Я ИТ специалист или Жизнь ИТшника Это блог о моей работе, жизни и увлечениях! Решим ИТ проблемы вместе!

22Янв/11110

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет

Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром.

Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.

Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.

Лазил по сети. На каком то из сайтов  вдруг зацепился за вируса трояна winlocker.  Он явно воспользовался какой-то новой уязвимостью виндовс. т.к.   браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .

В общем неважно как он попал  в систему, вопрос как его вылечить.

Я  как обычно воспользовался ручным безотказным методом:

Перезагружаем компьютер и при загрузке нажимаем клавишу F8. В последующем меню выбираем:

Загрузка в безопасном режиме с поддержкой командной строки.

Загрузится Windows с черным окном консоли. Вводим команду regedit и нажимаем клавишу enter

Откроется редактор реестра в котором мы ищем следующую папочку по  пути:

Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon

либо

HKEY_CURRENT_USER\software\microsoft\Windows NT\CurrentVersion\Winlogon

справа выбираем мышью параметр  "Shell" , кликаем по нему левой кнопкой мыши, появится контекстное меню, выбираем - Изменить.

У вас наверняка будет  прописан пусть к файлу вируса  типа

c:\бла бла\Temp\0.01050302630827.exe Запомните его, пригодится

Меняйте значение параметра на то что должно быть: еxplorer.exe или c:\windows\еxplorer.exe

Перезагружайтесь, по идее баннера быть не должно  и качайте Cureit . После скачивания запускайте и он вылечит всяческую гадость из системы.

Комментарии (110) Пинги (2)
  1. Автор молодец, но я дополню его
    Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
    так же смотрим на параметр Userinit, там родная запись такая «C:\Windows\system32\userinit.exe,» нечисть может поменять и этот путь.

    так же в папке
    «C:\Windows\system32 делаем упорядочивание по дате и смотрим но свежесозданные exe файлы.
    многие черви еще любят менять taskmrg. но это уже отдельная песня.

  2. Спасибо Виктору и автору!!!!!Помогло

  3. Спасибо большое!помогли

  4. В принципе помогло, но потом в командной строке надо руками вычистить папку «temp», для закрепления успеха:)

  5. Хотел бы добавить.
    Последнее время появились локеры, загружающиеся в текстовой моде до старта Windows. И старта, разумеется, не происходит. В таком случае надо посмотреть в файлы win.ini и system.ini (на предмет наличия строки load= ). Локер может запускаться оттуда.
    Коллеги рассказали, что видели ситуацию в которой локер запускался из boot.ini. Сам я такого не видел.

  6. Используя Paragon RescueDisc все это удаляется в 4 клика. Но остается копия x2z8.exe в папке восстановления. Туда не добраться. Если кто-то знает как, подскажите.

  7. Командная строка не выводится. Ктрл Алт дел автоматически сворачивается .. Что делать?


Leave a comment