятся все параметры ключа Winlogon;

    Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.

    Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe.

    Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значение user32.exe, а значение explorer.exe оставить.

    Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.

    Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.

    После проделанных действий перезагрузите компьютер в Обычном Режиме.

    После перезагрузки компьютера выполните следующие действия:

    откройте папку C:\WINDOWS\SYSTEM32\;

    найдите файл USER32.EXE;

    переименуйте файл USER32.EXE в файл USER33.EXE;

    перезагрузите компьютер;

    после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;

    нажмите кнопку Пуск:

    если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.

    если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.

    раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;

    слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пункт Удалить);

    если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.

    взято с support.kaspersky.ru/viru...on?qid=208636874

  28. 28 WaLTeR сказала в 21:48, 17.04.2010:

    Если кому нужен ключ, чтобы зайти в Windows, то вот:2047692


Оставить комментарий


  • один − = 0