Windows заблокирован! Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания
Описание проблемы:
Блокер закрывает доступ к рабочему столу Windows и выводит в центре экрана баннер (черные буквы на сине-голубом или сером фоне с кнопками для ввода кода) с сообщением:
«Windows заблокирован!
Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а так же, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации ПО корпорации Microsoft. По вышеуказанным причинам функционирование системы было приостановлено.
Для активации системы необходимо:
Пополнить номер абонента МТС: +79874324591, +79879705461 на сумму 500 рублей.
Расчет производится в любом из терминалов для оплаты сотовой связи. На выданном терминале чеке, Вы найдете ваш персональный код. Код следует ввести в расположенном ниже поле.»
Методика удаления вируса-вымогателя в Windows 7 и Windows XP:
1. Включая компьютер, при загрузке нажимаем клавишу «F8». Далее в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки»:2. На следующем этапе выберем заблокированную вирусом операционную систему и нажимаем клавишу «Enter».
3. После загрузки на экране появится окно командной строки. В окне «cmd.exe« пишем команду «explorer.exe» и нажимаем клавишу «Enter« — появится стандартное меню «Пуск».
4. Включаем отображение скрытых и системных файлов.
5.1. В Widows 7 переходим в директорию «С:\Users\каталог с именем вашего пользователя\» и удаляем файл-вируса «ms.exe»:
5.2. В Widows XP переходим в директорию «С:\Documents and Settings\каталог с именем вашего пользователя\» и удаляем файл-вируса с произвольным названием из цифр, например — «0.2772538971387949.exe»:
6. В Widows XP это пункт пропускаем. В Windows 7 — идем дальше в «С:\Users\каталог с именем вашего пользователя\AppData\Roaming\» ищем и удаляем еще один файл-вируса с произвольным именем из 6 букв или цифр, например «Hhcqcx.exe»:7. Программой AutoRuns (скачать ~719 Кб.; посмотреть описание) или любым другим способом подчищаем за блокером загрузочные записи. Удаляем выделенные строки из автозагрузки:
7.1. В Widows 7:7.1. В Widows XP. Строка «autodetect» на первом скрине есть не у всех — удаляйте у кого есть:
8. Закрываем все окна и перезагружаем компьютер. После успешной загрузки желательно просканировать все диски бесплатной утилитой CureIT от Dr. Web.
P.S. В Windows XP блокер перевел в дату на 2015 год из-за чего выключился антивирус — лицензия была только до 2013 г. . Восстановите текущую дату и перезагрузите компьютер еще раз чтобы все заработало как надо.
Оставьте Ваш Отзыв:
Отзывов (76) на “Windows заблокирован! Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания”У меня совсем недавно, случилась такая же беда, что я сделал, запустил комп в безопасном режиме, в черном окне написал EXPLORER нажал enter, далее открыл панель управления—далее востановления системы— восстановил примерно за 2-3 часа до того как появился этот банер.
И ВСЕ !
Все стало работать ! ))))
Аналогичный случай под Вистой. Зашел в безопасном режиме с командной строкой, потом через Far нашел exe-файл вируса с именем в виде комбинации цифр в одной из подпапок папки Users. Удалил. Затем перезагрузился и пофиксил ошибки реестра прогой VIT FixIt.
К номеру 79878810428 подошел пароль 079630720. Вдруг кому поможет.
Помогло, но на xp файл был не цифрами, а буквами.
Помогло, только я делал подругому. Удалил неизвестный файл в папке «пользователь».
У меня ОС Windows 7 Home Premium.
Телефон мошенника: 79878768508 — просил 1000 р.
Загрузился через «Безопасный режим с поддержкой командной строки».
Вирус имел имя из семи цифр и лежал по пути С:\Users\каталог с именем вашего пользователя\.
Удалил только этот файл, скачал свежайший Dr.Web и проверил диск «C» (14 угроз были обезврежены).
Помогло, только файла ms.exe не было. Сделал поиск по *.exe, отсортировал по времени и удалил все за этот день.
Все работает отлично!
Большое спасибо, все сделали как написано, в папке users, был файл из 7 цифр, после перезагрузки заработал.
Я полный ноль, сделал всё ВООБЩЕ по-другому:
1. зашел в безопасном режиме с командной строкой (что это такое??????);
2. нажал банальный поиск на диске С файлов с разрешением «.ехе»
3. упорядочил их по времени и крайние непонятные с «циферками» снёс анлокером;
4. перезагрузил систему и проверил на наличие вирусняков!!!
файлы были спрятаны в папке юсер, 7 каких то цифр, 2 файла.
У меня на windows 7, при нажатии клавиши F8 комп написал, что не может загрузится, предложил сделать восстановление системы, после восстановления, Баннера уже не было)))
Ситуация похожая, но через безопасный вход комп не грузится, сразу вылазит это сообщение с требованием оплатить на МТС номер 89118147791 1200 р. х\з че делать
Огромное спасибо! Файл назывался набором цифр. Тел. мошенника +79675704103 просил 1000 р.
Спасибо, помогло.
В моём случае вместо файла ms.exe, был файл с названием состоящим из семи цифр. В автозапуске блокер маскировался под Opera. При более детальном рассмотрении, в описании были обнаружены те же семь цифр. Всё удалил, после перезагрузки работает норм. Кстати, окошко блокера на рабочем столе немного отличалось от представленного на скриншоте и просили 3000 р. )
Отличные советы, СУПЕР!!!!! У меня был указан номер: 89878693643, просили 500руб!!!!!!
Здравствуйте,у меня проблема тоже со этим баннером появилась….Решение тут описано конечн хорошее, но дело в том что я не могу войти в безопасный режим с поддержкой командной строки! компютер сразу перезагружается…НО могу войти в безопасный режим))Но баннер и там появляется!!!!как быть??
Сделал поиск по дате последних изменений в безопасном режиме, отсортировал по приложениям, подозрительный exe файл удалил… (Abc.exe) заработало
Файлов с цифрами (0.98865…6456) было 3 штуки
Локер с триколором +79139435916 просили 2000.
Благодарю за помощь! Получилось! Хорошая инструкция! У меня сработала с некоторыми отличиями: в пункте 7.1 для Windows XP не нашлось ни одного файла, который надо удалить. Потом при сканировании авастом нашлось 8 файлов с вирусами. Время переведено не было.
У меня сложнее.Требует 2000 через терминал оплаты сотовой, на № +79139164294. Диск C:\ где у меня Windows 7,блокер разделил на 2 диска. Первый диск емкостью 99,9 мб, из них занято 30 мб, блокер обозначил как «зарезервировано системой диск C:» Второй диск обозначил как D: (в нем практически находится все содержимое от диска C:). Я удалил ms.exe , а так же 3 файла в D:\Windows\system32\LogFiles\Scm\ совпадающие по дате блокировки.Проги по антиблокировке не работают.F8 тоже не работает.Не знаю как снова объединить диски в один.Сам я чайник.Подскажите что делать.
В Windows 7 действительно есть раздел зарезервированный системой, когда загрузишься нормально он будет скрыт, так что ничего оъединять не надо.
Получилось — номера 79139184291, 79139185127 просили 2000 р.
WINDOWS заблокирован 79138995772 в течение 12 часов оплатите 2000 руб. на Vista Home Premium все получилось и вебом еще 2 вируса нашла.
Ребят, на Windows 7 Starter делается все как на ХР.
Всё заработало!!! Хитропопый номер — 9879139485 просил ТЫСЯЧУ рубликов. Благодаря Вашей помощи-обломился.
Сработало! Однако в папке Roaming в своей Windows 7 Starter ничего не нашел. Проги для чистки автозапуска под рукой не оказалось, запустил штатный regedit и тупо нашел и удалил все записи (штуки 3) с участием ms.exe в юзерской папке. Спасибо!
У меня тоже самое, что и у Вас! Спасибо огромное! Один файл надо было удалить: около десяти цифр, с галочкой на папке. Всё снова заработало!) И я также не нашла в roaming НИЧЕГО.
Windows 7 -все получилось, файл вируса назывался набором цифр и в автозагрузке было еще около 4-5 процессов, завязанных на этот вирус. Номер 89138995914.
Огромное спасибо за помощь. Мне помогло все отлично. У меня windows 7 проделал процедуру до п. 5.2. файл находился в директории как приведено в п. 5.2 (для виндовс хр), напомню у меня виндовс 7. После удаления все пошло как по маслу). Номер который хотел поиметь денег — 79137762478. Желаю всем удачи.
У меня ХР в безопасном режиме загрузиться не удалось — рестартит. Помогло — зайти под другой учеткой, т.к. вирус сидит в папке юзера который его словил. А далее всё по пунктам!
Удалил файл ms.exe. Вымогали 900 руб. на тел. +79139511760. У моей коллеги аналогично файл ms.exe, 900 руб на тел. +79645813181
Не работает! Словил трояна с блокировкой командной строки на нетбуке…. пичалька! Кодов на него пока нет….
Такая же фигня. Вы еще не решили эту проблему?
Здрасти. у меня ничего не выходит. после выбора заблокированной вирусом ОС командная строка не появляется. А появляется синий экран,с текстом на английском, типа:ваш комп поразил вирус и еще что-то. Что делать подскажите?
Ничего не работает, при выборе любого другого режима комп просто рестартит и всё. Только общий режим загружается с этим долбаным окошком.
Самый тупой способ нашёл.
В ХР. 7 не тестил пока.
При загрузке системы тыкать ctrl+alt+del (примерно с того места, где мы F8 жмём).
Смысл: диспетчер задач вытащить до того, как оболочка какая-то загрузится. После него эксплорер, равно как и блокировщики все эти, тупо не загружаются.
Далее — лезем в msconfig, глядим название вируса, выпинываем его из реестра и тело покоим в корзине.
Не хнаю как вы, а я ничего не делала. Просто после пункта с командной строкой в безопасном режиме выполнила «восстановление системы» и он перезагрузился как ни в чем не бывало.
Зачем заходить в какие-то далекие папки и кого-то выискивать и удалять… Госпади) так это геморно
Проблема была именно такой как здесь описано, с небольшим отличием:№ 79179700360, сумма 1000 р.
Мои действия: открыл в безопасном режиме(через админскую учетку) поиск (у меня ХР), выбрал файлы и папки, последние изменения-сегодняшняя дата (т.к. словил сегодня), создан; доп.параметры:поиск в системных,поиск в скрытых, просмотр вложенных; имя файла .exe. Нашелся файл с названием 27KbNCC.exe, в свойствах на вкладке безопасность нашел строку с названием своей учетки и поставил галку на запрет полного доступа, применил и перезагрузил комп. Потом это окно больше не появлялось. Перезагружал раз 5, все было нормально.
p.s.
Располагался файлв: C:\documents and setting\имя моей учетки\local settings\Temp\
Производитель:TeamViewer GmbH
Версия:7.0.13989.0
Размер: примерно 88 Кб.
У меня 7-ка. Я сделала проще: зашла через безопасный режим в админскую учётку и решила сразу проверить все остальные учётки на наличие «темпов». Пошагово полностью удалила содержимое папок Temp в каждой из учёток, перезагрузилась — всё как обычно. Антивирус тоже ничего подозрительного после этого не обнаружил. На всякий случай путь к папкам:
C:/Users/имя моей учётки/AppData/local/Temp
Вирус сидел не в …/%имя_пользователя%, а далее в Local Setting/Temp.
Спасибо!
Большое спасибо. У меня 7-ка. Делал как у Вас расписано, Были некоторые отличия, в частности был только цифровой файл. Перезапустил все восстановилось. Ура.Низкий полон.
Огромное спасибо. Помогло. Только вирус «svchosts.exe» сидел здесь: C:\Documents and Settings\admin\Local Settings\Temp. В автозагрузке на всякий случай выключил qttask.exe SkyTel.exe
Всё не читал, не знаю описан ли такой способ…
Если комп в сети и доступен с других копмпов, то через regedit цепляем его реестр, там проверяем ключи Run и RunOnce
Если следы вируса есть, чистим. Далее цепляем диск компа на котором стоит система через $. Т.е. в пункте выполнить системного меню забиваем строку \\имя_компа\С$ — тут подразумевается что система стоит на С и папка Document and Settings лежит там же. Возможно появится запрос на ввод имени и пароля пользователя компа чей диск хотим подцепить. Далее — лазим по диску, убиваем всё подозрительное, что не желает убиваться — то переименовываем. Затем перезагружаемся и смотрим на результат. Если положительный эффект не достигнут — самое простое загрузиться с загрузочной болванки и почистить реестр, диски и т.п. и т.д.
Кстати, только что описанным выше способом замочил эту бяку гадскую. Только боюсь мы тут пишем, они читают и принимают контрмеры… сволочи…
Вирус модифицировали, пароль через «Безопасный режим с поддержкой командной строки» не принимает.
В других режимах принимает.
Автору спасибо большое! Выручил здорово! Это самое лучшое решение из всех вариантов. Очень понятен даже новичкам. Всем рекомендую! Не тратьте своё время на поиски кодов. У меня Windows 7 32bit решил поблему с одного раза. Ура! Ура! Ура! Еще раз спасибо!
Спасибо автору(ам), помогло!!! правда не совсем по пунктам получилось (у меня 7 винда), но даже я со своими женскими мозгами далекими от компьютера разобралась=))
P.S. требовали 2000 на номер 89879488701
Ура! Все заработало! у меня хр удалила как на семерке «ms.exe»:и все работает! Спасибо большое!
Большое спасибо, вроде получилось. Один пункт пришлось пропустить, потому как в папке Roaming никаких вирусных файлов не было, в остальном всё по сценарию. Виндус7, название вируса было «0.23075895116417533».
Сейчас осталась одна проблема — не открывается опера, но это, думаю, решаемо с помощью переустановки браузера.
За неделю второй раз подобная фигня. Первый раз вебом через безопасный режим отбился, а второй уже так не вышло. Сначала веб 3 файла удалил, думал все, перезагружаю и на тебе, тоже самое и в безопасном режиме. Только после соблюдения всех пунктов вышло. Только вот думаю, не удалил ли чего лишнего, т.к. в автозагрузках нашел еще подобные, но более древние следы, их тоже порубал «на всякий». Теперь вроде все в норме. Еще раз СПАСИБО!
Блин всё удалила. Респект и уважуха Вам.
Парни молодцы всё так понятно написали! С мобилки всё считала и перегрузила комп и о чудо всё ок и с экономила 900 руб.!
К стати эту дрянь скачала с прогой для принтера! Жаль не помню с какого сайта, а им бы полный пипец был. Если найду то везде выложу на этот сайт ссылкой и коментами, что бы обходили их стороной!
Проблема была и в папке windows и users. Хотел скачать книги к школе на планшет и тут выдает: 2000 положите на счет…
Спасибо Вам большое!!!
Вирус требовал 2000 рублей
Номер вымогателя: +79171528231
Система: XP
Как удалял:
1) Запустил Винду в безопасном режиме с поддержкой командной строки. Запустил explorer.exe
2) Удалил через regedit параметр HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\explorer. Потом стёр сам файл, на который этот параметр ссылался.
3) Перезагрузился. И всё OK!
Спасибо огромное! Как хорошо, что вы есть! Сын залез «в контакте» и перешел по указанной там ссылке. В результате windows заблокирован и просят 1000 рублей на счет билайн. Сделала все по вашей инструкции (правда, у меня xp, а я удалила ms.exe как для 7) и все получилось. Ура! Ура! Ура! И спасибо большое еще раз.
СПАСИБО! VirusFree!
Родственник с ноута (винда 7, лицензия домашняя версия) нарвался на винлок, с Вашей помощью быстро и непринужденно избавились от проблемы. Да, ваш способ самый простой из тех, что я перебрал!
Пишу данные о вирусе:
Просят перечислить 500р на номер +79170190353. Обвиняют во всех смертных грехах. Угрожают похоронить всю инфу и ноут в случае неуплаты таксы через 12 часов.
Название вирусного файла: 0.49731721845373145.ехе
версия файла: 4.7.0.1 размер: 54кб
в РЕЕСТРЕ прятался в файлах: SHELL, UIHost, Userinit
После чистки и перезагрузки антивирус сразу выловил при запуске ноута и удалил угрозу:
I Want This.dll — win32/toolbar.CrossRider
Люди, я позвоню в МТС и потребую блокировки номера, на который требуют перечислять деньги. Я так делаю всегда когда приходят подобные телефонные разводы. И вы, пожалуйста, не оставайтесь в стороне! Сообщайте оператору мобильных систем БАНДИТСКИЕ номера и просите их заблокировать!
Спасибо огромное. Вирус нашелся в C:\Documents and Setting\каталог пользователя\Application Data\
Удалил все файлы со свежей датой и расширением .exe, отключил его из Автозагрузки.
Все работает.
Спасибо! Помогло, номер вымогателя был — 79170189775.
А я все проще сделал.
Сразу оговорюсь, у меня Windows 7, как с другими системами работает, не знаю.
— запустил в безопасном режиме с поддержкой коммандной строки
— запустил msconfig
— теперь можно поотдельности запускать все сервисы. Мне понадобился только один — Восстановление системы
— выбрал последнюю точку (создаются автоматически). По стечению обстоятельств оказалась создана днем ранее появления вируса. Еще более ранняя за неделю до этого, тоже не критично
— ну и собственно восстановил систему. Как результат файлы вируса удалены, реестр почищен.
Все работает
Какая то эпидемия опять началась. Сегодня 2 часа бился над вымогателем. Подглядел приложение (zero1 ), загрузился с смд, explorer, msconfig, regedit… ничего не помогает. Вычистил автозагрузку просто под ноль, удалил этот zero1.exe из реестра, в перекопал всю application data на наличие левых экзешников, темпы почистил. И….ничего не произошло, окно так и висит на столе. С флешки пришлось грузить Win PE и прогонять avz, кюритом, ничего не помогло. К концу второго часа голова так распухла, что решено было создать нового пользователя и перетащить файлы + парочку профайлов из application data.
Во всех остальных случаях всегда помогал безопасный с командной строкой -> msconfig -> автозагрузка.
Огромное спасибо автору!!! Пытался своими силами подчистить с реестра но не получилось. Вирус цепляется только к тому пользователю под чьим аккаунтом он зашел. Даже в обычном безопасном режиме зайти под этим аккаунтом не удается, помогла только командная строка! После чистки реестра и удаления файлов вируса все заработало.
Аналогичный банер, описанным способом не лечился. Запустился в сейве с командной, запустил проводник, далее посмотрел автозагрузку (можно CCleaner-ом), нашел 2 левых записи (из папки Temp), убрал их, убрал ехе-шник из Temp-а (Not.exe). Все работает. А автору — респект, молодец 😉
Спасибо за инструкцию. У меня заблокировали учетную запись второго пользователя, я зашел с первой учётки (администратор), зашел в user/***/ и удалил exe файл. Потом прочистил autorun’ом. У меня был только один вирус — в Roaming папке ничего не было.
Спасибо огромное автору, невероятно выручили!! Единственное, что хочу добавить, выполнял указанные действия несколько раз, но помогло только когда выполнил пункт 5.1 и 5.2. У меня XP, ещё раз огромное спасибо.
А как скачать и запустить программу AutoRuns именно в тот момент, когда лечишь комп?
Лучше скачать и сохранить AutoRuns на флешку с другого компьютера, а при лечении подключить флешку и запустить с нее программу.
Спасибо, помогло, единственное не нашел второй файл. Прогнал антивирусом и вебом.
Спасибо, даже в деревне продвинулись с Вашей помощью.
скачивайте последнюю версию CureIT от Dr.web загружаетесь в безопасном режиме через F8, вставляете флешку с прогой в комп, копируете прогу на комп.Запускаете, делаете полную проверку системы. и будет вам счастье… Это для тех у кого описанные меры в этом посту — НЕ ПОМОГЛИ..!!! (P.S. найденные вирусы жел-но удалить.)
Все получилось. Спасибо!!! В папке AppData было два файла с названиями из чисел! За последнее время стал мастером по удалению подобных вирусов. Решил проверить, что же будет по истечению 12 часов… Ответ: НИЧЕГО!!!
Этот злосчастный баннер появился — 28 мая. Удалила все подозрительные файлы, загруженные в этот день. Баннер исчез с монитора, теперь черный экран, что делать — ума не приложу. Подскажите, может у кого-то так было?
Спасибо за помощь.
А всего-то нажал на рекламу «похудения», а загрузилось это дерьмо.
Огромное спасибо!!!! Дополнение к пункту 6: файл нашла по дате
Спасибо автору реально выручил….на ХП все тоже ….только второй файл не нашел (
Здравтвуйте.
У меня похожая проблема, но при запуске, когда нижимаю F8, у меня только 2 пункта: Обычная загрузка и загрузка с восстановлением докумкентов. Пользуюсь Windows 7 Professional.
И ещё, вирус вирусом, а через 12 часов правда всё сотрётся?
Заранее спасибо.
Дополнение к пункту 6: файл лежал не в папке Roaming, а в local/temp, но имя всё равно 6 символов, так что ищите получше!
Дополнение к пункту №6, «Имя файла вируса может быть другим». Да, место то, которое указано. Подсказка для поиска — смотрите время создания файла. Второго exe-файла со свежей датой у меня в этом месте не было.
Спасибо огромное!!! Чайник спас компьютер по этой инструкции!
Спасибо помогло!
View all comments