Kaspersky Lab Antivirus Online — Trojan-Ransom.Win32.SMSer
22.07.2009, рубрики: Windows, Вирусы, Новости | Теги: вирус | 183 комментария »Троянская программа, требующая отправки платного SMS-сообщения для «излечения» от некого не существующего в реальности «вируса», попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя (например, флэш-диска).
Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОС Windows и никак не проявляет себя до перезагрузки зараженного компьютера.
После перезагрузки, стартовав вместо процесса explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Online с требованием отправить платное SMS-сообщение для излечения системы.
Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.
Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.
Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.
Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.
Метод удаления:
- в окне Kaspersky Lab Antivirus Online введите код 5748839
- откройте папку C:\WINDOWS\SYSTEM32\
- найдите файл USER32.EXE
- переименуйте файл USER32.EXE в файл USER33.EXE
- перезагрузите компьютер
- удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\
- нажмите кнопку Пуск
если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter
если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK - раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- удалите ключ реестра DisableTaskMgr
- раскройте ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- найдите и откройте ключ Shell
- удалите значение user32.exe
- нажмите кнопку ОК
- закройте редактор реестра
- если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей
спасибо, помогло!
правда, пуск так и не появился
Ввожу код, но выдает «На данный момент код шифрование вируса не таков, повторите попытку еще раз».Тоже самое выдает и при других цифрах и просто пустом поле. Что делать?
Загрузись в безопасном режиме под учетной записью администратора, запусти диспетчер задач, грохни user32.exe, а далее как описано выше.
я смог удалить user32.exe но после перезагрузки появипись только заставка рабочего стола. как быть ? помогите пожалуйста. очень жаль данные на компе.
Почитай тут, должно помочь.
Набор цифр не помогает,загрузиться в безопасном режиме невозможно,что ещё предпринять ?
Вылечил — но по методу с портала вирусинфо — путём выполнения скрипта в утилите AVZ — все вышеприведёные коды не помогали,вирус же мутирует,в моём случае ни указания цены и ни названия Касперсого в заголовке не было ! Единственно вот помог этот указаный метод «экранной лупы» — смог вырваться в инет и запустить вэб-браузер,ну а далльше — дело техники и AVZ ! Советую !
При загрузке появляется окошко перед приветствием с какими то иероглифами и и тремя черточками (типа пароль) в окне,
пока не нажмешь ок, загрузка не продолжается, это все последствие трояна,который
просит отправить смс для активации виндоус. Систему всю востановил, прогнал антивирусами и.т.д,
работает все нормально, только беспокоит окно это и долго очень стали загружаться файлы сохраненные в Exel,Word.
Пожалуйста помогите решить проблему с этим окно
Помог совершенно другой способ, так как данный абсолютно не спас... При переименовывании файла user32.dll и последующей перезагрузки компьютера, Винда вообще отказалась грузиться, ссылаясь на несуществующий файл...
Сделал так — запустил автоматическое восстановлдение системы
При нажатии 3- кнопок выскакивает таблица «диспечер задач отключен администратором»!!!!Подскажите что делать?
Тебе только поможет Live-CD с возможностью зайти в реестр, загрузившись с него.
Я выше сообщал — идти на портал вирусинфо.ру(так и набивается,только латиницей) — там всё подробно описано! Запускаем эту лупу по нажатию кнопок Win+U — и через экранную лупу,точнее окошко о этой лупе,там будет ссылка на сайт майкрософта — кликаем по ссылке — и вот IE запустился — а дальше дело техники ! Это окошко тоже не так просто открывается — я минут пять нажимал — надо очень быстро успеть кликнуть по ссылке — быстро окошко пропадало !
я тоже через экранную лупу заходил. У меня avast стоит я его смог через total commander запустить. И он с вирусом в режиме «запуск при перезагрузки» довольно здорово разобрался.
Что делать?
Я переименовала и удалила из систем32 юзер32 (измененный на юзер 33) но Пуск у меня не открывается.
Каким образом можно ещё открыть редактор реестра?
Так,редактор реестра открылся. дошла до пункта найдите и откройне ключ Shell , нашла , открыла,но когла удаляю значение user32.exe ы тыкаю ОК,мне редактор реестра пишет
не удаётся изменить Shell . ошибка при записи нового значения параметров
что делать??
Что делать. Комп не перегружается совсем. А как это — через экранную лупу заходить. Подскажите. Срочно надо!!!
Ну дык выше же описано,читайте ! «Экранная лупа» — из средств для людей с ограничеными способностями, — вызывается одновременым нажатием клавиш Win и U (если не ошибаюсь), сама лупа как таковая нам не нужна,а нужно окошко с информационным сообщением — внизу окошка будет ссылка на сайт MS — её то и кликаем — тем самым запускаем IE ! Ну а дальше — дело техники !
Ранее как то красный банер-вымогатель был удален с помощью конкретных введенных цифр в окно «удапить» — помогло. Может есть такой же способ и в этом случае, а то вышеизложенный способ сложноват и не получается из-за разных факторов...?
ЧУВАК ОГРОМНОЕ СПАСИБО СДЕЛАЛ ВСЕ КАК ВЕЛЕЛ КЛАСС ТОКО ВМЕСТО user32.exe удалил explorer.exe ПАСИБА !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!11111
Помогите пожалуйста! Не получается зайти через лупу т.к. ссылка на сайт микрософт не нажимается. Наверное вирус снова мутировал.
ПРосто кошмар!Вирус мутировал! Коды недействует,браузер неоткрывает!
баннер поменял заголовок на
online antivirus
Да, правда online antivirus. Проблему решил. Помог сайт
www.drweb.com/unlocker/index
Большое им спасибо!
безопастный режим открываю окно ctrl + alt +del далее завершить процес он называктся PG потом еще раз ctrl + alt +del потом новая задача... выполнить потом обзор...открываем диск С ...ищеем папку\Documents and Settings\All Users\Главное меню\Программы стандартные-служебные потом востоновить систему на более раннее состояние...
одно уточнение:
в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нужно прописать параметр — explorer.exe
тогда появится рабочий стол.
А вот диспетчер задачь так и не могу больше запустить :(, у меня хом едишн, в нем нет приблуды для настройки политик %(
Уважаемая администрация.
Вы не могли бы дать координаты органов, занимающихся такого рода преступлений.
Данное действия уже спокойно подпадает под УК РФ вымогательство, мошенничество.
Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.
Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.
Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.
Рекомендации по лечению зараженного компьютера
В окне Kaspersky Lab Antivirus Online введите код 5748839. Код подходит только для одной модификации вредоносной программы (Trojan-Ransom.Win32.SMSer.fu). Если код не подходит, то переходите к выполнению других рекомендаций.
Перезагрузите компьютер в Безопасном Режиме с поддержкой командной строки (Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим)?)
После загрузки компьютера в Безопасном Режиме с поддержкой командной строки наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр (Что такое Системный Реестр? Как работать с ним?).
В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe
Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
Справа отобразятся все параметры ключа Winlogon;
Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.
Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe.
Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значение user32.exe, а значение explorer.exe оставить.
Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.
Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.
После проделанных действий перезагрузите компьютер в Обычном Режиме.
После перезагрузки компьютера выполните следующие действия:
откройте папку C:\WINDOWS\SYSTEM32\;
найдите файл USER32.EXE;
переименуйте файл USER32.EXE в файл USER33.EXE;
перезагрузите компьютер;
после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;
нажмите кнопку Пуск:
если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.
если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.
раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;
слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пункт Удалить);
если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.
взято с support.kaspersky.ru/viru...on?qid=208636874
Если кому нужен ключ, чтобы зайти в Windows, то вот:2047692