Запускаем альтернативный диспетчер задач Process Explorer для Windows
   И начинаем снизу вверх снимать задачи. Нажимаем клавишу Delete и Enter, процесс должен завершится, если процесс не завершился, а курсор в диспетчере невозможно переместить, нажмите клавишу Esc. Значит, этот процесс невозможно завершить.
Дойдя до процесса systems.exe, и завершив его, баннер исчезает.
Не путайте с процессом System - это жизненно необходимый процесс для Windows.
Далее смотрим, откуда этот зловред запускается.
Нажимаем Пуск - Выполнить - msconfig (вводим и нажимаем Enter). Переходим на вкладку Автозагрузка.
   Находим systems и видим путь, где этот файл находится C:\Documents and Settings\All Users\systems.exe
Снимаем чек с systems, а файл удаляем за ненадобностью.
После избавления от баннера обязательно проверти Ваш компьютер на вирусы Dr.Web CureIt!® т.к. кто то, же скачал и установил вам эту зловредную программу systems.exe

Вот ещё одна зараза требующая отправить смс с текстом 1011330 на номер 5121
   Этот паразит, что бы убедить вас в своём не вирусном происхождении запускает сразу 3 редактора реестра, что-то править в них Я не решился, а просто позакрывал. Диспетчер задач действительно не заблокирован, но увидеть его из за баннера невозможно.
Для начала запустил Тотал Командер, в нем Автозапуск программ. Сразу бросилось в глаза Элемент shell который запускает из непонятного места svhost.exe . Снял чек, что бы в следующий раз не грузилась эта хрень (после того как снимаешь, или ставишь чек не забываем подтверждать действие клавишей Enter). Перейдя в указанную папку, обнаруживаем 4 файла, не стал разбираться, зачем они хотят собой подменить настоящие браузеры, но догадываюсь, что точно хотят :-) .
   Этот паразит, что бы убедить вас в своём не вирусном происхождении запускает сразу 4 редактора реестра, что-то править в них Я не решился, а просто позакрывал. Диспетчер задач действительно не заблокирован, но увидеть его из за баннера невозможно.
Для начала запустил Тотал Командер, в нем Автозапуск программ. Сразу бросилось в глаза Элемент shell который запускает из непонятного места svhost.exe . Снял чек, что бы в следующий раз не грузилась эта хрень (после того как снимаешь, или ставишь чек не забываем подтверждать действие клавишей Enter). Перейдя в указанную папку, обнаруживаем 4 файла, не стал разбираться, зачем они хотят собой подменить настоящие браузеры, но догадываюсь, что точно хотят :-) .
   Запустил AVZ, где в Сервис - Диспетчер процессов можно легко завершить процесс svhost.exe (который не родной для windows, кстати после запуска AVZ баннер стало возможно перемещать по экрану), а так же запустил альтернативный диспетчер задач (не забываем после запуска нажать клавишу Enter), где и снял процесс svhost.exe
г. Красноярск
Октябрьский район
Скорая компьютерная помощь
Оплата 1 час 200р.
т. + 7 913 538 86 14
Вирус вымогатель СМС
   Пытаемся победить вирус, вымогающий СМС, при этом баннер, что мы видим перед собой, это не часть вируса, а простая программа. Вирус вы могли подхватить в Интернете, зайдя на сайт, принести на флешке, получить с почтой. Вирус при подключении к Интернету скачивает программу,  после установки, которая выдает зацикленное всплывающее окно, которое при закрытии снова раскрывается (подробно описано здесь), находящееся поверх всех окон, отключает восстановление системы, блокирует диспетчер задач и редактор реестра. Но визуально эффект один, перед вами висит окно, которое нельзя закрыть, которое располагается поверх всех окон, и на котором красуется надпись "Для разблокировки необходимо отправить смс с текстом на номер", а также есть окно для ввода кода разблокировки. После ввода кода разблокировки запускается bat файл, который удаляет баннер, разблокирует компьютер и удаляет вирус.
   Не предлагаю здесь рецепта по борьбе с вирусом, для этого есть антивирусы, предлагаю варианты по избавлению от навязчивого баннера.
   Итак, если вы видите баннер, соответственно в системе есть процесс, который вывел на экран это окно, убив этот процесс, мы избавимся от баннера. Вот так всё просто :-). Только диспетчер задач если и не заблокирован, то запускается за окном баннера, что делать???

Вот несколько вариантов:
1.    Звоним с мобильного телефона своему оператору, узнаем кому принадлежит короткий номер на который вымогатели предлагают отправить СМС (звонок естественно бесплатен). Далее оператор вам сообщает номер оператора, который обслуживает данный короткий номер. Уточняем Вам будет звонок платный??? Обычно звонок бесплатный. Звоним оператору обслуживающему короткий номер, и он просто сообщает код разблокировки.
2.    Заходим на сайт DrWeb.com и virusinfo а так же ищем здесь, пытаемся по тексту СМС получить код разблокировки.
3.    При загрузки системы, пока не загрузился баннер, нажимаем Ctrl+Shift+Esc, запускается диспетчер задач и в нем снимаем все появляющиеся задачи.
4.    В окно баннера, для ввода кода разблокировки, вколачиваем всякую хрень много, много, нажимаем кнопку Разблокировать или далее, и пока баннер проверяет код пытаемся запустить диспетчер задач Ctrl+Shift+Esc и завершить процесс.
5.    Запускаем Word, Excel, блокнот и нажимаем кнопку питания компьютера, обычно баннер закрывается быстрее, чем выскакивает сообщение, что у вас есть не сохраненный документ, нажимаем Отмена.
6.    При загрузки компьютера пока экран черный нажимаем F8 и выбираем Безопасный режим.
7.    Если explorer заблокирован, запускаем блокнот и через меню блокнота Файл - Открыть, выбираем тип файлов - Все файлы, работаем как в explorer, или нажимаем сочетание клавиш Windows+U откроется экранная лупа, нажимаем запустить, в открывшемся окне есть ссылка Веб-узел Майкрософт, при нажатии на ссылке запустится explorer.
8.    Для некоторых баннеров ведущих отчет времени актуально убирание с экрана во время открытия свойств даты времени (2 раза кликнуть на системные часы в правом нижнем углу)
9.    Скачать и запустить альтернативный диспетчер задач: AVZ4 (Сервис- Диспетчер процессов), Process Explorer для Windows
10.  Загрузится с диска WindowsPE, образ диска Alkid Live CD&USB (04 апреля 2010) (есть антивирусы и редактор автозагрузки и многое другое)
11.  Загрузится с USB, скачать Extra Small Windows XP USB Flash Edition 2010  (создание загрузочной флешки в 3 этапа за 5 минут)
12.  Запустить восстановление Windows с установочного диска Windows.

После того как убрали баннер необходимо:
1.    Удалите все временные файлы из папок:
2.    Проверить весь компьютер на вирусы:
3.    Проверьте свою автозагрузку:
4.    Исправте реестр после вируса: Пуск - Выполнить - regedit, если редактор реестра заблокирован скачайте альтернативный редактор реестра
Registrar Registry Manager - version 6.02
   Вот так можно продвинутому пользователю победить баннер, если эти советы вам не помогли, то извените, пока Я сам не со всеми случаями сталкивался, как столкнусь, так продолжу писать.

И ещё один вид вымогательства по средством отправь смс.
   Если вы зашли в контакт или на одноклассников, а там красуется надпись типа ваша страница заблокирована для разблокировки отправьте смс на номер, или вы вводите логин и пароль, а вас не пускает на вашу страницу, то проверти по той ли ссылке вы заходите на страницу вот ссылка на одноклассников http://odnoklassniki.ru/, вот ссылка в контакте http://vkontakte.ru, были случаи когда вирус изменял ссылку в избранных на другой сайт. Если адрес указан верно, а ситуация не изменилась, то зайдите в C:\WINDOWS\system32\drivers\etc найдите файл hosts, откройте его с помощью блокнота, или откройте блокнот, в меню блокнота нажмите Файл - Открыть, скопируйте и вставьте текс  %WINDIR%\system32\drivers\etc\hosts  в строку имя файла, нажмите Enter. Текст должен выглядеть так:
________________________________________________
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x
127.0.0.1    localhost
________________________________________________
Строка, начинающаяся с символа # - комментарий, при желании можно удалить, соответственно единственная строка в этом файле, которая имеет значение это последняя строка 127.0.0.1    localhost . Иначе говоря, при наборе в эксплорере localhost вы откроите страничку с адресом 127.0.0.1. К примеру, если ниже вставить строку
77.88.21.3            google.ru
и сохранить файл, то при наборе в эксплорере google.ru у вас будет открываться Яндекс, т.к. IP=77.88.21.3 принадлежит Яндексу.    А теперь подумайте, что будет значить строка
215.84.17.62        vkontakte.ru
84.94.251.17        odnoklassniki.ru
62.105.129.108    sberbank.ru .
   Вы при наборе в эксплорере vkontakte.ru odnoklassniki.ru sberbank.ru попадете совсем на другой сайт, который возможно будет по внешнему виду такой же, как тот на который вы шли. Введя на таком сайте свой логин и пароль, вы их сообщаете злоумышленнику, который когда небудь воспользуется ими. Поэтому удалите всё лишнее из этого файла, сохраните его, а после перезагрузке компьютера снова откройте его и проверти, возможно, вирус изменил его назад.
   Обратите внимание, при открытии файла hosts, есть ли сбоку блокнота полоса прокрутки, если есть пролистайте до конца, а то был случай, когда Я 3 раза открывал файл, смотрел его, всё на первый взгляд выглядело нормально, закрывал. И только отчет AVZ показал мне, как на самом деле выглядел файл HOSTS, оказалось, после строки 127.0.0.1 localhost было много пустых строк, а следом шло перечисление, на какой IP адрес отправлять при наборе того или иного сайта.

   Откройте редактор реестра и проверти действительно ли файл hosts использует ваша система. В ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters параметр DataBasePath должен иметь значение %SystemRoot%\System32\drivers\etc


А теперь настояшие IP адреса популярных сайтов.

213.180.204.211   yandex.ru

74.125.232.18       google.ru

217.69.128.43       mail.ru

93.186.225.212     vkontakte.ru

212.44.139.76       odnoklassniki.ru

81.19.70.3              rambler.ru



   P.S. Из всего что здесь написано Я чаще всего пользуюсь Extra Small Windows XP USB Flash Edition 2010 и Alkid Live CD&USB (декабрь 2009)(для загрузки  и удаления вируса), Registrar Registry Manager (для доступа к реестру) и Kaspersky® Virus Removal Tool (для проверки компьютера).


   Вот наглядный способ избавления от баннера вымогателя в картинках для блондинок.
Подхватили Вы, скажем вот такое чудо, где просят отправить смс с текстом 1011225 на номер 5121.

Hosted by uCoz