Компьютерный доктор: Компьютерная помощь на дому : Скорая помощь для Вашего ПК : Создание и сопровождение сайтов

Ваш компьютер заблокирован за просмотр, копирование и тиражирование …

На прошлой неделе ко мне обратилась соседка по дому с проблемой, что ее ПК заблокирован. Дословно текст с смс-блокировщика звучит так:

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер телефона МТС 8-981-759-88-40 (89183085345, 89897506553, 89881612114, 89881612102). В случае оплаты суммы равной штрафу либо превышающей её на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле нижней части окна и нажать кнопку "Разблокировать". После снятия блокировки Вы должны удалить все материалы содержащие все элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 1 УК РФ.Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS с невозможностью дальнейшего восстановления.

Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

1. загрузиться с любого загрузочного диска. Я использовала Live CD dr.Web.
2. проверить нет ли на рабочем столе файла test.exe или 22CC6C32.exe Если есть - удалить
3. зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe
4. зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell исправить на значение explorer.exe
5. значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки) в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки

Данный вирус Trojan.Winlock.3252 переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

1. Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
2. Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
3. Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
4. Перезагружаем компьютер

Успехов в работе!