Фродо:

Ну и Гарри:

По моему, я переборщил с кофе, у сейчас почти такие же глаза

Пока было время написал небольшой Windows BAT файл для удаления подобных вирусов с которым я недавно столкнулся.

ВНИМАНИЕ! За любые последствия плохие или хорошие я не несу, если вы собираетесь использовать этот BAT файл, то вы используете его на свой страх и риск, и соглашаетесь в дальнейшем не предъявлять мне претензий.

Со своей же стороны, я пытался сделать этот файл максимально простым, понятным и безопасным. Данная программка только удаляет все найденные EXE файлы в временной Temp папке, также убивает процессы с именами найденных файлов и затем удаляет записи из реестра которые называются как найденные файлы.
Максимум что может сделать этот батник, так это поубивать процессы например Google (хром, апдейтер и т.п.) т.к. я заметил что именно он любит тоже туда прятать свои EXE файлы, а также удалить из реестра ключи их автозапуска, но при каждом старте программа создаёт новую копию ветки реестра автозапуска вида reg_backup_201001261436.reg, так что, потом если что-то случайно удалилось из реестра лишнее, то вы сможете восстановить.

После окончания работы рекомендую перезагрузить систему и проверить не появляются ли опять эти SMS окошки, а также скачать и установить любой на ваш вкус антивирус и запустить полную проверку системы. Если же вирус не удалился, то значит этот мой батник несмог его побороть или у вас другая модификация этого вируса. Я рекомендую антивирус Avira Free, меня он ещё не подводил.

С радостью выслушаю ваши предложения, замечания и отзывы о работе этой программы.

Вот собственно исходный текст этого BAT файла. Просто скачайте его или скопируйте и вставте в новый файл, затем переименуйте его как вам угодно с расширением .bat и запустите его.

@echo off
@cls
@echo ===============================================================
@echo Windows «Trojan.Winlock» (SMS) killer by ZoRg Soft
@echo Copyright c 2010 by http://ZoRg.com.ru
@echo ===============================================================
@echo !!! Dont run this file if you PC not infected by «Trojan.Winlock» !!!
@echo !!! Не запускайте этот файл если компьютер не заражен «Trojan.Winlock» !!!
@echo ===============================================================
@echo Press Ctrl+C to abort and exit / Нажмите Ctrl+C для завершения программы
@echo Press Enter to kill «Trojan.Winlock» / Нажмите Enter для удаления «Trojan.Winlock»
@echo ===============================================================
PAUSE
@echo ===============================================================
@echo ===============================================================
set yyyy_=%date:~6,4%
set mm_=%date:~3,2%
set dd_=%date:~0,2%
set mn_=%time:~3,2%
set hh_=%time:~0,2%
set hh_=0%hh_: =%
set hh_=%hh_:~-2%
@echo Backup Registry tree key to: reg_backup_%yyyy_%%mm_%%dd_%%hh_%%mn_%.reg
@echo Резервное копирование дерева реестра в: reg_backup_%yyyy_%%mm_%%dd_%%hh_%%mn_%.reg
@REG EXPORT HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run reg_backup_%yyyy_%%mm_%%dd_%%hh_%%mn_%.reg
@echo ===============================================================
@ECHO Delete all EXE files in Temp folder / Удаление всех EXE файлов в временной папке:
set count_=1
for /f «tokens=*» %%f in (
'dir /s /b /-c /a:-d-s-h /o:n «%TMP%\*.exe»') do (
call :_REGDEL «%%~f»)
@echo ===============================================================
@ECHO Program work is done, reboot you PC and start you Antivirus software for full scan.
@ECHO Работа программы завершена, перезагрузите ваш компьютер и запустите ваш антивирус на полную проверку.
@echo ===============================================================
@echo Contacts/Контакты: http://zorg.com.ru e-mail: zorg@gmail.com
@echo ===============================================================
@PAUSE
endlocal & goto :EOF
::
:_REGDEL
@echo — Del system process/Удаление системного процесса: %~n1
taskkill /F /T /IM %~n1*
@echo — Del file/Удаление файла:
@echo %~f1
DEL /F /Q %~f1
@echo — Del registry key/Удаление ключа реестра: %~n1
@REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v %~n1 > nul
GOTO :EOF

Скачать файл.

В продолжение темы о троянах, продолжение статьи тут: http://spb.rbc.ru/topnews/25/01/2010/364906.shtml

«Трояны» заразили миллионы российских компьютеров

В России набирает обороты эпидемия компьютерных вирусов семейства Trojan.Winlock. «В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов», — сообщает российский разработчик средств информационной безопасности компания «Доктор Веб».

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы. В частности, вирусы автоматически удалялись с компьютера через несколько часов после установки, не запускались в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы «троянца», была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении с 300–600 рублями).