Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром.
Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.
Лазил по сети. На каком то из сайтов вдруг зацепился за вируса трояна winlocker. Он явно воспользовался какой-то новой уязвимостью виндовс. т.к. браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .
В общем неважно как он попал в систему, вопрос как его вылечить.
Я как обычно воспользовался ручным безотказным методом:
Перезагружаем компьютер и при загрузке нажимаем клавишу F8. В последующем меню выбираем:
Загрузка в безопасном режиме с поддержкой командной строки.
Загрузится Windows с черным окном консоли. Вводим команду regedit и нажимаем клавишу enter
Откроется редактор реестра в котором мы ищем следующую папочку по пути:
Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
либо
HKEY_CURRENT_USER\software\microsoft\Windows NT\CurrentVersion\Winlogon
справа выбираем мышью параметр «Shell» , кликаем по нему левой кнопкой мыши, появится контекстное меню, выбираем — Изменить.
У вас наверняка будет прописан пусть к файлу вируса типа
c:\бла бла\Temp\0.01050302630827.exe Запомните его, пригодится
Меняйте значение параметра на то что должно быть: еxplorer.exe или c:\windows\еxplorer.exe
Перезагружайтесь, по идее баннера быть не должно и качайте Cureit . После скачивания запускайте и он вылечит всяческую гадость из системы.
111 комментариев
Спасибо Виктору и автору!!!!!Помогло
Спасибо большое!помогли
В принципе помогло, но потом в командной строке надо руками вычистить папку «temp», для закрепления успеха:)
Хотел бы добавить.
Последнее время появились локеры, загружающиеся в текстовой моде до старта Windows. И старта, разумеется, не происходит. В таком случае надо посмотреть в файлы win.ini и system.ini (на предмет наличия строки load= ). Локер может запускаться оттуда.
Коллеги рассказали, что видели ситуацию в которой локер запускался из boot.ini. Сам я такого не видел.
Используя Paragon RescueDisc все это удаляется в 4 клика. Но остается копия x2z8.exe в папке восстановления. Туда не добраться. Если кто-то знает как, подскажите.
можно удалить точку восстановления
Командная строка не выводится. Ктрл Алт дел автоматически сворачивается .. Что делать?