Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет

22.01.2011

Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром.

Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.

Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.

Лазил по сети. На каком то из сайтов  вдруг зацепился за вируса трояна winlocker.  Он явно воспользовался какой-то новой уязвимостью виндовс. т.к.   браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .

В общем неважно как он попал  в систему, вопрос как его вылечить.

Я  как обычно воспользовался ручным безотказным методом:

Перезагружаем компьютер и при загрузке нажимаем клавишу F8. В последующем меню выбираем:

Загрузка в безопасном режиме с поддержкой командной строки.

Загрузится Windows с черным окном консоли. Вводим команду regedit и нажимаем клавишу enter

Откроется редактор реестра в котором мы ищем следующую папочку по  пути:

Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon

либо

HKEY_CURRENT_USER\software\microsoft\Windows NT\CurrentVersion\Winlogon

справа выбираем мышью параметр  «Shell» , кликаем по нему левой кнопкой мыши, появится контекстное меню, выбираем — Изменить.

У вас наверняка будет  прописан пусть к файлу вируса  типа

c:\бла бла\Temp\0.01050302630827.exe Запомните его, пригодится

Меняйте значение параметра на то что должно быть: еxplorer.exe или c:\windows\еxplorer.exe

Перезагружайтесь, по идее баннера быть не должно  и качайте Cureit . После скачивания запускайте и он вылечит всяческую гадость из системы.

111 комментариев

  • Алекс 29.07.2011 в 7:53 дп

    +1 автору рекомендации, рабатоает!!!!
    Сенкс.

  • ALEX 29.07.2011 в 4:03 пп

    ОГРОМНОЕ СПАСИБО автору, сам я полный чайник, но и у меня тоже всё получилось, нехватает слов, что-бы выразить благодарность.

  • Благодарный 02.08.2011 в 9:11 пп

    Автор,спасибо большое за статью! очень благодарен!

  • Вова 03.08.2011 в 1:06 дп

    спасибо огромное способ помог . респект

  • Вика 09.08.2011 в 6:03 дп

    Спасибо! Автор умничка и молодец! Очень выручил. огромное спасибо!

  • Максим 09.08.2011 в 6:59 дп

    Автору Большое Спасибо. Все изложено просто и доступно. Помогло.

  • гость 17.08.2011 в 1:15 дп

    СПАСИБО! Лучший ответ в рунете на эту тему

  • Зилибобычь 17.08.2011 в 5:37 пп

    Молодец!! Просто и бычтро !!!

  • Сергей 22.08.2011 в 10:07 пп

    Ну ты хакер 🙂 Огромное спасибо помогло!!!

  • Нариман 25.08.2011 в 7:57 пп

    автору огромный респект. Все получилось. СПАСИБО Большое!!!

  • Александр 05.09.2011 в 7:24 пп

    Доступно, красиво. Спасибо

  • Женя 10.09.2011 в 9:25 дп

    Спастбо автору большое!!!!!

  • Ветоль 11.09.2011 в 9:16 пп

    Еп помогло!!! Респ

  • Андрей 12.09.2011 в 5:29 пп

    Спасибо большое!!! Помогла статья.

  • Серёга 14.09.2011 в 3:56 пп

    Спасибо мужик, респект тебе и уважуха!!!!

  • Joney 15.09.2011 в 2:47 пп

    Спасибо дружище! Всё получилось! Уважуха тебе!

  • Серега 18.11.2011 в 4:16 пп

    Большое СПАСИБО, помогло!

  • Roman 29.11.2011 в 2:59 дп

    А мне не помогло((( с Shell-ом всё в порядке

  • Денис 29.11.2011 в 7:07 дп

    Так у меня не получилось, тк в араметре shel было и так написано exploer.exe. В ком строке ввел msconfig и там уже в загрузках был виден этот файл 0.2625634563463.exe. Мало ли кому поможет.

  • Alex 20.12.2011 в 3:29 пп

    Также в ком. строке можно ввести msconfig и сделать востановление системы например на вчерашнее число (при условии что диски наблюдаются системой для востановления) покрайней мере я именно так избавился от проблемы!!!

  • Sem 22.12.2011 в 2:32 пп

    о-о-о, respect!!! Антивири не помогли, ты — да. Спасибо!!!

  • Рамка 23.12.2011 в 2:41 пп

    Друг, большое тебе и человеческое рахмет(спасибо)!!!

  • Иван 04.01.2012 в 11:40 пп

    помогло Денис…. спасибо)))

  • Сергей 05.01.2012 в 9:32 пп

    и у меня номер совсем другой чтобы кидать туда деньги,и не 400 рублей а 500
    что делать? B shell всё нормально прописано c msconfig тоже посмотрел,там нет ничего такого подозрительного…

  • Колян 06.01.2012 в 11:09 пп

    Денис,Спасибо огромное ты мне очень помог!!!!!!!!!

  • Лили 07.01.2012 в 7:32 пп

    Мне тоже очень помогло)) Спасибо огромное!!

  • Vadik 11.01.2012 в 11:30 пп

    спасибо огромное

  • Дмитрий 12.01.2012 в 1:04 дп

    Дружище, ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО, Я уже реально собирался
    идти искать платежный терминал, что бы им 400 р. закинуть.

  • Стас 13.01.2012 в 12:01 пп

    Помогло, спасибо!)

  • Наталья 13.01.2012 в 6:28 пп

    спасибо!!!

  • павел 13.01.2012 в 11:51 пп

    alex! большой респект тебе!Только твой совет помог!

  • Emilenus 20.01.2012 в 6:05 пп

    Благодарен автору, но его совет не помог((((. У меня там «еxplorer.exe» уже было введено. Веел в командной строке «msconfig». Не помогло. В «загрузках» нет никакого файла((.

  • Виктор 22.01.2012 в 3:42 дп

    Вместо HKEY_LOCAL_MACHINE возможен вариант с заражением HKEY_CURRENT_USER с прописыванием дряни в те же самые места ветки.

  • Трам 24.01.2012 в 6:45 пп

    Спасибо,помогло!!!

  • Сергей 25.01.2012 в 10:30 пп

    Огромное спасибо! Также и Виктору, вирь сидел в ветке HKEY_CURRENT_USER

  • sergey 28.01.2012 в 11:59 пп

    Спасибо, у меня из командной строки запустился нормально explorer и зараза была просто в автозапуске.

  • Polina 01.02.2012 в 5:18 дп

    Спасибо вам огромное!!! Все получилось! Этот файл, действительно, оказался в HKEY_CURRENT_USER

  • Юрий 05.02.2012 в 8:40 пп

    Спасибо 🙂

  • Даг 08.02.2012 в 12:44 пп

    Ребята сегодня у самого была такая ерунда. Перепробовал с Shell не помогло. В конце прочитал про восстановление системы. Так что советую восстановление, самый простой и надежный способ. Желаю всем удачи.

  • Алекс 23.02.2012 в 1:17 пп

    Виктор, спасибо дружище!!!! реально нашлась эта дрянь по адресу HKEY_CURRENT_USER ну и как выше сказано!:)))))))))))))))))))))))

  • Pymba 05.03.2012 в 5:36 дп

    Щиро вдячний. Круто 😉
    ………..

  • Еркебулан 18.03.2012 в 7:10 пп

    спасибо очень помогло! при перезагрузке компьютера на рвбочем столе ничего не будет сделайте так Убейте explorer в процессах через диспетчер задач (Ctrl+Shift+Esc)
    Затем через тот же диспетчер задач зайди во вкладку Приложения и нажми Новая задача и там пропиши explorer.exe

  • Инна 06.04.2012 в 10:12 пп

    Классная статейка. Возьму на вооружение. Уже была такая проблема, но решала с помощью ребят из Доктор Веб.

  • Мария 11.04.2012 в 1:11 дп

    У меня ничего не помогает(((
    Это окно блокирует мышку и не до чего не добраться. Не знаю, что и делать.

  • Dmitry 24.04.2012 в 6:48 пп

    Спасибо Автору!. Крутой чел:))!!!!

  • AD 02.05.2012 в 8:07 пп

    В добавок не будет лишним проверить следующие ветки:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_USERS\SID-Вашего пользователя\Software\Microsoft\Windows\CurrentVersion\Run

  • Alexandr 02.05.2012 в 9:56 пп

    Автор ты The BEEEEEST!!!

  • Иван 13.05.2012 в 7:46 пп

    СПАСИБО!!!!!

  • max68 17.05.2012 в 3:24 пп

    Спасибо всем метод с shell не помог ,а вот простое востановление системы на ура

  • SOL 25.05.2012 в 8:34 пп

    Автор молодец, но я дополню его
    Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
    так же смотрим на параметр Userinit, там родная запись такая «C:\Windows\system32\userinit.exe,» нечисть может поменять и этот путь.

    так же в папке
    «C:\Windows\system32 делаем упорядочивание по дате и смотрим но свежесозданные exe файлы.
    многие черви еще любят менять taskmrg. но это уже отдельная песня.

Предыдущие комментарии← Предыдущие комментарии
Следующие комментарииСледующие комментарии →

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *