Распространяется под видом самых разнообразных программ, в основном универсального назначения для каких-либо несанкционированных действий (генераторы кодов пополнения к любым(!) компаниям мобильной связи; сброс любого(!) пароля для входа в систему; бесплатный доступ к различным платным интернет-ресурсам; взлом любого(!) почтового ящика и т.п.), т.е. в качестве приманки для любителей халявы. Скачивается преимущественно с различных файло-обменников, где администрация не несет ответственности за содержимое файлов (crack-keygen.com; 4ru.info; dumpz.ru).

Неприятен тем, что избавиться от вредоносных последствий с помощью антивируса невозможно, так как удаления самих исполняемых файлов для восстановления нормальной работы системы в этом случае недостаточно. А всё дело в том, что в случае запуска этой троянской программы происходит изменение целого ряда настроек системы, "благодаря" чему использовать многие функции вашей операционной системы становится не возможным. И нормальную работу компьютера предлагается восстановить лишь за небольшое денежное вознаграждение, перечисленное на счет авторов "вируса"...

Наиболее распространенные действия:

• блокирует запуск системных утилит (в частности Task Manager/Диспетчер Задач, RegEdit/системный реестр, cmd/запуск командной строки) и возможность воспользоваться функцией System Restore/Восстановления Системы;
• при каждой загрузке системы выводит сообщение примерно следующего содержания: "Если вы хотите востановить работу вашего компьютера и не потерять все файлы то по адресу <email> вышлите 10 wmz в течении 12 часов на ваш адрес будет выслана программа для удаления";
• блокирует доступ ко многим настройкам системы;
• изменяет содержание меню кнопки Пуск/Start (в частности становятся невозможными завершение и перезагрузка системы через стандартный графический интерфейс);
• блокирует закрытие окон проводника и окон IE;
• изменяет атрибуты директорий Windows и Program Files на скрытый и создает посторонние папки (примеры: "Типа WINDOWS", "Типа WINDOWS2", "Типо Мои Докумены");
• изменяет настройки отображения системных часов, из-за чего в трее и использующих время программах вместо часов появляется ненормативная лексика;
• изменяет ряд настроек IE (в частности заголовок окна и стартовая страница);
• изменяет ряд настроек рабочего стола пользователя (в частности с рабочего стола, а также в системном трее исчезают иконки);

При этом троян постоянно модифицируется (т.е. постоянно появляются новые версии), поэтому нужно иметь в виду, что любые его деструктивные действия также могут слегка изменяться.

Если запущенный вами троян был с .exe расширением*, то во время процесса его инсталляции в вашу автозагрузку прописываются два исполняемых файла (используется стандартный ключ автозапуска в системном реестре: HKLM\Software\Microsoft\Windows\CurrentVersion\Run) Параметры, как и сами файлы, в каждой версии могут быть совершенно различными, но обычно автор пытается маскировать их под процессы системы, давая им схожие имена.

Примеры:

"svchost"="путь к exe. файлу троянской программы"
"winlogon.exe"="путь к exe. файлу троянской программы"
"Explorer"="путь к exe. файлу троянской программы"
"RUNDLL32.EXE AudioHQ"="путь к exe. файлу троянской программы"
"ALG"="путь к exe. файлу троянской программы"
"AVPCC"="путь к exe. файлу троянской программы"
"SERVICES"="путь к exe. файлу троянской программы"

Оба файла практически идентичны (отличается только их местоположение и название). И после выполненных изменений в системе они автоматически завершаются (т.е. в активных процессах вы их можете и не найти).

Способ удаления

1. Скачиваем HijackThis, распаковываем и запускаем.
   Нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующие строки, если такие присутствуют:

   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/failed-mission/ (или любая другая страница сайта rotten.com)
   R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: НЕНОРМАТИВНАЯ ЛЕКСИКА ::::::::::::::::::
   O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
   O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
   O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

   Плюс самое главное: нужно найти два посторонних исполняемых файла в секции O4.
   Возможные примеры:
   

   O4 - HKLM\..\Run: [svchost] C:\WINDOWS\Web\rundll32.exe
   O4 - HKLM\..\Run: [AVPCC] C:\WINDOWS\Cursors\avp.exe
   или
   O4 - HKLM\..\Run: [ALG] C:\WINDOWS\ime\imkr6_1\dicts\SVCHOST.exe
   O4 - HKLM\..\Run: [SERVICES] C:\WINDOWS\WinSxS\Manifests\SMSS.exe
   или
   O4 - HKLM\..\Run: [RUNDLL32.EXE AudioHQ] C:\WINDOWS\system32\AudioHQ.dll.exe
   O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\oobe\explorer.exe
   или
   O4 - HKLM\..\Run: [winlogon.exe] C:\WINDOWS\system32\services.db.exe
   O4 - HKLM\..\Run: [svchost] C:\WINDOWS\inf\svchost.exe
   или
   O4 - HKLM\..\Run: [AvpM] C:\WINDOWS\pchealth\UploadLB\Config\AvpM.exe
   O4 - HKLM\..\Run: [OSD] C:\WINDOWS\msagent\intl\ALG.exe
   или др.

   (если есть какие-либо сомнения, обратитесь в топик: Помощь в лечении систем...).
   Затем нажимаем на кнопку "Fix Checked".
2. Скачиваем AVZ, распаковываем и запускаем.
   В верхнем меню программы нажимаем:

   Файл > Восстановление системы

   В открывшемся приложении отмечаем галочками все присутствующие там пункты и нажимаем на кнопку "Выполнить отмеченные операции".
3. Перезагружаем компьютер.
4. Удаляем два .ехе файла, автозапуск которых вы отменили в помощью HijackThis в пункте первом (т.е. из секции O4), если они еще будут присутствовать. Также удаляем пустые посторонние папки, если такие были где-либо созданы (например, "Типа WINDOWS", "062014622823780" и т.п.).
5. Теперь избавляемся от оставшихся последствий трояна, которые в каждом случае могут быть немного различны:

   Если нужно исправить часы в системном трее:

   Открываем:

   Control Panel > Regional and Language Optionsn (Панель управления > Язык и региональные стандарты)
   И временно изменяем региональные настройки (т.е. сначала выбираем любой другой регион, сохраняем, а затем меняем обратно на тот, который у вас был установлен).
   

   Если это вдруг не поможет, то откройте Блокнот/Notepad и скопируйте туда следующее:
   

   REGEDIT 4 [HKEY_CURRENT_USER\Control Panel\International] "sTimeFormat"="HH:mm:ss"

   Затем сохраните этот текстовый файл с расширением .reg и запустите. На вопрос Windows о том, действительно ли вы желаете добавить эту информацию в свой реестр, нажимаем на Да (Yes).

   Если папки Windows и Program Files стали невидимыми:

   Start > Run (Пуск > Выполнить)
   Вписываем cmd
   Нажимаем ОК.
   В появившемся приложении вписываем, либо копируем с помощью мышки, следующее (после каждой строчки нажимаем на ENTER):

   attrib -s -h -r c:\windows
   attrib -s -h -r "c:\program files"

   Если сместились обои на рабочем столе (это изменение вступит в силу только после перезагрузки компьютера):

   Копируем в Блокнот/Notepad следующий код:

   REGEDIT 4 [HKEY_CURRENT_USER\Control Panel\Desktop] "WallpaperOriginX"=- "WallpaperOriginY"=-

   Затем сохраняем, но с расширением .reg (либо изменяем расширение файла вручную - с .txt на .reg).
   Запускаем его и на вопрос Windows о том, действительно ли вы желаете добавить эту информацию в свой реестр, отвечаете Yes/Да.
   
   Либо можете просто скачать уже готовый reg-файл: wallpaper.zip (скачиваем, распаковываем и запускаем; на вопрос Windows, действительно ли вы хотите добавить данную информацию в ваш реестр, нажимаем на 'Да/Yes').

Как вариант, попробуйте воспользоваться для удаления некоторых запретов хорошей программой-твикером для вашей ОС (например, XP Tweaker; Neo Tweaker и др.), т.к. большинство команд, используемых трояном для блокировки функций системы идентичны заложенным в твикерах. Поэтому не исключено, что кое-что будет возможно исправить именно таким образом.
Например, наиболее простое возобновление работы System Restore:

Saule