Самое трудоемкое в борьбе с этой неисправностью это то, что придется загрузиться в другой Windows и подключиться к реестру для его исправления. Отлично подойдет для этого Hiren Boot CD, в состав утилит которого входит нужный для исправления реестра Registry Editor PE. Нужно запуститься в Windows PE, запустить Registry Editor, подключить в файлы реестра поврежденной системы. Настройки пользователя (ntuser.dat) можно не подключать, нужный нам ключ находится не в них.

В редакторе реестра необходимо открыть ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В списке параметров ищем GinaDLL, его и нужно удалить. Кстати, в базе знаний Майкрософта упоминаются и другие случаи с подобными ошибками загрузки пользовательского интерфейса и все исправляются таким-же способом – удалением параметра GinaDLL или с похожим именем, ключевое слово: GINA.

Начало распространения троянцев семейства Trojan.HttpBlock было зафиксировано 22 сентября 2010 года. Заражая компьютер, эти вредоносные программы модифицируют системный файл hosts и тем самым блокируют доступ к популярным сайтам.

Trojan.HttpBlock является новым витком развития троянцев, которые используют интернет-мошенники. Он учитывает и обходит сложности, с которыми злоумышленники сталкивались ранее.

В отличие от троянцев семейства Trojan.Hosts, которые также блокируют доступ к популярным интернет-ресурсам, перенаправляя браузер на вредоносные сайты, Trojan.HttpBlockперенаправляет пользователя на веб-сервер, устанавливаемый на его же компьютере.

Читать дальше (на сайте Др.Веб)

Окошко выглядит очень красиво, в стиле Windows XP, скриншота не сделаешь так как блокирует все кроме цифр на клавиатуре. В заголовке окна написано Windows Security Alert, ниже Центр обеспечения безопасности.

Сообщает что при последнем обновлении windows на Вашем компьютере обнаружена не лицензионная версия и для решения Ваших проблем предлагает отправить СМС, после которого все наладится, можно будет дальше работать на Вашей не лицензионной версии :)

Пока почистил темпы, в Док и Сеттингс нашел три подозрительных файла один ini один dat один … не помню все бинарные. В корзине нашел кучу папок. В реестре в разделе winlogon нашел один параметр ссылающийся на файл в корзине, удалил.

После перезагрузки опять увидел то же окошко, взял фотоаппарат и вот оно :)

Вспомнил про каталоги Windows и Windows\system32, пойду копать.

Прогнал cureit по дискам, в вышеупомянутых директориях найдены 2 типа вирусов, один autoruner и два Winlock, один из винлоков файл по моему назывался wso.exe был прописан в реестре в ветке автозапуска.

вот и все. ;)

Одна из таких выбрасывает картинку на весь экран и пишет Internet Security обнаружил вредоносное ПО на вашем компьютере. Запускается счетчик времени на 10 часов, и просит код активации, который «можно» получить отправив СМС на номер…

Есть решение этой проблемы, читаем код, выбираем один из цветных столбцов и согласно символам кода вводим ответный код. Один из столбцов должен подойти. ;)

Антивирусные программы не определяют ее как вирус, пути заражения скорее всего через флешку или сайты или почту.

По моей статистике главный путь заражения все таки www, причем источники могут быть вполне пристойными. Пользуйтесь Mozilla Firefox и ABP и будет Вам счастье.

Рекомендую обратить внимание на Блог Евгения Васильева http://www.eavasi.ru/

Меня беспокоит еще один вопрос, почему «правоохранительные органы» не занимаются владельцами коротких номеров на которые отправляются подобные СМСки. Ведь количество этих номеров не такое большое, а некоторые из них участвуют в сотнях других афер.

Новые алгоритмы определения ответного кода для Internet Security

http://boltunishka.berserki.ru/archives/459

1. Выставляете на компьютере в BIOS’е дату 21.01.2010.

2. Алгоритм подходит практически для всех кодов, но не для всех. Ваш код должен выглядеть как K20**15*00, где * – любые цифры. Например, K205815300

3. Выбираете ваш вариант кода (обратите внимание на 3-ю цифру слева) и выписываете на листок бумаги ответный код

Это новый вымогатель. Программа активируется и блокирует экран компьютера, занимая почти всю площадь рабочего стола. Убрать ее стандартными средствами невозможно, диспетчер задач и редактор реестра заблокированы, антивирусы молчат. За прошедшие два дня накопился довольно богатый опыт по устранению этой заразы, методы такие:

1. Отправить SMS и получить код разблокировки, говорят, программа ликвидируется полностью. Однако в сети есть отзывы о том, что это не помогает.
2. Можно обратиться непосредственно в фирму, которой принадлежит указанный в сообщении мобильный номер: страница поддержки, там вам бесплатно сообщат код разблокировки.
3. Переустановить систему с нуля (режим обновления не удастся!) или восстановить систему из резервного образа.
4. Если вам удастся загрузиться и запустить утилиту AVZ (в безопасном режиме или под другим пользователем), попробуйте сделать, как описано по этой ссылке.

Нужно заметить, что попытки сканирования и лечения различными утилитами (Dr.Web CureIt, утилита Лаборатории Касперского, SpyBot, Malware Bytes, Hijack, AVZ) ни в одном случае к успеху не привели, многие антивирусы вообще не распознают программу как вирус, а обнаруживают только ее следы, соответственно “лечение” не приводит к успеху.

Откуда она берется тоже не совсем ясно, в одном случае очень большое подозрение было на подставное обновление флеш-плеера для броузера – был закачан и установлен плагин с неофициального сайта.

Проявляется так:

- Блокируеться «Диспетчер задач» и Редактор реестра. При попытке запуска говорит, что админом заблокировано.
- Повышенная активность сети
- Безопасный режим не работает (BSOD)
- Антивирусы и сайты, откуда их можно скачать блокируются

Лечим так:

1. Физически отключаем от сети

2. Правим реестр для запуска в Safe mode этим ключиком и вот этим отображение скрытых и системных файлов

3. С помощью внешних утилит редактирования реестра изменяем 1 на 0 в этих двух ветках
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableTaskMgr
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVerson/Policies/System/DisableRegistryTools

4. Перезагружаемся в Безопасном режиме и запускаем сначала свежую версию CCleaner, а затем CureIt (полная проверка)

5. Делаем проверку файлов винды на целосность (Пуск -> Выполнить -> sfc /scannow) Нужен дистрибутив Windows

6. Устанавливаем и обновляем антивирус (лучше комплексный), а также проводим полную проверку еще раз.

Raf

Лечение. Из диспетчера задач, через Файл – Новая задача запускаем редактор реестра. В реестре находим раздел Image File Execution Options

На компьютере, пораженном описанной болячкой в этом разделе будет подраздел с названием Explorer.exe, этот подраздел надо удалить. Сразу после этого можно запустить Explorer и все вернется на место.

Leo