Общие сведения

Троянская программа, требующая отправки платного SMS-сообщения для «излечения» от некого не существующего в реальности «вируса», попадает на компьютер пользователя посредством спам-рассылки или при помощи зараженного сменного носителя (например, флэш-диска). Данная вредоносная программа, получившая название Trojan-Ransom.Win32.SMSer, устанавливается в системную директорию ОСWindows и никак не проявляет себя до перезагрузки зараженного компьютера. После перезагрузки, стартовав вместо процесса explorer.exe, троянская программа блокирует работу ПК, и выводит на экран сообщение от имени Kaspersky Lab Antivirus Onlineс требованием отправить платное SMS-сообщение для излечения системы. Для большего эффекта пользователю показывается таймер обратного отсчета времени в секундах, которое якобы осталось до «смены алгоритма шифрования обнаруженного вируса». При этом сообщение, выводимое на экран зараженного компьютера, не позволяет добраться до элементов управления системой, в том числе и до менеджера задач.

Очевидно, что вирусописатели решили воспользоваться именем Лаборатории Касперского, чтобы придать своим требованиям видимость законности, однако внимательный пользователь может заметить, что сообщение о «вирусной угрозе» изобилует грамматическими и орфографическими ошибками и не может являться сообщением легитимного антивирусного решения. Кроме того, подобный способ «оповещения о вирусах» совершенно неприемлем для любой серьезной антивирусной компании и является откровенным вымогательством.

Лаборатория Касперского в очередной раз хотела бы предостеречь пострадавших пользователей от перечисления денег вымогателям: вредоносное ПО все равно останется на компьютере пользователя, деньги будут потеряны, а полученные незаконным путем доходы мотивируют злоумышленников на дальнейшие преступления.

Все известные версии данной вредоносной программы успешно детектируются и удаляются продуктами Лаборатории Касперского.

Рекомендации по лечению зараженного компьютера

• В окне Kaspersky Lab Antivirus Online введите код 5748839. Код подходит только для одной модификации вредоносной программы (Trojan-Ransom.Win32.SMSer.fu). Если код не подходит, то переходите к выполнению других рекомендаций.
  

• Перезагрузите компьютер в Безопасном Режиме с поддержкой командной строки (Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим)?)
  
  
  
  
• После загрузки компьютера в Безопасном Режиме с поддержкой командной строки наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр (Что такое Системный Реестр? Как работать с ним?). 
  
  
  
  
• В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключеHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe
  
  
• Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
  
• Справа отобразятся все параметры ключа Winlogon;
  
• Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.
  
  Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe. 
  Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значениеuser32.exe, а значение explorer.exe оставить. 
  Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.
  Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.

• После проделанных действий перезагрузите компьютер в Обычном Режиме.
  
  
• После перезагрузки компьютера выполните следующие действия:
  
• откройте папку C:\WINDOWS\SYSTEM32\;
  
• найдите файл USER32.EXE;
  
• переименуйте файл USER32.EXE в файл USER33.EXE;
  
• перезагрузите компьютер;
  
• после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;
  
• нажмите кнопку Пуск:
• если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.
• если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.
• раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;
  
• слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пунктУдалить);
  
• если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.