Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром.
Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.
Лазил по сети. На каком то из сайтов вдруг зацепился за вируса трояна winlocker. Он явно воспользовался какой-то новой уязвимостью виндовс. т.к. браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .
В общем неважно как он попал в систему, вопрос как его вылечить.
Я как обычно воспользовался ручным безотказным методом:
Перезагружаем компьютер и при загрузке нажимаем клавишу F8. В последующем меню выбираем:
Загрузка в безопасном режиме с поддержкой командной строки.
Загрузится Windows с черным окном консоли. Вводим команду regedit и нажимаем клавишу enter
Откроется редактор реестра в котором мы ищем следующую папочку по пути:
Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
либо
HKEY_CURRENT_USER\software\microsoft\Windows NT\CurrentVersion\Winlogon
справа выбираем мышью параметр «Shell» , кликаем по нему левой кнопкой мыши, появится контекстное меню, выбираем — Изменить.
У вас наверняка будет прописан пусть к файлу вируса типа
c:\бла бла\Temp\0.01050302630827.exe Запомните его, пригодится
Меняйте значение параметра на то что должно быть: еxplorer.exe или c:\windows\еxplorer.exe
Перезагружайтесь, по идее баннера быть не должно и качайте Cureit . После скачивания запускайте и он вылечит всяческую гадость из системы.
111 комментариев
+1 автору рекомендации, рабатоает!!!!
Сенкс.
ОГРОМНОЕ СПАСИБО автору, сам я полный чайник, но и у меня тоже всё получилось, нехватает слов, что-бы выразить благодарность.
Автор,спасибо большое за статью! очень благодарен!
спасибо огромное способ помог . респект
Спасибо! Автор умничка и молодец! Очень выручил. огромное спасибо!
Автору Большое Спасибо. Все изложено просто и доступно. Помогло.
СПАСИБО! Лучший ответ в рунете на эту тему
Молодец!! Просто и бычтро !!!
Ну ты хакер 🙂 Огромное спасибо помогло!!!
автору огромный респект. Все получилось. СПАСИБО Большое!!!
Доступно, красиво. Спасибо
Спастбо автору большое!!!!!
Еп помогло!!! Респ
Спасибо большое!!! Помогла статья.
Спасибо мужик, респект тебе и уважуха!!!!
Спасибо дружище! Всё получилось! Уважуха тебе!
Большое СПАСИБО, помогло!
А мне не помогло((( с Shell-ом всё в порядке
Так у меня не получилось, тк в араметре shel было и так написано exploer.exe. В ком строке ввел msconfig и там уже в загрузках был виден этот файл 0.2625634563463.exe. Мало ли кому поможет.
Также в ком. строке можно ввести msconfig и сделать востановление системы например на вчерашнее число (при условии что диски наблюдаются системой для востановления) покрайней мере я именно так избавился от проблемы!!!
о-о-о, respect!!! Антивири не помогли, ты — да. Спасибо!!!
Друг, большое тебе и человеческое рахмет(спасибо)!!!
помогло Денис…. спасибо)))
и у меня номер совсем другой чтобы кидать туда деньги,и не 400 рублей а 500
что делать? B shell всё нормально прописано c msconfig тоже посмотрел,там нет ничего такого подозрительного…
Денис,Спасибо огромное ты мне очень помог!!!!!!!!!
Мне тоже очень помогло)) Спасибо огромное!!
спасибо огромное
Дружище, ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО, Я уже реально собирался
идти искать платежный терминал, что бы им 400 р. закинуть.
Помогло, спасибо!)
спасибо!!!
alex! большой респект тебе!Только твой совет помог!
Благодарен автору, но его совет не помог((((. У меня там «еxplorer.exe» уже было введено. Веел в командной строке «msconfig». Не помогло. В «загрузках» нет никакого файла((.
Вместо HKEY_LOCAL_MACHINE возможен вариант с заражением HKEY_CURRENT_USER с прописыванием дряни в те же самые места ветки.
Спасибо,помогло!!!
Огромное спасибо! Также и Виктору, вирь сидел в ветке HKEY_CURRENT_USER
Спасибо, у меня из командной строки запустился нормально explorer и зараза была просто в автозапуске.
Спасибо вам огромное!!! Все получилось! Этот файл, действительно, оказался в HKEY_CURRENT_USER
Спасибо 🙂
Ребята сегодня у самого была такая ерунда. Перепробовал с Shell не помогло. В конце прочитал про восстановление системы. Так что советую восстановление, самый простой и надежный способ. Желаю всем удачи.
Виктор, спасибо дружище!!!! реально нашлась эта дрянь по адресу HKEY_CURRENT_USER ну и как выше сказано!:)))))))))))))))))))))))
Щиро вдячний. Круто 😉
………..
спасибо очень помогло! при перезагрузке компьютера на рвбочем столе ничего не будет сделайте так Убейте explorer в процессах через диспетчер задач (Ctrl+Shift+Esc)
Затем через тот же диспетчер задач зайди во вкладку Приложения и нажми Новая задача и там пропиши explorer.exe
Классная статейка. Возьму на вооружение. Уже была такая проблема, но решала с помощью ребят из Доктор Веб.
У меня ничего не помогает(((
Это окно блокирует мышку и не до чего не добраться. Не знаю, что и делать.
Спасибо Автору!. Крутой чел:))!!!!
В добавок не будет лишним проверить следующие ветки:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\SID-Вашего пользователя\Software\Microsoft\Windows\CurrentVersion\Run
Автор ты The BEEEEEST!!!
СПАСИБО!!!!!
Спасибо всем метод с shell не помог ,а вот простое востановление системы на ура
Автор молодец, но я дополню его
Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
так же смотрим на параметр Userinit, там родная запись такая «C:\Windows\system32\userinit.exe,» нечисть может поменять и этот путь.
так же в папке
«C:\Windows\system32 делаем упорядочивание по дате и смотрим но свежесозданные exe файлы.
многие черви еще любят менять taskmrg. но это уже отдельная песня.