Тоже наловил на незащищенной машине на работе аж в октябре и ноябре еще 2009г.
Просто машина была без антивируса, поскольку на мои штуки на ассемблере антивирь кидался как зверь.
Антивирусами бесполезно штатными — эта дрянь это не вирус, это эксплоит выполняющий определенный код,
который собсно разворачивает пакость из "контейнера" типа *.vmx *.vmh *.vhd или файла типа MHQ.EXE на КасперЛабе есть уже описание. Контейнер пишется по-разному — может быть в корне тома или раздела, в мусорке, в темпорари файлз, в SRP state точки восстановления. Потом из него уже лезет в сетку, валит сервисы как KIDO или пишет в system32 подменяя explorer.exe и ключи в реестре определяющие его как шелл,
или user32 и rundll и тоже правя реестр. Потом еще что-то делается, но если он уже сработал то последствия
могут быть самые плачевные — недавно тоже видел как заразил и зашифровал все файлы типа EXE COM и DLL.
В итоге танцы с бубном никакие не помогли — бэкап с LiveCD, формат С и переустановка с образа готовой ОС для этой машины (сделана была заранее как только поставил вручную все что надо из программ)
Единственно чем можно вытравить эту дрянь более-менее эффективно — это AVZ 4.32 но надо загрузиться с другой системы или с флэшки типа Alkid или с LiveCD потом записать AVZ с новыми базами и еще сорри, к нему надо скрипт для удаления Trojan.Downloader (он же WinLock) потому как эта дрянь активно сопротивляется — лезет себя копировать на RAM-диск, в мусорки и SRP других разделов и дисков, на флэшку с которой загрузился, и после лечения опять если сидит в памяти как скрытый процесс-возвращается.
Желательно запускаться в безопасном режиме или даже в консоли с под админа, с минимумом процессов в памяти, перед тем как запустить AVZ надо его настроить-включить AVZ драйвер режима ядра и желательно запустить AVZGuard, блокирующий все процессы и не дающий во время работы делать запуск/изменения.
Настроить грамотно режим лечения. Если после того как AVZ пролечил система не "сдохла" то надо запуститься в штатном режиме и еще несколько раз прогнать например утилитами от Каспера b DRWeb CureIt!
так как эта гадость оставляет следы и в user profiles и кстати при перезагрузке если контейнер цел может сработать снова, смотря что там в HKLM\Users\Run прописано.
Вылечить-то можно, кроме самых извратных модификаций, там тока перестановка с бэкапом быстрее поможет
но такой пакостной заразы для Win32 архитектуры со времен WinCih (Чернобыля) и MSBlaster/SasserWorm еще не было. Соответственно кто "попал" уже не лезьте сами, лучше малеха отстегнуть тем кто знает как травить.

Еще фишка про большие компании.
Я как-то увидел рекламу от гугла: "сайт с музыкой тыры-пыры". От Гугла! Который типа следит что рекламируется.
Зашел на сайт, вижу надпись — "нажмите педальку и согласитесь на установку плеера".
Аж поплохело, чувство было такое, как будто я стою с зажигалкой возле открытого бензобака...
С сайта ушел, все ОК.
Люди, будьте бдительны!

вот срач-то развели, клоуны! а с телефона, через оперу мини не пробовали, а?
по теме: скока денех я срубил ужо, и скока еще срублю на сносе этой хни! за этот тока год я новых таких просилок видал с десяток разных новых: блокирующих, неблокирующих, с порнухой зверской, маскирующихся под антивирь, под кодеки, тупых и ппц каких продуманных (неблокирующий, просто небольшое окно онтоп по центру, с перехватом файловых операций из-под обновленного последнего киса и шифрованием пользовательских данных в нтфс потоках) — аж уважуха авторам... были даже такие которые после смски самоудалялись бесследно! т.е. описанное здесь изделие есть одно из.

dkuznets После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows. Зайди под другтм пользователем с правами администратора (в безопасном режиме) и все получится.

...А ещё он файлы *.GHO выносит.....

Ой и у меня!

Пора подразделению "К" заняться своими непосредственными обязанностями.Думаю найти и обезвредить злоумышленников не так трудно.Ведь деньги реальные и улетают они не в космос.Хотя склонность у них к этому (у денег) имеется.Судя по и по домашнему бюджету,и по государственному.

http://support.kaspersky.ru/viruses/deblocker

Лечить подобное нужно блокировкой расчетных счетов мобильных операторов, а в дальнейшем и уголовными делами о мошейничестве и вымогательстве с обязательным привлечением мобильных операторов как соучастников, ведь они получают половину этой суммы только официально. Одного прецедента хватит чтоб вместо желания срубить таким образом бабла у оператора появился стойкий рефлекс жидкого стула.

Вирус-блокировщик попадает на ПК пользователей, как правило, под видом видеокодеков, электронных книг или аудиофайлов.

Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.

Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.

Деструктивные действия вируса

После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\<rnd>.tmp (<rnd> – случайная последовательность цифр и букв латинского алфавита).

Данный файл имеет размер 94208 байт.

После успешного сохранения файл запускается на выполнение, выполняя следующие действия:

– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\<rnd>.tmp;

– в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={<rnd2>}&wid=<rnd3>&u=<rnd3>&number=<rnd4>install=1,

где <rnd1> – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты;

<rnd2> – специально сформированный уникальный идентификатор;

<rnd3> – случайное число;

<rnd4> – серийный номер жесткого диска;

– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;

– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора;

– затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).

Как удалить вирус вручную

Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– проверьте систему антивирусом со свежими базами.