Свиной грипп интернета или блокировка Windows

В интернете завелась очередная зараза. Не настолько страшная как свиной грипп, конечно, но по крайней мере неприятная. На сей раз, вследствии попадания вируса в систему, возникает следующая ситуация.

После запуска системы, выныривает окошко с сообщением о том, что вы пользуетесь нелицензионной виндой, и должны отправить СМСку по определённому номеру. Каково это увидель владельцу как раз таки лицензионной системы? При этом система больше не работает.

На экране может появиться окно такого вида (но необязательно)

С чем то подобным я уже сталкивался давно и описывал в одной из первых статей данного блога. А про родственника такого зловреда, писал совсем недавно в статье о удалении информера-новостной ленты из браузера. Но тут уже проблемма более серьёзная, чем баннер на полэкрана браузера. Хотя поймать ее вы могли, как раз аналогичным образом, установив видеокодек для просмотра видео на сайтах.

Поиск по сети дал несколько решений проблеммы, их и опишем.

1. Никуда никакое СМС не посылать.
   
2. Если вы поймали троян Winlock.19, то вам … очень повезло. В прямом смысле. Данный зловред настроен на самоуничтожение через два часа работы компьютера. Так что решением есть просто терпение. Оставьте компьютер включенным на несколько часов, а потом перезагрузите. Если проблема не устранилась, пробуйте следующий способ.
   
3. Войдите в Виндовс в безопасном режиме. Для этого, во время запуска системы нажмите и удерживайте кнопку F8 на клавиатуре, а потом выберите запуск в безопасном режиме. На диске С пройдите по адресу c:/documents and settings/all users/application data/ и удалите оттуда два файла: blocker.exe и blocker.bin, или любой файл с названием blocker.(любое расширение). Также нужно удалить в реестре ссылки на этот файл , в частности HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. После перезагрузки должно заработать. Сразу же сделайте поиск по компьютеру, в поисках файлов blocker.(любое расширение), и удалите найденные. На всякий случай сделайте глубокую проверку антивирусом. Кстати, вместо папки /all users/ возможно нужно пройти в папку с вашим виндовслогином, а далее в /application data/.
   
4. Сделать лечащий диск Live CD (http://www.freedrweb.com/livecd/). Запуститься с него, удалить blocker.exe и blocker.bin с папки :/documents and settings/all users/application data/ и далее по пункту 3.
   
5. Также можно попробовать найти лишние файлы под названием WINLOGON.EXE. Единственный такой файл имеет право насуществование в системе в папке C:\Windows\System32 . Если вы обнаружили его в другой папке — немедленно удаляйте. Под этим именем может маскироваться более сотни разных вирусов.

В общем надеюсь, что у Вас первый или второй случай. В дальнейшем не устанавливайте никаких видеокодеков для просмотра видео на сайтах - этот вирус часто там. Для просмотра онлайн видео достаточно обычного флеш плеера.

Ап. от 09.01.2010
Новая статья "Блокировщики Windows и как их удалить доступными средствами"

P.S. Крайне рекомендуется читать и оставлять комментарии к данной статье. Особенно, если Вы решили проблему каким-то иным путём. Плюс, рекомендую прочесть статью о СМС-платежах