Очередной блокировщик экрана от вымогателей. Интересно, много ли они денег зарабатывают на таком разводе. В общем как всегда. Разводят мирное население на бабос самыми мерзкими методами. А народ тугой, боится жаловаться и просить помощи друзей, так как стесняются что их обвинят в просмотре жесткой порнушки. А ведь авторы вируса на это и рассчитывают.

Поехали лечить...

Экран становится черным и на нем страшными буквами написано — "ВНИМАНИЕ! Ваша операционная системе заблокирована за нарущение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранение возможности распространения данных материалов с Вашего ПК в сети Интернет. Для разблокировки операционной системы вам необходимо оплатить 400 рублей.

Оплата с вашего мобильного телефона.

— Если Вы абонент Билайн, отправьте СМС с текстом 9647115863 400 на номер 3116. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент Мегафон, отправьте СМСс текстом 9647115863 400 на номер 84444. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент МТС, введите команду *115#. Далее выберите Связь. Билайн. номер телефона 9647115863 сумма 400 рублей.В ответном сообщении подтвердите ваш платёж.

ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ: Пополните номер абонента Билайн №9647115863 на сумму 400 рублей. На выданном чеке будет написан код доступа к системе. Введите его в форму ниже."

Хочу заметить что вирус посерьезнее того лошья, что мне приходилось удалять до этого. Просто так сочетаниями клавиш парня не снести. Остается два способа — вводит код, который можно найти в интернетах бесплатно или загружаться с другой ОС, с загрузочного диска (Hirens Boot CD) или с Live CD винды.

Для начала пробуем коды

1. avc0cet
2. p1d0r
3. svipper
4. DTLP
5. 16342131
6. SHAZAM
7. SKY DESTROYER
8. DNITEMS
9. kisskiss
10. TETRIS
11. DIGGER

Если помогло пропускаем следующую главу. Если не помогло грузимся с загрузочного Live CD или подключаем свой жесткий диск к другу, чтобы с его компа убить скотину.

В моем случае обошлось без этого, т.к. я администратор домена и могу подключиться с помощью Dameware Utilites к зараженной машине по сети. Подключился увидел 2 подозрительных процесса — armedkrnl.exe и arakrnl.exe. Убил процессы, окно пропало. Нашел куски файлов в C:\WINDOWS\Prefetch. Однако самих файлов с таким именем мне обнаружить в системе не удалось.

Но развлечения только начались. Гадость прописалась в реестр для автозапуска вместе с системой и поправила несколько ключей реестра, которые скрывают и отключают все элементы рабочего стола и панель управления.

Как это лечится пишем здесь:
Пропала панель управления (Control Panel)
Редактирование реестра запрещено администратором системы
Пропали значки с рабочего стола и нет меню

Далее запускаем редактор системного реестра. Пуск — Выполнить — "regedit" — И жмём Ввод. Откроется "Редактор реестра". В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Затем посмотрите на правую панель редактора реестра и проверьте два параметра "Shell" и "Userinit" (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit – C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.

Вот он, с уже новым именем rsbtxv.exe. Его я тоже не смог найти. По всей видимости он переименовывается, либо бегает по системе.