Этот вирус почти полностью блокирует работу системы (нельзя использовать безопасный режим, диспетчер задач и другие функции). На экран выводится сообщение, которое требует, чтобы владелец компьютера заплатил деньги (через терминал или смс-кой). После этого якобы вирус прекратит свое действие. На самом же деле это не так, разблокировки компьютера не наступит. Поэтому не нужно кому-то куда-то отправлять свои средства.
Эта болезнь принесла немало вреда обычным пользователям, хотя вот ее авторы на этом деле, без сомнений, имеют немалый доход. К тому же, вирус постоянно усовершенствуется, что делает его более опасным. Стоит заметить, что такая блокировка может случиться только на пиратской версии Windows, потому как лицензионная постоянно обновляется.
Кроме того, вирус очень сложный. Он не просто прописан в автозагрузке (как многие другие). Он заложен гораздо глубже, поэтому работает и в безопасном режиме, и при загрузке только драйверов и служб. Заставить компьютер работать после этого – довольно трудная задача.
В этой статье будут рассмотрены способы удаления вируса, а также трудности, которые могут возникнуть после этого (например, чистый рабочий стол).
Рассматриваемые способы подойдут почти для всех модификаций этого типа вируса. Теперь рассмотрим эти варианты.
Решение проблемы блокировки системы

Способ 1. Коды разблокировки
На сайте антивируса Dr.Web есть коды для разблокировки Windows (Ссылка). Выбираете скриншот вашего вируса, после этого увидите код для разблокировки. Еще можно ввести номер телефона (на который вирус просит отправить деньги), нажать «найти» и получить соответствующий код. После процедуры лечим компьютер обычным антивирусом. О ситуации, когда после разблокирования у вас чистый рабочий стол, будет сказано в конце.

Способ 2. С помощью утилиты avz
1. Требуется компьютер и диск (либо флешка).
2. Загружаем утилиту и записываем ее на съемный носитель.
3. Перед загрузкой системы нужно выбрать варианты для загрузки (для этого нужно нажать F8 в самом начале процесса). Выбираем вариант «Безопасный режим с поддержкой командной строки».
4. Если все идет хорошо, то после загрузки системы появится командная строка.
5. Вставляем съемный носитель в компьютер.
6. В командной строке прописываем explorerи жмем enter.
7. Должен появиться традиционный «Мой компьютер».
8. Заходим на флешку или диск и запускаем утилиту avz.exe.
9. Далее идем по функциям “Файл - Мастер поиска и устранения проблем“, после этого “Системные проблемы” – “Все проблемы” и нажимаем кнопку «Пуск». В окне ставим все галочки, кроме “Отключено автоматическое обновление системы“ и тех, которые начинаются “Разрешен автозапуск с…”. Далее нажимаем “Исправить отмеченные проблемы“.
10. Еще выполняем: “Настройки и твики браузера” – “Все проблемы“, там ставим, все галочки и по аналогии нажимаем кнопку “Исправить отмеченные проблемы“.
11. Кроме того, выбираем “Все проблемы“ в разделе «Приватность» и исправляем там отмеченные проблемы (а таковыми должны быть все).
12. Закрываем окно, оставаясь в AVZ. В программе жмем “Сервис” – “Менеджер расширений проводника” и со всех пунктов, написанных черным цветом, снимаем галочки.
13. Далее включаем “Сервис” – “Менеджер расширений IE” и удаляем абсолютно все строки в появившемся списке.
14. Если после перезагрузки компьютера проблем больше нет, проводим очистку традиционным антивирусом.
Если вышеописанные манипуляции не приводят к желаемому результату, нужно либо воспользоваться одним из способов ниже, либо все теми же методами запустить AZV и провести там полное сканирование компьютера.

Способ 3. При помощи скрипта.
1. Требуется компьютер и диск (либо флешка).
2. Загружаем утилиту и записываем ее на съемный носитель.
3. Перед загрузкой системы нужно выбрать варианты для загрузки (для этого нужно нажать F8 в самом начале процесса). Выбираем вариант «Безопасный режим с поддержкой командной строки».
4. Если все идет хорошо, то после загрузки системы появится командная строка.
5. Вставляем съемный носитель в компьютер.
6. В командной строке прописываем explorer и жмем enter.
7. Должен появиться традиционный «Мой компьютер».
8. Заходим на флешку или диск и запускаем утилиту avz.exe.
9. В окне программы открываем вкладку «Файл» и жмем на операцию «Выполнить скрипт».
10. В появившееся окно вводим следующий скрипт.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Важно: на место текста Ваш_аккаунт вписываем имя своей учетной записи в системе. Это либо administrator, либо user, либо andrey, petyaили что-либо еще, то есть то имя, которое используется для входа в Windows.
1. Нажимаем «Запустить» и ждем, пока скрипт закончит свою работу.
2. Если после перезагрузки проблема исчезает, проводим сканирование и очистку системы традиционным антивирусом. Если вариант не сработал, нужно все теми же методами запустить AZV и провести там полное сканирование компьютера.

Способ 4
Подойдет для старых версий рассматриваемого вируса. Но он скорее для очистки совести, так как вероятность того, что он сработает, не такая уж и большая. Сразу после включения компьютера нажимаем кнопку Delete и переходим в BIOS. Там переводим системные часы либо на неделю назад, либо на неделю вперед. Тогда вирус, может быть (далеко не факт) отключится. После этого запускаем систему и полностью сканируем ее обычным антивирусом. Он должен обнаружить лежащий на компьютере вирус и обезвредить его.

Способ 5. С помощью приложения LiveCD.
Побороть антивирус может помочь программа LiveCD от марки Dr.Web. Ее задача – сканирование системы с диска и очистка ее от всех тех болезней, которые блокируют ее работу.
Для начала скачиваем программу LiveCD с Интернета.
Далее нужно выполнить установку. Для этого образ необходимо записать на диск. Существует немало различных способов, как это сделать. Вот один из них:
1. Вставляем чистый диск в дисковод;
2. Загружаем специальную записывающую программу - SCD Writer.
3. Скачиваем в Интернете образ самой программы LiveCD.
4. Запускаем приложение SCD Writer, выбираем в нем «Диск», нажимаем «Записать образ на диск». Указываем путь к лежащему на жестком диске образу LiveCD, устанавливаем скорость записи и ждем завершения процесса.
Теперь нужно выставить параметры так, чтобы при включении компьютера шла загрузка системы не с жесткого диска, а с CD. Для выполнения этой задачи нужно зайти в BIOS (в самом начале запуска компьютера нажимаем клавишу Delete). Потом переходим в раздел Boot (то есть загрузка). Там появится список очередности носителей, с которых запускается система. По умолчанию это жесткий диск. Нам нужно настроить этот параметр таким образом, чтобы на первом месте стоял не винчестер, а диск, находящийся в дисководе. Делаем это при помощи клавиатуры (в BIOSмышь не работает). Теперь компьютер будет загружаться, используя данные с диска.
Сохраняем изменения и перезапускаем компьютер. Проведя загрузку с диска, в появившемся меню выбираем первый пункт. Далее включаем Dr.WebScanner, нажимаем «Старт» и ждем завершения. После обработки программой вирусов выбираем вариант «Удалить» их.

Способ 6. Утилитой Kaspersky Virus Removal Tool.
Способ основан на использовании скрипта.
1. Требуется компьютер и диск (либо флешка).
2. Загружаем утилиту Kaspersky Virus Removal Tool и записываем ее на съемный носитель.
3. Перед загрузкой системы нужно выбрать варианты для загрузки (для этого нужно нажать F8 в самом начале процесса). Выбираем вариант «Безопасный режим с поддержкой командной строки».
4. Если все идет хорошо, то после загрузки системы появится командная строка.
5. Вставляем съемный носитель в компьютер.
6. В командной строке прописываем explorer и жмем enter.
7. Должен появиться традиционный «Мой компьютер».
8. Заходим в меню съемного носителя и запускаем программу Kaspersky Virus Removal Tool.
9. В окне приложения выбираем вариант «Ручное лечение» и по очереди вставляем коды, которые ниже. Важно! Поочередно – это означает вставить первый скрипт, нажать «Выполнить», удалить его, ввести второй, нажать «Выполнить» и так далее. Картинки кликабельны и ведут на полный текст данных скриптов.
begin
SearchRootkit(true, true);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Activate;
RebootWindows(true);
end.

var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

begin
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

begin
ExecuteStdScr(3);
RebootWindows(true;
end.
10. После перезагрузки смотрим, решена проблема с вирусом или нет. Если да, то по аналогии с предыдущими способами проверяем компьютер обычным антивирусом.

Способ 7. Тяжелый случай
Некоторые модификации рассматриваемого вируса очень хитры. Все предыдущие способы основаны на том, чтобы перехватить борозды управления компьютером в свои руки в самом начале загрузки и потом уже проводить операции – включать безопасный режим, загружаться со съемного носителя и прочее. Разновидности же этого вируса могут попросту «перекрыть дорогу» - перезаписать загрузочный сектор так, что теперь невозможно будет как-то изменить ход загрузки. Поэтому методы выше будут недействительны. Но есть и другой способ. О нем ниже.
Вставляем диск с операционной системой Windows в дисковод. Дальше так же, как и в способе 5: «нужно выставить параметры так, чтобы при включении компьютера шла загрузка системы не с жесткого диска, а с CD. Для выполнения этой задачи нужно зайти в BIOS (в самом начале запуска компьютера нажимаем клавишу Delete). Потом переходим в раздел Boot (то есть загрузка). Там появится список очередности носителей, с которых запускается система. По умолчанию это жесткий диск. Нам нужно настроить этот параметр таким образом, чтобы на первом месте стоял не винчестер, а диск, находящийся в дисководе. Делаем это при помощи клавиатуры (в BIOS мышь не работает). Теперь компьютер будет загружаться, используя данные с диска».
Загрузившись со съемного носителя, вместо установки системы нажимаем клавишу R. Тогда откроется консоль восстановления. Она предложит выбрать, какую конкретно систему восстанавливать (пользуемся клавишами 1 или Enter; отвечая утвердительно на вопрос консоли, возможно, потребуется нажать клавиши Yи Enter). После этого вводим команды FIXBOOT и FIXMBR. Ниже на картинках:

Перезагружаем компьютер и наблюдаем результат – вирус должен исчезнуть. Правда, вряд ли он сделает это бесследно. Часто бывает, что впоследствии могут возникнуть проблемы с операционной системой, в частности, пустой рабочий стол, нерабочий диспетчер задач и прочее. Как с этим бороться – ниже.

Когда не включается безопасный режим или LiveCD бессилен
Некоторые разновидности вируса могут не дать включить безопасный режим, то есть он болезнь активна в самой начальной стадии загрузки компьютера. Либо же LiveCD не помогает – не находит вирус и, соответственно, не может его удалить.
В таком случае может помочь неординарный ход – решение проблемы «задом наперед», то есть сначала восстановить интерфейс, а потом уже перейти к удалению самого баннера. Чтобы сделать это, нужно воспользоваться рекомендациями, данными ниже – «Решение проблем после удаления вируса». Для начала можно восстановить работоспособность системы хоть как-то.
После проведения операций рекомендуется на первое время загружать систему в безопасном режиме, а не в обычном, так как вирус может быть прописан в автозагрузке и возможно повторное появление баннера.

Решение проблем после удаления вируса
Не всегда получается просто удалить вирус, требующий отправки смс или перевода денег. Болезнь может изменять настройки реестра. Поэтому после деинсталляции вируса рабочий стол может быть абсолютно пустой, курсор мышки может не работать. Наверняка не будет открываться диспетчер задач, меню «Пуск», Мой компьютер и другие функции системы. Можно попробовать провести лечение из-под безопасного режима, но зачастую и он бывает нерабочим, то есть компьютер сразу перезагружается. Но есть возможность выйти из ситуации.
Если компьютер не загружается с винчестера, можно сделать это со съемных носителей, например, с CD. У операционной системы Windowsимеются дистрибутивы, с помощью которых можно сразу произвести загрузку с диска.
Порядок проведения операций:
• Требуется компьютер и съемный носитель (флешка или диск).
• Загружаем и распаковываем этот архив. В нем находится образ загрузочного диска с дистрибутивом ОС Windows PE, программа, чтобы его записать, и альтернативный редактор реестра. Его нужно либо дописать на диск с дистрибутивом, либо в отдельном порядке записывать на флешку.
В архиве не имеется никаких вирусов. В нем находятся различные программы, которые позволяют работать с системными файлами и поднимать его работоспособность «с колен». Это и базы данных с антивирусами, и редакторы. Естественно, ваш антивирус может перестраховываться и выдавать сообщения о якобы присутствующей угрозе.
• Внутри, помимо прочего, имеется программа для записи SCD Writer (рассматриваемая в одном из предыдущих способов). Выбираем вкладку «Диск», там – «Записать ISO-образ». Выбираем загруженный образ, устанавливаем скорость записи и ждем окончания процесса.
• Идем к компьютеру с вирусом. Нужно выставить параметры так, чтобы при включении компьютера шла загрузка системы не с жесткого диска, а с CD. Для выполнения этой задачи нужно зайти в BIOS (в самом начале запуска компьютера нажимаем клавишу Delete). Потом переходим в раздел Boot (то есть загрузка). Там появится список очередности носителей, с которых запускается система. По умолчанию это жесткий диск. Нам нужно настроить этот параметр таким образом, чтобы на первом месте стоял не винчестер, а диск, находящийся в дисководе. Делаем это при помощи клавиатуры (в BIOS мышь не работает). Теперь компьютер будет загружаться, используя данные с диска.
• Вставляем диск и флешку с редактором реестра.
• После загрузки с диска в открывшемся меню нажимаем цифру 1, чтобы включить WindowsPE. Система начнет загружаться (возможно, долго). Также укажите программе путь к зараженной операционной системе на винчестере.
• Заходим в «Мой компьютер» и открываем там флеш-память. Запускаем редактор реестра на ней. Возможно, потребуется указать расположения файла ntuser.dat в зараженной системе, чтобы получить доступ к реестру. Путьтаков: C:\DocumentsandSettings\имя_аккаунта\ntuser.dat, где «имя_аккаунта» означает название вашего пользователя в Windows. Если программа все равно не увидит файл, пройдите в «Мой компьютер» и вручную найдите ntuser.dat в «Поиске». Кликаете на нем правой кнопкой мыши, вызывая контекстное меню, и в «Атрибутах» снимаете галочку «Скрытый». Теперь вернитесь в редактор реестра, файл должен стать видимым. Если программа предложит вам указать путь к файлу для еще одного пользователя – откажитесь, если проделали все операции выше.
• В редакторе реестра существует два типа веток (слева в окне – структуры с папками). Одни – текущие записи для системы на диске, а вторые – именно зараженной системы. Они могут быть указаны со скобками, скажем, HKEY_LOCAL_MACHINE(…), где (…), –название компьютера или символы (W_IN_C). Может быть, продублированы будут только подветви, или названия записей реестра зараженной системы будет без скобок, с подчеркиванием (HKEY_LOCAL_MACHINE_W_IN_C). Требуется хорошо осмотреться, чтобы не сделать ошибок.
• Идем по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликаем на Winlogon, справа появятся настройки для этого раздела. В строке Shellвместо того, что там написано, задаем explorer.exe (для этого тыкаем мышкой дважды по строке). Там же есть строка с названием userinit. В ней должен быть указан путь C:\WINDOWS\system32\userinit.exe, (в случае, если система у вас записана не на диске C:\, укажите другой логический диск). Важно – путь должен заканчиваться именно запятой! Просмотрите другие строки реестра на предмет наличия в них путей, никоим образом не ведущих в систему.
• Дальше идем в «Мой компьютер» и открываем системную папку: windows/system. Там находим файл user32. Если он есть – удаляем его. Затем проверяем логические диски (C, Dи другие, которые есть) и удаляем оттуда все файлы autorun.inf и с расширением .exe. Потом включаем dr.web cureitи сканируем пораженную систему.
• Вытягиваем диск, перезагружаем компьютер, возвращаемся в BIOS, возвращаем там загрузку с жесткого диска (HDD). Выходим из меню BIOS и загружаем Windows.
• После этого опять сканируем компьютер обычным антивирусом. Если система не работает, пробуем загрузку в безопасном режиме.
Если не работает диспетчер задач, скачиваем avz, запускаем программу. В окне выбираем «Файл», там – «Восстановление системы». На пункте «Разблокировка диспетчера задач» ставим галочку и жмем «Выполнить отмеченные операции». Закрываем приложение, диспетчер задач должен заработать.