Странная ситуация: одновременно два популярных сайта - Одноклассники.ру и Вконтакте.РУ стали требовать отправку СМС на короткий номер для активации аккаунта (110521469 на номер 6681). Все как и положено - с предупреждением никому, никогда и нигде не сообщать свой пароль. Однако, не “без задоринки” - у одноклассников нет иконки (в строке браузера), в контакте выдает ошибку 404 при попытке зайти на страницы вида http://vkontakte.ru/idxxxxxxx . Естественно, что с другого компьютера всё открывается - никаких отправок СМС.

Что делать, если вконтакте просит отправить СМС - читать дальше

Очередной вирус из серии “отправь СМС и разблокируй компьютер” (Winlock) с текстом T701016100 (Т701016100) на короткий номер 3381.

При загрузке всех программ из автозагрузки вылетает куча сообщений об ошибке “память не может быть written”. Чуть позже появляется баннер, закрывающий центральную часть экрана. Опять же розовый фон, порно-банер и дамы из фильмов по бокам (почти как при установке баннера для доступа на наш сайт) В разблокираторах от DrWeb и Kaspersky информации о таком номере, вирусе, баннере пока нет. Сканирование CureIt-ом выявило 6 файлов с тремя разными вирусами (один из них - разновидность winlock-а). Однако, после перезагрузки почти сразу появился порно баннер.

Касперский, нод и антивирусные утилиты не запускаются.

Для временной разблокировки подошел  код “279346830“, (подсмотрено на форуме - номер 3381 текст Т701016100 код F64W28E - не проверял.) Однако, естественно, что введенный код не гарантирует полного удаления программы с компьютера. Он вообще ничего не гарантирует - только (в лучшем случае) позволяет на некоторое время возобновить работу компьютера.

Загрузка с LiveCD (WinPE, можно записанный на USB), привязка реестра системного диска и просмотр утилитой HIjackThis выявил пару “сомнительных строчек”:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\… (далее следует довольно внушительный список exe-файлов с сомнительными именами)

Предварительно лучше вычистить все эти файлы (я копирую в отдельный каталог для “вирусов”, чтобы после лечения отправить, например, на virustotal - на момент отправки, обычно, вирус в файле распознают не больше 7-8 антивирусных программ.)

Отмечаем сомнительные пункты галочкой и кнопкой “FixIt” (не выходя из ХайДжека) автоматически исправляем значения реестра.

Про методы лечения можно посмотерть в статьях про блокирующий компьютер “липовый” Internet Security, Ubest NetSpeed Pro. Если судить по предыдущим подобным вирусным “блокираторам”, то в скором времени (не позднее пары дней) антивирусы внесут информацию о нем в базы.

UPD. Действительно, CureIt с новыми базами (от 21.05.2010) нашла две DLL-ки с короткими именами (bx.dll и mx.dll) в %WINDIR%\system32 с вирусом WIN32.HLLW.Autoruner.21042

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере.

Вы не зарегистрировали вашу копию Internet Security

Установив данное ПО вы согласились с данным лиценизонным соглашением предложенного Вам для проверки системы на наличие вредоносных программ. На основании лицензии Вы должны либо удалить ПО до окончания пробного периода или оплатить лицензию на дальнейшее использование продукта

Осталось времени:

Работа системы заблокирована для предотвращения дальнейшего распространения вредоносного ПО
Для продолжения работы и очистки вашей системы от вирусов и троянов необходимо активировать Вашу копию.

Чтобы получить код активации отправьте SMS
Отправьте СМС с кодом К212015300 на номер 4460 Стоимость SMS сообщения 10 руб с учетом НДС*
Укажите полученный код активации:

И чуть ниже торчат серые буковки, однако промотать и прочитать не получается .

Очередное сообщение, блокирующее работу системы и требующее отправить SMS. DrWeb пока его не распознал (базы сегодняшние)

Здесь можно поискать код для разблокировки, однако после разблокировки, вирусы остаются в компьютере! Читать дальше про Internet security вирус

Порно-баннер на розовом фоне в центре экрана. Закрыть не получается. Диспетчер задач не запускается (или запускается, но блокируется). Что самое интересное, баннер включается не при загрузке компьютера, а через некоторое время - минуты 3-4 удается поработать “нормально”. Касперский с последними базами “молчит”.

Вы установили баннер для доступа на наш сайт. Срок действия баннера 30 дней. Если вы хотите прекратить действие баннера раньше установленного срока, то отправьте SMS по указанному номеру и введите полученный код удаления.
Служба технической поддержки.
1. Отправьте SMS с текстом 7331691+15 на номер 9800
2. Введите полученный код

Номера (не обязательно 9800) и тексты SMS в подобных “баннерах” (не только розовых и не только для доступа на сайт - см. ссылку в конце статьи) могут изменяться.

Еще один шедевр из серии “отправь СМС и работай нормально”. А что? Наверняка, ведь кто-то отправляет СМС. Интересно, а баннер сразу удаляется? Или нужно еще парочку отправить? Или шлешь СМСки, а баннер продолжает висеть? Кстати, стоимость отправки на номер 9800 будет далеко не 3 рубля.. и даже не 10.. и даже не 100

Находим этот порно-баннер для доступа и удаляем:

подробнее об удалении порно баннера

Внимание! Вы нарушили лецинзионное соглашение программного продукта uBest NetSpeed Pro
Для продолжения работы необходимо активировать Вашу копию!
Чтобы получить код активации - отправьте SMS
- таким сообщением порадовал компьютер.

А между строками - красный таймер с трехчасовой задержкой.. Ой, уже 2:58:12. Карааууул…
Никто не знает, где в инете на четырехзначные номера бесплатные СМС можно отправлять?

Как лечить?

читать об удалении uBest NetSpeed Pro