Algebra Biologiya Literatura Geometriya Geografiya Obj Fizika Ekonomika Istoriya Astronomiya Informatika

Компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента МТС 89112969336, 89110133035, 89117222488, 89112964880, 89817539297, 89897520781

Автор: · 107 комментариев 

(Visited 640 092 times, 1 visits today)

Описание проблемы:

Блокируется загрузка операционной системы, появляется голубое окно с сообщением — «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф 400 рублей на номер телефона 89112969336, 89110133035, 89117222488, 89112964880, 89817574914, 89817539297, 89897520781после снятия блокировки удалить все материалы содержащие элементы насилия и педофилия. В противном случае, через 12 часов все данные будут удалены с вашего ПК, а дело передано для разбирательства Управление К МВД РФ по статье 242 ч.1 УК РФ. Код разблокировки будет напечатан на фискальном чеке терминала в случае оплаты суммы равной штрафу либо превышающей ее.»

Методика удаления смс-вымогателя «Компьютер заблокирован за просмотр» для Windows XP:

  1. Загрузить компьютер с помощью LiveCD и подключить реестр заблокированной вирусом-вымогателем операционной системы;
  2. Найти в реестре ветку:

     

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Параметр:

     

    userinit

    Значение параметра должно быть:

     

    с:\windows\system32\userinit.exe

    где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем.

    Параметр:

     

    shell

    Значение параметра должно быть:

     

    Explorer.exe

    Если значение параметра отличается, тоже исправляем.

  3. Выгружаем подключенный реестр;
  4. Заменяем изменный вирусом файл  «userinit.exe» в каталоге «X:\WINDOWS\system32\» и «X:\WINDOWS\system32\dllcache\», где «X» диск, на котором установлена заблокированная операционная система, на аналогичный файл с другого компьютера, с такой же как у вас операционной системой. Например для Windows XP SP3, оригинальный файл userinit.exe можно скачать здесь;
  5. Перезагрузка, пробуем загрузить компьютер в обычном режиме.

Альтернативные варианты решения проблемы от пользователей:

 

 


(Visited 640 092 times, 1 visits today)

Отзывы

Оставьте Ваш Отзыв:

107 комментариев на “Компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента МТС 89112969336, 89110133035, 89117222488, 89112964880, 89817539297, 89897520781”
  1. Сергей:

    На Windows 8 удалось запустить диспетчер и снять процесс 87.exe. После этого баннер исчез, все заработало. Банер находился в папке I:\Users\%ТекущийПользователь%\AppData\Roaming. Имя второго вредоносного файла не помню. Оба были с характерным значком толи канцелярская кнопка с длинной ножкой, то ли зонтик.

  2. Сергей:

    Ребят, была таже проблема, сделал как написанно, не прокатило, потом в поиске забил 87.exe, нашел 2 файла-удалил и все прошло

  3. Иван:

    Набрал код 2348, баннер исчез но рабочий стол пуст, но самое главное баннер исчез! Продолжаю войну, диспетчер задач работает.

    • mafan:

      Код разблокировки 2348 работает. После запуска рабочего стола ищем файл 81.ехе, удаляем и все ок!

  4. Евгений:

    Уж не знаю писался ли данный способ… до конца не дочитал.
    Я много чего перепробовал. Но ничего не помогало.
    Потом с психу зажал ктрл+альт+дел и держал так минут 20
    в течении этого времени диспетчер задач на заднем фоне просматривался с задержкой всего доли секунды, но за счет мигания можно было даже разглядеть что в нём написано.
    вот там то я и увидел процесс 0..176995813859.ехе
    вставил загрузочную флешку и без всяких утилит через поиск аншел все похожие файлы. удалил их — и всё заработало.
    потом еще раз прошёлся антивирусником. И так же еще раз прошёлся поисковиком. Антивир ниче не дал, а вот поиск выдал еще 3 похожих файла с разными разрешениями и слегка изменённым набором цыфр.
    удалил их. Теперь горя не знаю.

  5. Алексей:

    Зашел в Безопалсном режиме с поддержкой командной строки! ввел Explorer, далее через поиск нашол два файла 87.exe удалил и все стало норм) ибо в реестре не разобрался показалось что там все ок)

  6. Виталий:

    Всем привет тоже столкнулся с вирусом баннером «майкрософт секюрити обнаружил нарушение использования сети интернет. Причина: просмотр ДЕТСКОГО и ГЕЙ порно, посещения порно-сайтов. Для разблокировки виндус необходимо: Пополнить кошелёк на номер U380981161065 на сумму 850 грн. и т.далее». (красные буквы на чёрном фоне в низу слева Enter code — жёлтые буквы ) попытался его убрать ERD Commander 2005 но при запуске пишет «INF file txtsetur.sif is coppurt or missing, status 18. Setur cannot continue. Press any key to exist». и всё. Пробовал и через загрузочный диск с PornoBanner_Stop.nrg. но когда дохожу до нажатия буквы «R» пишет что отсутствует жёсткий диск. пытаюсь с его помощью перезапустить виндус то же самое. Дальше в систему пройти не могу думал с помощью avz4 или касперского но не продвигаюсь. Пол дня потерял но ничего. При загрузки или при появившемся сообщения успеваю нажать Ctrl+Alt+Del выбрать путь загрузки (носитель памяти) и всё. Подскажиьте что делаю не так и как с этим бороться. Спасибо.Очень надеюясь что подскажите.

  7. сергей:

    Добрый день!
    В 7 винде помогло введение в командную строку при безопасном режиме «rstrui» и все!!!!! откат к предыдущему сохранению, после проверка антивирусом.

  8. Ivan:

    Опробовал:
    1. основной способ через реестр — не помогло
    2. dr web cureit! — не помогло
    3. диспетчер задач открыть было невозможно
    4. способ с восстановлением системы через командную строку, Ввести команду «rstrui». — помогло! Резервная копия за 4 дня до этого =)

    Спасибо сайту!!!

  9. Серега:

    Номер мтс 9181076087 1000 рублей.
    Просидел около часа. Оказалось всё просто.
    перезагрузка. клавиша F8 сразу после включения ПК, безопасный режим с командной строкой, вводим explorer, через Total Commander зашел в автозапуск программ. выключил незнакомые. посмотрел путь. попробовал запустить некоторые. оказалось файл по адресу C:\Users\*пользователь*\AppData\Roaming\ 87.exe
    удалил его. перезапустил. все заработало. теперь проверяю на вирусы.

    • Юрий:

      Красавец! Спасибо! Через реестр смотрел — пути все нормальные, уже в тупик встал, а ты помог!

    • Ульяна:

      у меня вместе с этой фигней запускалась прога с таким же путем, но в конце вместо 87 написано «taskhosts.exe»
      так вот, прикол-то в том, что все программы работали, просто не было значков на раб.столе и панельки инструментов внизу. у меня еще майкрософт секьюрити стоял. он-то и показал, что не может понять, что это за файлы и что они на компьютере делают. так вот, этот баннер (сама картинка) легко убирается кодом 2348. и теперь через диспетчер задач можно попасть и в корневые папки, и куда угодно, просто нажимая на любом элементе «открыть папку с файлом». и в поиске я нашла по окончаниям эти файлы, датированные сегодняшним и вчерашним числом, когда, в принципе, все и началось. удаляем их +- убираем из автозапуска. у меня все вновь заработало, но, на всякий случай, еще антивирь помучаю 🙂

      • Ульяна:

        да, и еще, она же запускается с автозапуском и поэтому до того, как баннер все замостит, у нас есть еще несколько секунд, чтоб быстро успеть нажать на значок антивируса. и баннер начинает вылетать, как только антивирус выкидывает на стол свои окна

        • Трифон:

          Через 2-го пользователя спокойно зашел на комп, запустил NOD32, в результате проверки нашлись:
          1) C:\Documents and Settings\123\Local Settings\Temp\huiauk4b.exe — Win32/SpyVoltar.A троянская программа — очищен удалением – изолирован;
          2) C:\Documents and Settings\123\Local Settings\Temporary Internet Files\Content.IE5\UJQ9AZOD\87[1].o — Win32/LockScreen.AMD троянская программа — очищен удалением — изолирован.
          У меня просили 1000 рублей и тел был указан: 9881846058.

      • Серега:

        у меня тоже taskhosts.exe был, но сам баннер назывался 87.exe.
        как я понял taskhosts.exe снова скачивает баннер при удалении старого.
        сразу после удаления 87.exe у меня появился 101.exe, потом снова 87.exe
        долго taskhosts.exe удалить не мог, антивирус блокировал удаление и пытался его вылечить.

    • лох:

      спасибо. всё помогло
      безопасный режим правда через f10

  10. Руслан:

    Ситуация следующая: Картинка похожа, только МВД Украины. Винда запускается и через 10 сек. загружается банер. Диспетчер задач не запускается даже в безопасном режиме (пишет заблокировано администратором). В Shell & userinit все правильно. CureIt почистил в безопасном режиме (вроде какой-то троян «смс» нашел), все найденое удалил, прогнал еще раз(пусто) и ничего. Безопасный режим запускается и с командной строкой и с сетью. Прочесал весь диск С насчет подозрительных файлов — ничего не нашел. Загрузился с LiveUSB, отсканировал , что нашел — удилил, ничего не помогло. В биосе менял дату — ничего. Создал новую учетную запись, загрузился, но она не видит (или запрещено видеть) файлы диска С старой учетной записи, тоесть как я понимаю сканировать нет смысла. Пробовал rstrui, но что-то не могу разобратся (написано в инструкции одно, на деле такого «пути» нет или я его не вижу). Деньги они хер получат, да вот винду переустанавливать неохота. Заранее спасибо хоть за какие-то советы

    • VirusFree:

      По поводу «rstrui» на Win7 — если запускается безопасный режим с командной строкой, сначала выполняем первые 3 пункта отсюда: http://virus-free.ru/windows-zablokirovan-microsoft-security-essentials/. Затем Меню «Пуск» -> «Все программы» -> «Стандартные» -> «Служебные» -> «Восстановление системы». А дальше с помощью мастера выбирайте точку восстановления с датой предшествующей дню блокировки компьютера.

      • Руслан:

        Все так и делал. Мастер переводил на систему, а дальше что и как??? У меня написано «Функция защиті системі отключена» Перехожу по ссілке включение и восстановление системі. Открівается окно «Систепа» ТЕПЕРЬ ЧТО???

        • VirusFree:

          К сожалению, вам этот способ не подойдет, т.к. «Восстановление системы» у Вас по каким-то причинам было отключено и точки восстановления не сохранялись, следовательно и «откатываться» некуда…
          Вот здесь есть пошаговая инструкция по удалению блокера с помощью с AntiWinLocker LiveCD. Попробуйте этот способ.

    • Андрей:

      Здравствуйте, Руслан!
      Если вы смогли создать еще одну учетную запись(пользователя), то надо удалить вашу испорченную
      запись и создать ее заново — так я вычистил несколько ПК.
      С уважением Андрей.

  11. Сергей:

    Для Win7 помогло следующее… Входим в безопасный режим с поддержкой командной строки. Вводим Explorer /n ищем в папке пользователя(мои документы) файл типа 0.8636554878893208 (цифры могут быть другими) и удаляем его. После перегружаемся и входим в нормальном режиме, дальше антивирусом проверяем компьютер.

  12. Ivanov D:

    Верный способ вылечить недуг, без дисков, без Flash, без внесения правок в реестре — это встроенное в Windows средство — Система восстановления «Rstrui»:
    1. F8 при загрузке Операционной системы;
    2. Выбрать пункт «безопасный режим с поддержкой командной строки»;
    3. Ввести команду «rstrui».

  13. Тина:

    У меня Vista, антивирус Eset Smart , контроль учётн. записей отключен. При появление такой » бяки» порядок моих действий: клавиша F8 сразу после включения ПК, безопасный режим с командной строкой, написать-explorer и enter. Рабочий стол, запускаем сканирование антивирусом , затем восстановление системы. И всё ОК. По крайней мере на этот раз. Буду рада, если это к-н поможет:).

  14. Cinemator:

    1000р. на номер МТС 988-181-07-44 Windows XP
    До появления баннера при загрузке успеваем нажать на меню «Пуск» и ещё Ctrl+Alt+Delete, чтобы вызвать окно диспетчера задач.Эти действия не дают исчезнуть меню «Пуск» при появлении баннера, а также позволяют вызвать диспетчер задач повторным нажатием Ctrl+Alt+Delete.Для начала закрывыаем баннер путём завершения его программы в диспетчере задач. (Пользуемся клавиатурой, так как мышь не может выйти за пределы баннера). Затем удаляем программу C:\Documents and Settings\Пользователь\Application Data\87.exe. Потом Пуск-Выполнить-regedit и чистим в HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Run строчки с упоминанием 87.exe Баннер больше не появляется, но вирус ещё жив. Убиваем его утилитой Dr.Web CureIt! Счастье…




Выразите свое мнение

Скажите нам, что вы думаете...