В интернете завелась очередная зараза. Не настолько страшная как свиной грипп, конечно, но по крайней мере неприятная. На сей раз, вследствии попадания вируса в систему, возникает следующая ситуация.

После запуска системы, выныривает окошко с сообщением о том, что вы пользуетесь нелицензионной виндой, и должны отправить СМСку по определённому номеру. Каково это увидель владельцу как раз таки лицензионной системы? При этом система больше не работает.

На экране может появиться окно такого вида (но необязательно)

С чем то подобным я уже сталкивался давно и описывал в одной из первых статей данного блога. А про родственника такого зловреда, писал совсем недавно в статье о удалении информера-новостной ленты из браузера. Но тут уже проблемма более серьёзная, чем баннер на полэкрана браузера. Хотя поймать ее вы могли, как раз аналогичным образом, установив видеокодек для просмотра видео на сайтах.

Поиск по сети дал несколько решений проблеммы, их и опишем.

1. Никуда никакое СМС не посылать.
   
2. Если вы поймали троян Winlock.19, то вам … очень повезло. В прямом смысле. Данный зловред настроен на самоуничтожение через два часа работы компьютера. Так что решением есть просто терпение. Оставьте компьютер включенным на несколько часов, а потом перезагрузите. Если проблема не устранилась, пробуйте следующий способ.
   
3. Войдите в Виндовс в безопасном режиме. Для этого, во время запуска системы нажмите и удерживайте кнопку F8 на клавиатуре, а потом выберите запуск в безопасном режиме. На диске С пройдите по адресу c:/documents and settings/all users/application data/ и удалите оттуда два файла: blocker.exe и blocker.bin, или любой файл с названием blocker.(любое расширение). Также нужно удалить в реестре ссылки на этот файл , в частности HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. После перезагрузки должно заработать. Сразу же сделайте поиск по компьютеру, в поисках файлов blocker.(любое расширение), и удалите найденные. На всякий случай сделайте глубокую проверку антивирусом. Кстати, вместо папки /all users/ возможно нужно пройти в папку с вашим виндовслогином, а далее в /application data/.
   
4. Сделать лечащий диск Live CD (http://www.freedrweb.com/livecd/). Запуститься с него, удалить blocker.exe и blocker.bin с папки :/documents and settings/all users/application data/ и далее по пункту 3.
   
5. Также можно попробовать найти лишние файлы под названием WINLOGON.EXE. Единственный такой файл имеет право насуществование в системе в папке C:\Windows\System32 . Если вы обнаружили его в другой папке — немедленно удаляйте. Под этим именем может маскироваться более сотни разных вирусов.

В общем надеюсь, что у Вас первый или второй случай. В дальнейшем не устанавливайте никаких видеокодеков для просмотра видео на сайтах - этот вирус часто там. Для просмотра онлайн видео достаточно обычного флеш плеера.

Ап. от 09.01.2010
Новая статья "Блокировщики Windows и как их удалить доступными средствами"

P.S. Крайне рекомендуется читать и оставлять комментарии к данной статье. Особенно, если Вы решили проблему каким-то иным путём. Плюс, рекомендую прочесть статью о СМС-платежах

Для начала разьясним, что такое фишинг (http://ru.wikipedia.org/wiki/Фишинг). Это такая мошенническая веб-технология, когда пользователю приходят письма, как бы от сервиса (почтового, форума, "одноклассников" и даже банков). В письме просят пройти по ссылке и войти в свой аккаунт. Нажав на ссылку, пользователь попадает на страницу в точности похожую на страницу входа на сервис.

Вы можете не обратить внимания, что адрес в адресной строке на ОДНУ букву отличается от оригинала, и введёте логин и пароль в форму. Как результат Ваш кабинет в сервисе попадёт в руки мошенника - он получит "ключи" к замку в аккаунт. В итоге - потерянные деньги или конфиденциальные данные.

Вернуть свой аккаунт в сервисе будет возможно, как правило, только обратившись к администрации за помощью. Только на это уйдёт и время и нервы.

Защитой от фишинга может служить в основном только внимательность пользователя, и только мы сами можем быть у нас адвокатом в таких случаях. Нужно запомнить, что НИКТО и НИКОГДА не имеет требовать от Вас личные данные для входа в любой сервис, в том числе и сам сервис этого не будет делать. Также в некоторых браузерах может быть встроен функционал предупреждающий, что сайт ненадёжный, а может сработать антивирус или фаервол, если со фишинг-страницы в компьютер полезет вирус.

Но обратимся наконец к Яху. Для защиты от фишинга они решили сделать "метку" для компьютера. То есть, Вы можете настроить так, что при входе на страницу входа в почтовый ящик, над формой будет появляться специальное изображение.

На изображении может быть, как символьный текст, так и любое изображение загруженное Вами. Я использовал только числа.

Для создания печати, над формой входа пройдите по ссылке "Создать личную печать..", далее выберите какую печать будете создавать (текстовую или загрузить изображение). Выбрав текстовую печать в открывшихся трёх формах вводите символы (до пяти в каждую) и выбираете фоновый цвет печати (по ссылке "другие цвета..."). Для предпросмотра печати жмите кнопку "Просмотр".

Если всё устраивает, жмите "Сохранить". Вам покажет сообщение о том, что если вы входите в ящик с разных компьютеров, нужно создать печать для каждого - жмите кнопку "Хорошо". Вас перебросит на страницу входа в ящик. В форме ввода логина и пароля Вы увидите созданную вами печать - запомните ее, и следите во время следующей авторизации на Яху за ее наличием.

Вот такой простой способ защиты от фишинга придумали на Yahoo. Пользоваться или нет - это Ваш выбор. На доступ к ящику данная фишка никак не влияет.

И запомните, что печать привязывается не к почтовому ящику, а к компьютеру пользователя, наверняка путём прописывания куки в Вашем компьютере. Если используете печать, то настройте ее на всех машинах используемых для доступа к ящику.

А лучше всего, для доступа к ящику, используйте почтовые клиенты Outlook Express и the Bat. И тогда, отпадёт необходивость входить через браузер на сам сервис.

Смотрите десятиминутное видео о том, как сделать печать в Yahoo!:
(Внимание! Вес видео - 11,7МБ, так что, если слабое соединение и дорогой трафик , то лучше не запускать!)

Если вы столкнулись с блокировщиком Windows, то можно почитать ещё более свежую статью и обсуждение по теме "Блокировщики Windows и как их удалить доступными средствами"

Если честно, то с проблемой всплывающего информера в Интернет експлорере я сталкивался всего один раз, и то, не на своем компьютере. Наверное, вовремя установил брандмауэр Outpost Firewall, блокирующий доступ в компьютер всякой гадости из сети.

Вообще данная статья возникла из-за, участившихся в последнее время, заходов на блог по, фактически, одному поисковому запросу. Если его суммировать, он прозвучит так: «помогите удалить вирус или убрать всплывающую новостную ленту он же информер ruxvideosdghdfghdfgh с интернета у меня с экрана из компьютера бесплатно код без смс / sms». Приблизительно так, в разных вариантах, и уже раз сто. Небольшой поиск по Интернету показал, что проблема актуальна, поэтому опишем симптомы и дадим ее решения.

Опишем кратко проблему. Часто на, сами догадайтесь каких, сайтах, и на сайтах, с бесплатными программами, музыкой, фильмами и так далее, устанавливаются специальные программы, для внедрения в компьютер пользователя информера сайта для взрослых, или же новостной ленты. Или же, его может установить вирус, скачанный вместе с каким либо файлом с Интернет. Возможно это будет установлено вместе со специальным видеокодеком для просмотра видео с сайта. В общем, как оно попадёт к Вам в компьютер вариантов много. А уже после следующей перезагрузки компьютера и запуске браузера IE, внизу экрана появляется баннер с рекламой, который невозможно закрыть.

В информере также есть предложение послать СМС, для того чтобы его можно было убрать. Естественно не факт, что он исчезнет, после ввода кода, и не факт, что вы этот код вообще получите. Но создатели данной программы бьют на психологию – вряд ли молодой человек или сотрудник офиса захочет, чтобы родители, или начальник, увидели ЭТО у него в компьютере. И соответственно посылают смски. Не надо этого делать! Надо пользоваться защитой, во время нахождения в сети – антивирусом и файерволлом. Как вариант, возможно появление информера, вообще блокирующего работу браузера, и требующего абонплату за пользование им – это тоже развод.

Самое распространённое решение следующее.


• Открываем Internet Explorer.
• Заходим в верхнее меню - кликает «Сервис» – кликаем «Свойства обозревателя» – кликаем Вкладка «Программы» - кликаем «Надстройки» – выбираем «Надстройки, используемые Internet Explorer».
• Найдите все элементы содержащие в названии окончание *lib.dll.
• Нажмите на эти надстройки по очереди, а внизу формы нажмите «Отключить»
• Выйдите из Свойств обозревателя, нажав «ОК».
• Для того, чтобы изменения вступили в силу, нужно закрыть программу Internet Explorer и запустить ее снова.

По идее, информер должен исчезнуть. Возможно придётся перепробовать отключать все надстройки, по очереди, для выявления нужной.

Также в «Свойства обозревателя» можно попасть, не запуская эксплорер. Для этого нажмите «ПУСК», далее «Панель управления» , и, в открывшейся папке, «Свойства обозревателя».

Кроме этого рекомендуется в «Свойства обозревателя» удалить куки и файлы Интернета (вкладка «Общие»). А также установите всё по умолчанию, нажав на кнопку «Сброс» во вкладке «Дополнительно».

Если проблема в браузере Opera, то лучше просто переустановить браузер, для этого:


• нужно удалить (деинсталлировать) программу;
• удалить ее остатки из C:\ Programm Files\ Opera ;
• установить программу заново.

Надеюсь, данная методика Вам поможет удалить новостную ленту, или же информер, с экрана своего компьютера.

А напоследок повторюсь: «Всегда используйте антивирус и брандмауэр (файерволл) во время работы в сети!».

P.S. Крайне рекомендуется читать и оставлять комментарии к данной статье. Особенно, если Вы решили проблему своим способом. Плюс, почитайте статью о СМС-мышеловках

Чтобы скачать архив с видео к статье (5,3МБ) кликните по кнопке:

P.S. Online- видео по теме статьи:
(Внимание! Вес видео - 8МБ, если слабое соединение и дорогой трафик , то лучше не запускать!)