Algebra Biologiya Literatura Geometriya Geografiya Obj Fizika Ekonomika Istoriya Astronomiya Informatika

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

Автор: · Отзывов (53) 

(Visited 277 358 times, 1 visits today)

Описание проблемы:

Очередной вирус-блокер, которому лаборатория Dr. Web присвоила порядковое название Trojan.Winlock.3784. Вирус блокирует рабочий стол Windows (перемещение мышки возможно только в пределах баннера) и выводит в центре экрана сообщение (белые буквы на сине-голубом фоне с кнопками для ввода кода):

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

«Windows заблокирован!

Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.

Для разблокировки Windows необходимо:
Пополнить номер абонента BeeLine: 89091574587 на сумму 500 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»

Номер телефона который просят пополнить злоумышленники может изменяться.  Известны следующие номера: 89179817221, 89179816432, 89873123680, 89179817228, 89179817233.

Методика удаления вируса-вымогателя:

Данный способ разблокировки рабочего стола Windows обобщает и дополняет варианты предположенные пользователями в комментариях к статьям. Способ можно использовать только в том случае, если при загрузке в безопасном режиме у Вас НЕ ПОЯВЛЯЕТСЯ баннер!

1 Начнем с того, что перезагрузим компьютер и зайдем в безопасный режим. При загрузке нажимаем клавишу «F8» и в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки»: При загрузке нажимаем клавишу "F8" и в появившемся меню выбираем строку "Безопасный режим с поддержкой командной строки"
2 Выбираем операционную систему для запуска и нажимаем клавишу «Enter». Как правило в списке одна ОС, если их несколько — выбираем верхнюю из списка. Выбираем операционную систему для запуска и нажимаем клавишу "Enter".
3 После процесса загрузки на экране появится окно командной строки. В окне «cmd.exe» пишем команду «regedit» и нажимаем клавишу «Enter«.Если не запускается «regedit» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. Окно командной строки "cmd.exe"
4 Должно открыться окно «Редактор реестра». Пишем "regedit" и нажимаем клавишу "Enter"
5 В окне «Редактор реестра» нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и найти параметр реестра «Shell». Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу. Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу.
6 Открываем параметр «Shell» кликая по нему и сохраняем куда-нибудь его значение — путь к вирусу нам еще пригодится. Открываем параметр "Shell" и сохраняем куда-нибудь его значение - путь к вирусу нам еще пригодится.
7 Исправляем значение параметра реестра «Shell» на «explorer.exe». Исправляем значение параметра реестра "Shell" на "explorer.exe".
8 В окне «Редактор реестра» переходим к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» находим и удаляем параметр «Shell» (Если он есть). Находим и удаляем параметр "Shell"
9 Закрываем окно «Редактор реестра». В окне командной строки «cmd.exe» пишем команду «taskmgr» и нажимаем клавишу «Enter«.Если не запускается «taskmgr» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. В окне командной строки "cmd.exe" пишем команду "taskmgr" и нажимаем клавишу "Enter".
10 В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Файл», затем, «Новая задача (Выполнить)».  В новь открывшемся окне, в выпадающее меню «Открыть» вставляем путь, который мы сохранили из параметра «Shell» и нажимаем кнопку «Обзор».
Находим исполняемый файл вируса.
11 Откроется диалоговое окно проводника «Обзор», находим и удаляем исполняемый файл вируса. Закрываем окно «Обзор».Некоторые вирусы могут иметь атрибут скрытый, поэтому будут сразу будут не видны для удаления.В таком случае удалить их можно из командной строки следующей коммандой:

del /a «путь, который скопировали из ключа Shell«

Находим и удаляем исполняемый файл вируса
12 Перезагружаемся. В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Завершение работы» -> «Перезагрузка». Перезагружаемся.

 

(Visited 277 358 times, 1 visits today)

Отзывы

Оставьте Ваш Отзыв:

Отзывов (53) на “Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.”
  1. Миша:

    У меня комп не реагирует на нажатие кнопки F8 при перезагрузке, что делать?

  2. Дмитрий:

    Загрузил безопасный режим с командной строкой — запускаем explorer.exe в поиске набираем *.exe смотрим весь список программ, делаем выборку по дате изменения. Нашелся файл примерно 535353.exe в папке пользователя. Удалил. Всё ок!

  3. sania:

    В командной строке ввел explorer и вошел в безопасный режим. Сканировал комп. — вирусов нет. Вручную в папке пользователи нашел и удалил злополучный файл :-) Спасибо всем.

  4. Оля:

    Здравствуйте!
    У меня возникла подобная проблема.
    Хочу сделать акцент на том, что я самый чайниковый чайник в компьютерной сфере. Сразу же позвонила в специализированный центр, на что мне ответили «только переустановка с потерей всех данных», что было нежелательным для меня. Я из Якутска (Дальний Восток), может у нас еще не владеют методикой борьбы с данными вирусами. И вот я полезла шерстить интернет. Нашла Ваш сайт и, следовав каждому Вашему пункту, смогла справится без помощи специалистов.
    Поэтому, лично от меня Вам ОГРОМНОЕ СПАСИБО за такую пошаговую инструкцию. Если даже я смогла, то другие на «раз-два» смогут. Еще раз спасибо!!! Оля.

  5. Слава:

    Спасибо! Ваше описание устранения помогло избавиться от вируса. Правда в реестре Shell у меня не было ни какого пути, было просто написано Exsplorer.exe, обращаю внимание с большой буквы, а необходимо с маленькой explorer.exe. СПАСИБО!!!

  6. Рим:

    Чтобы быстро найти «ms.exe» в безопасном режиме юзайте «Поиск». Укажите временной диапазон поиска равный дате заражения. По времени видно, какие файлы были недавно созданы, в том числе и ехе файлы.

  7. Антон:

    Спасибо вам! Файл вируса был не в Shеll, по совету участников форума воспользовался поисковиком, зайдя через безопасный режим. Файл ms.exe не был найден, но я задал искать просто «0.» нашелся файл 0. и много цифр, как говорилось на форуме, посмотрел дату и время создания и изменения, они примерно совпадали с моментом обнаружения проблемы. Снес (просто удалил) этот файл, и все заработало))) Спасибо!

    • Денис:

      У меня был файл Explorer.exe вместо explorer.exe? т.е с большой буквы.
      Файл был старый — 4-х месячной давности — снес — все заработало!

  8. KEZ:

    В реестре Shell не затронут, файл лежал в папке пользователя 0.53(…много циферок…).exe

  9. Анна:

    Огромное спасибо всем, всем, всем. Наконец то и я нашла этот вирус в папке пользователя — ms.exe. В реестре у меня было все нормально и только прочитав комментарии смогла его обнаружить.

  10. Михаил:

    А может создателям вирусов и принадлежит этот сайт? ) Чисто для мониторинга того как усваивает народ новые способы маскировки вирусов )) Ведь тут же все на деньгах повязано а?

    • VirusFree:

      Владелец сайта — системный администратор, который бесплатно выкладывает свой опыт борьбы с вирусами. Своим опытом могут бескорыстно поделиться все желающие. Дело борьбы с вирусами — дело коллективное. Присоединяйтесь!

  11. Михаил:

    Данная инфа сильно устарела!! Хакеры умнее стали. В моем случае висит табличка про 2000 рублей и с номером МТС. Ни один из здешних способов НЕ работает! Все ключевые файлы и ключи реестра к ним в порядке. Источник AVATAR(чегототам непомню).mp3.exe удален утилитой Dr.Web curit. Полное сканирование винчестера ничего не дало. Что делать ума не приложу..

  12. Николай:

    Всем привет! Огромное спасибо за качественное и тщательное объяснение как избавиться от этой проблемы! Спасибо! Очень помогло! У меня вирус сидел в: С:\TEMP\wgsdgsdgdsgsd.exe

  13. Алла:

    Оказывается можно подхватить вирус, когда ищешь сведения о православных старцах!!! И просят уже 2 тыс. на МТС 8-913-911-56-35. Пришлось МТСу сообщить о затейниках, затем перелопатить интернет, попробовать несколько способов. А самые простые и доходчивые оказались на этом сайте. Спасибо большое всем! Прочитала все советы, применила и все получилось. Мой сюрприз был — nPQHnpp.exe. Всем успехов в борьбе с вирусами! ))))

  14. alex:

    Тоже попался. Не грузился обычный безопасный режим. Зашёл с командной строкой, ввёл explorer и уже через пуск нашёл его в папке с именем пользователя, назывался также ms!

  15. Владимир:

    ЗАПОМНИТЕ ДАТУ И ВРЕМЯ ПРОИШЕСТВИЯ!!!!!
    Поменял дату на 2013 год и потом в безопасном режиме просто отсортировал всё по последним изменениям.
    Файл нашелся через 5 минут.
    Причем в отличии от хакеров дебилов,которые называют свои файлы 30-ти значными именами — мой назывался просто и лаконично ms.exe
    Я блин даже не поверил сначала,что это он,но время и дата совпадали,в итоге удалил И ИСЧЕЗЛА ЭТА СРАНЬ С МОЕГО НОУТА!!!!!)))))

    • Михаил:

      Спасибо Владимиру за подсказку!
      По приведённой выше инструкции написал в редакторе реестров, как и положено, explorer.exe, но не спасло. В безопасном, шарясь по машине, забрался в Пользователи\имярек и там оказался тот самый ms.exe!!! Значок у данного файла в виде диска. Удалил, после ресета система завелась!

      • денис:

        Помогло, но я сделал проще — ввел в поиске ms.exe, нашел и удалил его.

        • Аня:

          Зашла в безопасном режиме, нашла через поиск ms.exe и НАЖАЛА на него. Теперь у меня и безопасный режим не работает!!!!!!! как быть?????? помогите!!!!

    • Андрей:

      Мне помогла информация Владимира. Зашел в безопасном режиме под учётной записью администратора. Запустил поиск файла ms.exe. Нашел в папке пользователя, убил! Всё заработало :)

  16. Пашка:

    Моя ошибка изначально в том, что я не обновлял антивирус, забил, вот результат… В общем как я нашел вирус: обновил антивирус (клава работала, а мышь нет, так вот я с помощью клавы вылез в инет, ввел нов ключ для антивируса). Нод32 сразу же его нашел, но справиться с ним не смог. Зато указал где эта тварь поселилась: c:\users\пользователь\AppData\Roaming\87.exe и taskhm.exe.

  17. Лилия:

    Перепробовала все только эта инфа помогла. Просили уже 2 тысячи, как только пробилась в папку пользователи сразу его увидела — назывался 0. и много цифр. Снесла его и все нормализовалось. Спасибо.

  18. Мастер:

    Вот с мобилы к вам зашёл. Управился за 5 минут. Спасибо большое за ваш труд!

  19. Сергей:

    Мой друган прицепил троян, видно свежий, бился я с ним несколько часов, а самое интересное, что все, что описано в сайтах, не помогает, вирус не определяется ни где. Помог доктор веб, CUREIT. Зашел в безопасный режим компа, при загрузки нажимал F8, скачал на флешку CUREIT, перекинул на рабочий стол и открыл, а дальше он все сам сделал, спасибо производителям, хотелось бы пожать руку, сохранил все документы. И друган рад. Телефон козла +79879277651, троян вписывается в c:\documents and settings\9000935301761287.exe. Удачи.

  20. Андрей:

    А мне лень делать как тут написано, но все верно! Я беру Erd commander и в Auto runs удаляю все лишнее и все работает, потом антивирусом чищу все остатки. Но все равно спасибо этот способ мне тоже помогал не раз!

  21. Олег:

    Огромное спасибо за помощь в разблокировке системы . Только на вашем сайте самая актуальная информация о вирусах . Успехов в вашем благородном деле !

  22. ЕКАТЕРИНА:

    ЕВГЕНИЙ, СПАСИБО. ВАШ СПОСОБ ТОЛЬКО И ПОМОГ.

  23. Azaliya:

    Спасибо большое. Уже кучу сайтов перечитала, чего только не делала, ничего не помогало. По вашим инструкциям действовала и все получилось исправить. Разблокировано!!! Правда у меня в shell было все правильно выставлено, не указан адрес вируса, но когда открыла обзор он там сидел и ждал меня, куча циферок в названии, экзешный файл. Мне такой не нужен. Такую заразу ни себе повторно ни кому другому не пожелаю точно ))).

  24. Маша:

    Большое спасибо за помощь. Только здесь нашла доступное решение проблемы.

  25. Макс:

    Спасибо большое удалил эту гадость редкостную с вашей помощью.Еще раз огромное спасибо!!!!

  26. Алик:

    Тоже поймал такую заразу
    она просит 1000 на +79831240210
    Вошел тоже через F8 безопасный режим с поддержкой командной строки и вызвал rstrui.exe восстановление системы
    и проблемы кончились.

  27. Дмитрий:

    Здравствуйте друзья, у меня случай немного тяжелее.
    При входе в безопасный режим или в любой другой режим кроме «обычной загрузки» выходит синий экран. Что делать ума не приложу…

    • Роза:

      Дмитрий у меня тоже такая ситуация. Выскакивает синий экран.Подскажите, что вы делали.

  28. Евгений:

    У меня заблокировало компьютер. Сидел думал что делать, ничего не помогало, но тут вспомнил что у меня есть второй ноутбук, залез через него в интернет, пошарил по сайтам и наткнулся на этот пост, почитал комментарии, почитал что да и как нужно сделать. При загрузке компа нажимал на F8, потом выбрал
    «Безопасный режим с поддержкой командной строки» затем открылся cmd.exe, потом в cmd.exe ввёл explorer и нажал на enter, открылось что то наподобие рабочего стола ,затем нажал на пуск и там ввёл «Востановление системы» ну и дальше следовал инструкциям, затем подождал немного и ВО-ЛЯ — мы зашли. Далее нашёл вирус и удалил его.

  29. Сергей:

    Спасибо за инфу)))) помогло!!!
    Сделал загрузку в «Безопасный режим с поддержкой командной строки» потом в окне командной строки «cmd.exe» написал команду «taskmgr» и нажал клавишу «Enter« потом нажал новая задача выполнить explorer и «Enter« появился рабочий стол зашел в мой компьютер локальный диск «С» пользоватили там папка с моим именем или названием компьютера и там был тот самый вирус весит 50к зашифрованый просто на него правой кнопкой мышки удалить очистил карзину перезагрузил комп и всёёёёё прошлоо )))))))))))))

  30. Сергей:

    В компе не силён. Сделал всё как рекомендовано и всё получилось. Огромное спасибо.

  31. Ислам:

    Самый простой способ: при загрузке компьютера нажать несколько раз F8 для выхода в безопасный режим. Затем выбирайте «Безопасный режим с поддержкой командной строки» и заходите. Далее набирайте команду explorer и нажимайте enter, открылся рабочий стол. Заходите в меню ПУСК, ПАНЕЛЬ УПРАВЛЕНИЯ, Восстановление системы (выбирайте дату до заражения) и восстанавливайте. Перезагружайте, очистите антивирусом и ВСЕ!!! удачи

  32. Андрей:

    Отличный сайт :-) просто супер. Сделал так как написано в статье и в течении 10-15 минут баннера как и не было. Огромное спасибо!!!

  33. Виктор:

    здравствуйте. поймал такой же баннер, почти такой, различие в том что номер был мтс и немного другое оформление…
    Словом он скрывал вес рабочий сто и оставлял только свое окно и заставку на рабочем столе. мышка была активна только в окне баннера, но комп отвечал на запросы с клавиатуры, открывал окна, опять же за баннером, кстати диспетчер задач вызывался но сразу исчезал(он то мне и помог сейчас расскажу).
    Я пробовал сделать как сказано на данном сайте, но в папке нужной нам был правильный путь указан… я было уже отчаялся, но меня осенило! у меня две учетных записи: админ и юзер, а в тот злополучный день я выходил с юзера… вот это меня и спасло) Я когда вылетел баннер ничего не мог ему сделать, но с досады начал вызывать диспетчер много раз подряд, и в мигающем окне увидел что запущена задача с длинным корявым названием, там были буквы цифры… я решил зайти с админа и это получилось, баннер в админе не вылетал, я нашел через документы папку юзер открыл ее и сразу же увидел ехе файл с таким же корявым названием, его я удалил, очистил корзину (делал я все через тотал и просто нажал шифт +дел) перезагрузил комп и зашел в юзера и все прекрасно!
    был рад)

  34. Прасковья:

    Сутки искала — как и что…
    И лучше ВАШЕЙ инструкции , для меня -66 летней бабушки — не нашлось ничего….СПАСИБО….
    Я проверяла в реестре лишние записи Winlogon ,
    вот их я и удаляла…Боялась в реестре копаться, но…..пронесло, я так думаю….
    У меня был файл 124kkk290347.exe
    C:\Users\….\AppData\Losal\Temp\124kkk290347.exe
    И вовсе не обязательно ходить на сайты для взрослых, чтобы поймать эту гадость..
    P.S. был номер 7 9133879717 и просят уже 1000 руб…
    Вот как им объяснить, что не фиг лезть к инвалидам….
    Паразиты…

  35. Константин:

    Ну вообщем догулялся я по сайтам для взрослых… зацепил этот баннер на синем фоне который не дает двигать мышкой далее своих границ и просит 500 рублей на 79688372721 — точной ссылки не нашел на раскодировку — перепробовал много способов, но не юзал проги от каспера и вебера — не дошел до них.
    Все делал по вышеуказанной инструкции, правда Shell путь у меня имел и без того explorer.exe и соответственно удалять в Обзоре было непонятно что, но отыскал недавно запущенные exe файлы от этих Кзл….ов вымогателей, а в открывшемся Диспетчер задач я завершил все действующие приложения и перезагрузился — УРААААААААААААААААААА згинул проклятый баннер — срочно ставлю антивирусник на проверку системы. Целых 4 часа не мог побороть эту заразу.

    • Женя:

      Константин, а как найти эти «недавно запущенные exe файлы от этих Кзл….ов вымогателей»? спасите чайника(

      • Эд:

        А я проще сделал: в командной строке написал explorer, нажал enter, открылся рабочий стол, убрал все каки антивирусом, перезагрузился и вуаля, компик воскрес =^_^=

        • Александр:

          ЭД огромное спасибо! всё получилось отлично! Большое человеческое спасибо!!!

        • Артур:

          Именно этот способ и помог. Написал explorer, нажал enter, открылся рабочий стол, убрал последние загрузки и все.

  36. Алексей Ж:

    Спасибо огромное, я был уже в отчаяние, но после прочтения и ознакомления со статьёй я сделал также… и у меня получилось, из этого я сделал вывод и попробовал кое-что новое, применимое в моём случае) Спасибо!)

  37. Sasha:

    Спасибо! Очень полезная статья! Сразу и без проблем избавился от вируса!!!

    • цу:

      лучше напишите как наказать этих ублюдков, кто знает программу для рассылки смс спама?

      • гидра:

        Да они и так себя наказали. Голова есть, работы нет, отвовсюду гонят как плохих людей.




Выразите свое мнение

Скажите нам, что вы думаете...