01.02.2011 10:21

Как избавиться от блокировщика Windows

Вчера ко мне обратился одноклассник с просьбой посмотреть его компьютер, т.к. он блокирован каким то вредоносом.

Вот что я увидела на его мониторе черный экран с бело-сине-красным текстом, текст следующего содержания:

Ваша операционная система блокирована за нарушение использование сети интернет. Бла-бла-бла.

Для разблокировки операционной системы Вам необходимо платить 600 рублей.

ОПЛАТА С ВАШЕГО МОБИЛЬНОГО:

- Если Вы абонент Билайн отправьте СМС с текстом: 79626007737 600 на номер 3116
В соответствии с сообщением подтвердите платеж. После оплаты, в ответной СМС придет код доступа к системе.

- Если Вы абонент Мегафон отправьте СМС с текстом: 9602546722 600 на номер 8444
В соответствии с сообщением подтвердите платеж. После оплаты, в ответной СМС придет код доступа к системе.

- Если Вы абонент МТС введите команду *115# вы берете Связь Билайн, номер телефона сумма 600 рублей.
В соответствии с сообщением подтвердите платеж. После оплаты, в ответной СМС придет код доступа к системе.

ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ:

Пополнить номер абонента Билайн № 89650161447 на сумму 600 рублей. На выданном чеке, будет написан код доступа к системе. Введите в форму ниже.

вирус-вымогатель

Конечно же это вирус-вымогатель, который блокирует Windows, а так же очередной развод и платить деньги злоумышленникам это верх глупости.

Расскажу как я избавилась от него:

Шаг первый. Грузимся с Live CD Dr.Web скачать можно здесь

Как работать с Live CD Dr.Web описано здесь

Dr.Web нашел одного троянца Winlock 2739, удалил, перезагрузилась, но баннер все равно висит.

Шаг второй. Заходим в безопасном режиме. Успеваю вызвать Диспетчер задач (нажать Ctrl+Alt+Del) и вижу задачу, которая сразу появляется в окне диспетчера Swscj. Снимаю задачу.

Пытаюсь найти данный файл через Total Commander – не находит.

Шаг третий. Пуск – Выполнить - наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр.

В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe

Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;

Справа отобразятся все параметры ключа Winlogon;

Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe.

Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значение user32.exe, а значение explorer.exe оставить.

Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.

Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.

 

редактор реестра

На зараженном компьютере вредонос прописался так: Explorer.exe%windir%rundll.bat

Шаг четвертый. После проделанных действий перезагрузите компьютер в Обычном Режиме.

После перезагрузки компьютера выполните следующие действия:

  • откройте папку C:\WINDOWS\SYSTEM32\;
  • найдите файл USER32.EXE;
  • переименуйте файл USER32.EXE в файл USER33.EXE;
  • перезагрузите компьютер;
  • после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;

нажмите кнопку Пуск:

  • если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.
  • если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.
  • раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;
  • слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пункт Удалить);
  • если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.

Успешной Вам работы!

 

Последние комментарии

  • Что у Вас за браузер? Подробнее
  • Не могу найти где эту строку включить? подскажите ка кона называется? а то атм много чего Переходил вот по этой ссылке chrome://flags/#disable-direct-... Подробнее
  • Спасибо вам большое!!! Подробнее
  • спасибо! очень помогло Подробнее
  • Спасибо ура :roll: :roll: :roll: ;-) Подробнее

Закладки

Статистика сайта

Яндекс цитирования