Для номера 2474 или 9800 (розовый баннер) попробуйте код 4243352762, потом 7393936297. Или 06159230, потом 49685761. Или пробуем коды: 9242595, 9434676, 622957, 487786665. Файл C:\Windows\services.exe удалить, предварительно завершив этот процесс (он запущен с правами юзера).
Для номера 1350 попробуйте коды 6523 или 3097.
Для номеров 5155 и 9691 попробуйте генератор кодов от каспера

Утилиты:  Process Explorer,  AVZ (краткое описание),  HijackThis, Unlocker

Генератор кодов от ДокторВеба

Как почистить систему от смс-вымогателей?. Выполните всё что написано ниже.

Попробуйте сделать восстановление системы на несколько дней ранее. Нажмите Пуск -> Выполнить -> Введите msconfig. На вкладке Общие нажать Запустить восстановление системы. Или C:\WINDOWS\system32\Restore\rstrui.exe
Если баннер закрывает почти весь экран и вы ничего не можете сделать, открываем Word, набираем в нём любой текст, не сохраняя документ кратковременно нажимаем кнопку питания, все программы закроются, баннер пропадет, а ворд попросит сохранить документ, нажимаем "отмена" и работаем в винде без баннера. Баннер позже появится снова, поэтому его нужно удалить.
Разблокировка диспетчера задач: Нажмите Пуск -> Выполнить -> Введите gpedit.msc
Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить не задана.
Или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0
Разблокировка редактора реестра: Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в не задана.

Если заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru и т.д. необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения»
Если у вас на жестком диске есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалите их.
Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить (например программой Unlocker)
В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт. Другие скрытые dll-файлы в этой папке проверьте на virustotal.com

Касаемо реестра Windows.
Если вам не знакомо это слово - нажмите Пуск -> Выполнить -> Ввести mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится.
Если вы знаете что такое реестр и как с ним работать, нажимаем Пуск -> Выполнить -> Ввести regedit -> ок
HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command
По умолчанию должно быть "%1" %*
HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit должно быть только C:\WINDOWS\system32\userinit.exe
в shell должно быть только explorer.exe
Если в Userinit и shell было еще что-то, идем по тому пути и удаляем файл (например программой Unlocker)

Удалить всё сомнительное из Пуск->Все программы>Автозагрузка
из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка
из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
из C:\Documents and Settings\[пользователь]\Local Settings\Temp проверьте файлы на virustotal.com, особенно ехе-файлы. В принципе эту папку можно очистить.
Путь к этой временной папке задается в Пуск - Настройка - Панель управления - Система - Вкладка "Дополнительно" - кнопка "Переменные и среды". В верхнем окне для пользователя, в нижнем общие. Переменные TEMP и TMP.
Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания.
Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя
Для ИЕ версии 6 и выше: Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Надстройки -> Надстройки, используемые в Internet Explorer. Отключите все, хотя бы временно.

Если после лечения вируса пропал доступ в интернет, на другом компе скачиваем программу AVZ (~5Mb). Нажать Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15.
Если возможности скачать AVZ нет, нажимаем Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Программы -> кнопка Сброс параметров...
Если это не помогло, нажимаем Пуск - Выполнить - вводим команды:
netsh int ip reset c:\iplog.txt     В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды. Инфа от майкрософта
Если не помогло, выполняем:
netsh winsock reset
netsh ip reset
Перезагрузить комп не забудьте. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет. Установленные в винде переменные можно посмотреть в Пуск – Выполнить – ввести cmd – set.

Если у вас стоит антивирус Avira, обновите её до последней версии (желательно до русской), зайдите в её настройки, слева поставьте галочку "Экспертный режим", чуть ниже выбирите "Scanner", справа в дополнительных настройках поставьте все галочки и выберите "все файлы". Далее, под сканером "проверка", "Действия при обнаружении", "автоматически". первое действие "вылечить", второе - "карантин". Если в исключения там вы ничего не добавляли - удалите все исключения. В эвристике "высокий уровень обнаружения" и "обнаружение макровирусов". А также обязательно в "Общие" - "Дополнительные категории угроз" поставьте все галочки. Запустите полное сканирование компа. Авира вам порубит всё, радмина, кейгены и пр., что по её мнению сомнительный софт. Ничего страшного. После сканирования нужные вам файлы вы можете восстановить из карантина.

Вирус с порнобаннером – Чтобы удалить информер отправьте смс на номер 9800

Утром секретарша принесла свой домашний ноутбук с просьбой удалить вирусы. Включаем ноутбук, запускаем Internet Explorer, а там сиськи, жопы и хуи. В Opera и Firefox та же самая история.

Сообщение: "Чтобы удалить информер выберите страну, отправьте смс на номер 9800".

Симптомы баннера: при загрузке любого браузера выскакивает окно баннера с настойчивой просьбой отправить смс 7709 на номер 4460. Ни в коем случае не отправлять! Код все равно не пришлют, а деньги снимут все, какие есть на телефоне.

Заходим в надстройки IE и выключаем все надстройки, которые есть в нём. И не помогает.

Лезем в диспетчер задач.

Обнаруживаем подозрительный процесс services.exe запущенный с правами пользователя. Сам этот файл находится в c:/windows/services.exe. В своиствах написано Light Alloy service. лайталлоя на компе не установлено, опачки!

1. В диспетчере висит лишний services.exe - запущенный от имени пользователя - прибить. Если диспетчер не загружается - выполнить - gpedit.msc - конф пользователя - адм шаблоны - система - возможности ctr-alt-del - удал дисп зад - отключен
2. В папке с виндой файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.

Параметр удалил, файл удалил, ключ в автозапуске удалил. Перезагрузился и всё стало хорошо. Никаких более симптомов.

Кстати ниодин антивирус эту тварь не обнаружил. Отправил файл Касперскому и доктору на анализ.

Надеюсь кому-то помогло.

Удаление информера из Internet Explorer

• Откройте Internet Explorer (IE). Выберите пункт меню «Сервис → Свойства обозревателя». В «Свойствах обозревателя» выберите вкладку «Дополнительно» и нажмите на кнопку «Сброс». Перезагрузите компьютер.
• Зайдите в «Панель управления» (либо «Пуск» → «Панель управления», либо «Пуск» → «Настройки» → «Панель управления»). В «Панели управления» запустите «Свойства обозревателя». В «Свойствах обозревателя» выберите вкладку «Дополнительно» и нажмите на кнопку «Сброс». Перезагрузите компьютер.
• Зайдите в «Панель управления» (либо «Пуск» → «Панель управления», либо «Пуск» → «Настройки» → «Панель управления»). В «Панели управления» запустите «Свойства обозревателя». В «Свойствах обозревателя» выберите вкладку «Программы» и нажмите на кнопку «Надстройки». Отключите все включенные элементы. Запустите Internet Explorer, откройте любую страницу в нём, закройте. Опять откройте «Надстройки» и посмотрите, какой элемент включился сам. Посмотрите файл, который соответствует этой надстройке, и удалите его (например, надстройка с «XXX Tv» и файл «tvsm.dll»). При этом должна быть включена функция показа скрытых и системных файлов.
• Откройте IE. Выберите пункт меню «Сервис → Надстройки → Включение и отключение надстроек». В поле, соответствующем надписи «файл», найдите все файлы, оканчивающиеся на lib.dll. Отключите надстройки для любого файла такого типа. Перезапустите Internet Explorer. Если информер остался, включите для этого файла надстройку и отключите для следующего, имя которого оканчивается на lib.dll. Потом удалите найденный файл из папки system32. Желательно почистить реестр по имени надстройки: в реестре в строку поиска введите имя надстройки. «Пуск → выполнить → regedit». Там выберите «Правка → Найти» и введите имя надстройки — например, «ruxvideosdghdfghdfgh».
• Просканируйте компьютер с помощью свежей версии программ DrWeb CureIt! или combofix.

Удаление информера из Opera
Откройте браузер Opera. Выберите пункт меню «Инструменты → Настройки». Выберите вкладку «Дополнительно». В этой вкладке сначала нажмите «Содержимое», а потом на появившуюся кнопку «Настройки Javascript…». В открывшемся окне сотрите все, что написано в поле «Папка пользовательских файлов Javascript» (сделайте поле пустым) и нажмите кнопку «OK». Нажмите «ОК» и для формы «Настройки». Закройте Оперу. По пути, прописанному в поле «Папка пользовательских файлов Javascript», можно найти и удалить файлы malware с расширением «js». Если там будет написано «C:WINDOWS uscripts», следует удалить всю папку «uscripts».

Удаление информера из Firefox

1. Откройте браузер Mozilla Firefox
2. Выберите пункт меню «Инструменты» → «Дополнения»
3. На форме дополнения выберите пункт «Расширения»
4. Удаляйте все неизвестные или подозрительные пункты