Algebra Biologiya Literatura Geometriya Geografiya Obj Fizika Ekonomika Istoriya Astronomiya Informatika

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

Автор: · Отзывов (53) 

Описание проблемы:

Очередной вирус-блокер, которому лаборатория Dr. Web присвоила порядковое название Trojan.Winlock.3784. Вирус блокирует рабочий стол Windows (перемещение мышки возможно только в пределах баннера) и выводит в центре экрана сообщение (белые буквы на сине-голубом фоне с кнопками для ввода кода):

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

«Windows заблокирован!

Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.

Для разблокировки Windows необходимо:
Пополнить номер абонента BeeLine: 89091574587 на сумму 500 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»

Номер телефона который просят пополнить злоумышленники может изменяться.  Известны следующие номера: 89179817221, 89179816432, 89873123680, 89179817228, 89179817233.

Методика удаления вируса-вымогателя:

Данный способ разблокировки рабочего стола Windows обобщает и дополняет варианты предположенные пользователями в комментариях к статьям. Способ можно использовать только в том случае, если при загрузке в безопасном режиме у Вас НЕ ПОЯВЛЯЕТСЯ баннер!

1 Начнем с того, что перезагрузим компьютер и зайдем в безопасный режим. При загрузке нажимаем клавишу «F8» и в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки»: При загрузке нажимаем клавишу "F8" и в появившемся меню выбираем строку "Безопасный режим с поддержкой командной строки"
2 Выбираем операционную систему для запуска и нажимаем клавишу «Enter». Как правило в списке одна ОС, если их несколько — выбираем верхнюю из списка. Выбираем операционную систему для запуска и нажимаем клавишу "Enter".
3 После процесса загрузки на экране появится окно командной строки. В окне «cmd.exe» пишем команду «regedit» и нажимаем клавишу «Enter«.Если не запускается «regedit» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. Окно командной строки "cmd.exe"
4 Должно открыться окно «Редактор реестра». Пишем "regedit" и нажимаем клавишу "Enter"
5 В окне «Редактор реестра» нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и найти параметр реестра «Shell». Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу. Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу.
6 Открываем параметр «Shell» кликая по нему и сохраняем куда-нибудь его значение — путь к вирусу нам еще пригодится. Открываем параметр "Shell" и сохраняем куда-нибудь его значение - путь к вирусу нам еще пригодится.
7 Исправляем значение параметра реестра «Shell» на «explorer.exe». Исправляем значение параметра реестра "Shell" на "explorer.exe".
8 В окне «Редактор реестра» переходим к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» находим и удаляем параметр «Shell» (Если он есть). Находим и удаляем параметр "Shell"
9 Закрываем окно «Редактор реестра». В окне командной строки «cmd.exe» пишем команду «taskmgr» и нажимаем клавишу «Enter«.Если не запускается «taskmgr» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. В окне командной строки "cmd.exe" пишем команду "taskmgr" и нажимаем клавишу "Enter".
10 В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Файл», затем, «Новая задача (Выполнить)».  В новь открывшемся окне, в выпадающее меню «Открыть» вставляем путь, который мы сохранили из параметра «Shell» и нажимаем кнопку «Обзор».
Находим исполняемый файл вируса.
11 Откроется диалоговое окно проводника «Обзор», находим и удаляем исполняемый файл вируса. Закрываем окно «Обзор».Некоторые вирусы могут иметь атрибут скрытый, поэтому будут сразу будут не видны для удаления.В таком случае удалить их можно из командной строки следующей коммандой:

del /a «путь, который скопировали из ключа Shell«

Находим и удаляем исполняемый файл вируса
12 Перезагружаемся. В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Завершение работы» -> «Перезагрузка». Перезагружаемся.

 

Отзывы

Оставьте Ваш Отзыв:

Отзывов (53) на “Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.”
  1. Миша:

    У меня комп не реагирует на нажатие кнопки F8 при перезагрузке, что делать?

  2. Дмитрий:

    Загрузил безопасный режим с командной строкой — запускаем explorer.exe в поиске набираем *.exe смотрим весь список программ, делаем выборку по дате изменения. Нашелся файл примерно 535353.exe в папке пользователя. Удалил. Всё ок!

  3. sania:

    В командной строке ввел explorer и вошел в безопасный режим. Сканировал комп. — вирусов нет. Вручную в папке пользователи нашел и удалил злополучный файл :-) Спасибо всем.

  4. Оля:

    Здравствуйте!
    У меня возникла подобная проблема.
    Хочу сделать акцент на том, что я самый чайниковый чайник в компьютерной сфере. Сразу же позвонила в специализированный центр, на что мне ответили «только переустановка с потерей всех данных», что было нежелательным для меня. Я из Якутска (Дальний Восток), может у нас еще не владеют методикой борьбы с данными вирусами. И вот я полезла шерстить интернет. Нашла Ваш сайт и, следовав каждому Вашему пункту, смогла справится без помощи специалистов.
    Поэтому, лично от меня Вам ОГРОМНОЕ СПАСИБО за такую пошаговую инструкцию. Если даже я смогла, то другие на «раз-два» смогут. Еще раз спасибо!!! Оля.

  5. Слава:

    Спасибо! Ваше описание устранения помогло избавиться от вируса. Правда в реестре Shell у меня не было ни какого пути, было просто написано Exsplorer.exe, обращаю внимание с большой буквы, а необходимо с маленькой explorer.exe. СПАСИБО!!!

  6. Рим:

    Чтобы быстро найти «ms.exe» в безопасном режиме юзайте «Поиск». Укажите временной диапазон поиска равный дате заражения. По времени видно, какие файлы были недавно созданы, в том числе и ехе файлы.

  7. Антон:

    Спасибо вам! Файл вируса был не в Shеll, по совету участников форума воспользовался поисковиком, зайдя через безопасный режим. Файл ms.exe не был найден, но я задал искать просто «0.» нашелся файл 0. и много цифр, как говорилось на форуме, посмотрел дату и время создания и изменения, они примерно совпадали с моментом обнаружения проблемы. Снес (просто удалил) этот файл, и все заработало))) Спасибо!

    • Денис:

      У меня был файл Explorer.exe вместо explorer.exe? т.е с большой буквы.
      Файл был старый — 4-х месячной давности — снес — все заработало!




Выразите свое мнение

Скажите нам, что вы думаете...