Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет

22.01.2011

Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром.

Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.

Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.

Лазил по сети. На каком то из сайтов  вдруг зацепился за вируса трояна winlocker.  Он явно воспользовался какой-то новой уязвимостью виндовс. т.к.   браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .

В общем неважно как он попал  в систему, вопрос как его вылечить.

Я  как обычно воспользовался ручным безотказным методом:

Перезагружаем компьютер и при загрузке нажимаем клавишу F8. В последующем меню выбираем:

Загрузка в безопасном режиме с поддержкой командной строки.

Загрузится Windows с черным окном консоли. Вводим команду regedit и нажимаем клавишу enter

Откроется редактор реестра в котором мы ищем следующую папочку по  пути:

Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon

либо

HKEY_CURRENT_USER\software\microsoft\Windows NT\CurrentVersion\Winlogon

справа выбираем мышью параметр  «Shell» , кликаем по нему левой кнопкой мыши, появится контекстное меню, выбираем — Изменить.

У вас наверняка будет  прописан пусть к файлу вируса  типа

c:\бла бла\Temp\0.01050302630827.exe Запомните его, пригодится

Меняйте значение параметра на то что должно быть: еxplorer.exe или c:\windows\еxplorer.exe

Перезагружайтесь, по идее баннера быть не должно  и качайте Cureit . После скачивания запускайте и он вылечит всяческую гадость из системы.

111 комментариев

  • Ильнурка 26.05.2012 в 8:25 пп

    Спасибо Виктору и автору!!!!!Помогло

  • аниса 26.05.2012 в 8:50 пп

    Спасибо большое!помогли

  • serj 13.06.2012 в 5:48 пп

    В принципе помогло, но потом в командной строке надо руками вычистить папку «temp», для закрепления успеха:)

  • Андрей Морозов 24.01.2013 в 9:46 пп

    Хотел бы добавить.
    Последнее время появились локеры, загружающиеся в текстовой моде до старта Windows. И старта, разумеется, не происходит. В таком случае надо посмотреть в файлы win.ini и system.ini (на предмет наличия строки load= ). Локер может запускаться оттуда.
    Коллеги рассказали, что видели ситуацию в которой локер запускался из boot.ini. Сам я такого не видел.

  • rangie 04.02.2013 в 1:48 пп

    Используя Paragon RescueDisc все это удаляется в 4 клика. Но остается копия x2z8.exe в папке восстановления. Туда не добраться. Если кто-то знает как, подскажите.

  • Андрей 20.04.2013 в 1:29 дп

    Командная строка не выводится. Ктрл Алт дел автоматически сворачивается .. Что делать?

Предыдущие комментарии← Предыдущие комментарии
Следующие комментарии

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *