Dr.Web научился обманывать троянов-шантажистов

У меня очень глупый и наивный вопрос.
А что, нельзя найти тех, кому приходят деньги от этих СМС, что ли?
Извиняюсь, если это ну очень тупак.

можно конечно.
но опсосы не принимают мер, т.к. имею хорошие бабки с 4х значных номеров.
так что ставить к стенке нужно всю банду: и владельцев номера и опсоса.

не ясно, как можно открыть это окно, если виндовз блокируется полностью и даже в сейф моде. Как его открыть??

Звонишь другу, просишь его зайти на сайт доктора веба и получаешь от него нужный код.

Мб кому поможет. У меня была другая версия вируса. Безопасный режим слава богу работает. Постил на баш, хз одобрят ли...
Орфография и пунктуация в первозданном виде.
"System Windows Alert Atation!
На компьютере обнаружено не легальное программное обеспечение. Необходима активация сканера безопасности. (стоимость запроса около 5$) Активация производится по срадствам смс сообщения.
Текст смс сообщения: 6401821"
Далее список коротких номеров для смс сообщений, поле для ввода ключа активации и button "ok".
Диспетчер задач выключался мгновенно после запуска.
Спасло восстановление сессии в firefox(мега модальное окно =DD ) и process explorer.
реестр:
{HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\ServicewNTscrib}
2 тела:
C:\WINDOWS\system32\shvcost.exe
C:\WINDOWS\system32\svcost.exe
Название процессов просто убило..)))

попался мне такой же "atation"
вышеупомянутое решение не подошло : в реестре было чисто и зараженных файлов не было (свежим drweb-ом смотрел на другой машине).

в моём случае источником был %windir%\system32\tmsi.bat
его запуск производился из HCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

то, что это "наш пациент" говорило обилие тех же ошибок, что и в экране с SMS
одна из строк:
"Невозможно распокавать Архив данные повреждены" ;)

этот батник выковыривал непоймиоткуда три файла : tss.exe, stt.exe и err.exe, которые и были мерзким nag screen-ом
причем у err.exe иконка - дельфийская

Alert System Atation!-у меня ета хрень и ваш веб док не помагает!че делать?

грузишься в безопасном режиме
убиваешь два файла в реестре (можно поиском найти) и в system32,
s6t.exe
t6s.exe

Спасибо за подсказку!Форма доктора веба не помогла. У меня видимо уже какая-то новая модификация (вирус уже просит выбрать страну для sms - и у всех разные номер)А удаление s6t.exe t6s.exe привело к успеху! Спасибо еще раз!

Мне тоже сегодня довелось повидаться с Alert System Atation!
Подробнее описал процесс удаления тут:
http://soteam.net.ru/blog/2009/05/14/sms-malware/
Скриншот заразы там же.

Респект автору! Боролся с такойже заразой с утра 14-го мая. У меня малварь мутировал но я его с Вашей падачи поборол, и еще проще:

1. В защищенном режиме через "выполнить" - regedit (редактор реестра) снес севис под новым именем "sib6" содержащееся в папках
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sib6\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sib6\
Думаю мутантов можно найти через поиск в реестре по фразе "Swop отсос", название службы совподало.

2. Удалил файл c:\windows\system32\u7t.exe который запускался теми службами.

При перезапуске синий экран вымагателя с "Alert System
Atation!" исчез!!!

Будте внимательны и удачной охоты!

скажите пожалуста а если не заходит в безопасном режиме есть другой выход ???

Схватил trojan.winlock.270
Кака была в:
C:\Windows\debug\lsass.exi
C:\Windows\system32\CMDOW.EXE
В безопасном режиме закрывал командную строку. Липкая дрянь.

Вирь был в: C:\Windows\debug\lsass.exi
подменил его cmd.exe или сразу regedit.exe
Далее находим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Что должно быть!!!
userinit значение C:\WINDOWS\system32\userinit.exe,
shell значение Explorer.exe
Меняем и перезагружаемся!!