Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.
Описание проблемы:
Очередной вирус-блокер, которому лаборатория Dr. Web присвоила порядковое название Trojan.Winlock.3784. Вирус блокирует рабочий стол Windows (перемещение мышки возможно только в пределах баннера) и выводит в центре экрана сообщение (белые буквы на сине-голубом фоне с кнопками для ввода кода):
«Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента BeeLine: 89091574587 на сумму 500 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»
Номер телефона который просят пополнить злоумышленники может изменяться. Известны следующие номера: 89179817221, 89179816432, 89873123680, 89179817228, 89179817233.
Методика удаления вируса-вымогателя:
Данный способ разблокировки рабочего стола Windows обобщает и дополняет варианты предположенные пользователями в комментариях к статьям. Способ можно использовать только в том случае, если при загрузке в безопасном режиме у Вас НЕ ПОЯВЛЯЕТСЯ баннер!
1 |
Начнем с того, что перезагрузим компьютер и зайдем в безопасный режим. При загрузке нажимаем клавишу «F8» и в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки»: |
|
2 |
Выбираем операционную систему для запуска и нажимаем клавишу «Enter». Как правило в списке одна ОС, если их несколько — выбираем верхнюю из списка. |
|
3 |
После процесса загрузки на экране появится окно командной строки. В окне «cmd.exe» пишем команду «regedit» и нажимаем клавишу «Enter«.Если не запускается «regedit» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. |
|
4 |
Должно открыться окно «Редактор реестра». |
|
5 |
В окне «Редактор реестра» нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и найти параметр реестра «Shell». Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу. |
|
6 |
Открываем параметр «Shell» кликая по нему и сохраняем куда-нибудь его значение — путь к вирусу нам еще пригодится. |
|
7 |
Исправляем значение параметра реестра «Shell» на «explorer.exe». |
|
8 |
В окне «Редактор реестра» переходим к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» находим и удаляем параметр «Shell» (Если он есть). |
|
9 |
Закрываем окно «Редактор реестра». В окне командной строки «cmd.exe» пишем команду «taskmgr» и нажимаем клавишу «Enter«.Если не запускается «taskmgr» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. |
|
10 |
В главном меню окна «Диспетчер задач Windows», выбираем пункт «Файл», затем, «Новая задача (Выполнить)». В новь открывшемся окне, в выпадающее меню «Открыть» вставляем путь, который мы сохранили из параметра «Shell» и нажимаем кнопку «Обзор».
|
|
11 |
Откроется диалоговое окно проводника «Обзор», находим и удаляем исполняемый файл вируса. Закрываем окно «Обзор».Некоторые вирусы могут иметь атрибут скрытый, поэтому будут сразу будут не видны для удаления.В таком случае удалить их можно из командной строки следующей коммандой:
del /a «путь, который скопировали из ключа Shell«
|
|
12 |
Перезагружаемся. В главном меню окна «Диспетчер задач Windows», выбираем пункт «Завершение работы» -> «Перезагрузка». |
|
(Visited 277 357 times, 1 visits today)
Оставьте Ваш Отзыв:
Отзывов (53) на “Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.”В реестре Shell не затронут, файл лежал в папке пользователя 0.53(…много циферок…).exe
Огромное спасибо всем, всем, всем. Наконец то и я нашла этот вирус в папке пользователя — ms.exe. В реестре у меня было все нормально и только прочитав комментарии смогла его обнаружить.
А может создателям вирусов и принадлежит этот сайт? ) Чисто для мониторинга того как усваивает народ новые способы маскировки вирусов )) Ведь тут же все на деньгах повязано а?
Владелец сайта — системный администратор, который бесплатно выкладывает свой опыт борьбы с вирусами. Своим опытом могут бескорыстно поделиться все желающие. Дело борьбы с вирусами — дело коллективное. Присоединяйтесь!
Данная инфа сильно устарела!! Хакеры умнее стали. В моем случае висит табличка про 2000 рублей и с номером МТС. Ни один из здешних способов НЕ работает! Все ключевые файлы и ключи реестра к ним в порядке. Источник AVATAR(чегототам непомню).mp3.exe удален утилитой Dr.Web curit. Полное сканирование винчестера ничего не дало. Что делать ума не приложу..
Всем привет! Огромное спасибо за качественное и тщательное объяснение как избавиться от этой проблемы! Спасибо! Очень помогло! У меня вирус сидел в: С:\TEMP\wgsdgsdgdsgsd.exe
Оказывается можно подхватить вирус, когда ищешь сведения о православных старцах!!! И просят уже 2 тыс. на МТС 8-913-911-56-35. Пришлось МТСу сообщить о затейниках, затем перелопатить интернет, попробовать несколько способов. А самые простые и доходчивые оказались на этом сайте. Спасибо большое всем! Прочитала все советы, применила и все получилось. Мой сюрприз был — nPQHnpp.exe. Всем успехов в борьбе с вирусами! ))))
Тоже попался. Не грузился обычный безопасный режим. Зашёл с командной строкой, ввёл explorer и уже через пуск нашёл его в папке с именем пользователя, назывался также ms!
ЗАПОМНИТЕ ДАТУ И ВРЕМЯ ПРОИШЕСТВИЯ!!!!!
Поменял дату на 2013 год и потом в безопасном режиме просто отсортировал всё по последним изменениям.
Файл нашелся через 5 минут.
Причем в отличии от хакеров дебилов,которые называют свои файлы 30-ти значными именами — мой назывался просто и лаконично ms.exe
Я блин даже не поверил сначала,что это он,но время и дата совпадали,в итоге удалил И ИСЧЕЗЛА ЭТА СРАНЬ С МОЕГО НОУТА!!!!!)))))
Спасибо Владимиру за подсказку!
По приведённой выше инструкции написал в редакторе реестров, как и положено, explorer.exe, но не спасло. В безопасном, шарясь по машине, забрался в Пользователи\имярек и там оказался тот самый ms.exe!!! Значок у данного файла в виде диска. Удалил, после ресета система завелась!
Помогло, но я сделал проще — ввел в поиске ms.exe, нашел и удалил его.
Зашла в безопасном режиме, нашла через поиск ms.exe и НАЖАЛА на него. Теперь у меня и безопасный режим не работает!!!!!!! как быть?????? помогите!!!!
Мне помогла информация Владимира. Зашел в безопасном режиме под учётной записью администратора. Запустил поиск файла ms.exe. Нашел в папке пользователя, убил! Всё заработало
Моя ошибка изначально в том, что я не обновлял антивирус, забил, вот результат… В общем как я нашел вирус: обновил антивирус (клава работала, а мышь нет, так вот я с помощью клавы вылез в инет, ввел нов ключ для антивируса). Нод32 сразу же его нашел, но справиться с ним не смог. Зато указал где эта тварь поселилась: c:\users\пользователь\AppData\Roaming\87.exe и taskhm.exe.
Перепробовала все только эта инфа помогла. Просили уже 2 тысячи, как только пробилась в папку пользователи сразу его увидела — назывался 0. и много цифр. Снесла его и все нормализовалось. Спасибо.
Вот с мобилы к вам зашёл. Управился за 5 минут. Спасибо большое за ваш труд!
Мой друган прицепил троян, видно свежий, бился я с ним несколько часов, а самое интересное, что все, что описано в сайтах, не помогает, вирус не определяется ни где. Помог доктор веб, CUREIT. Зашел в безопасный режим компа, при загрузки нажимал F8, скачал на флешку CUREIT, перекинул на рабочий стол и открыл, а дальше он все сам сделал, спасибо производителям, хотелось бы пожать руку, сохранил все документы. И друган рад. Телефон козла +79879277651, троян вписывается в c:\documents and settings\9000935301761287.exe. Удачи.
А мне лень делать как тут написано, но все верно! Я беру Erd commander и в Auto runs удаляю все лишнее и все работает, потом антивирусом чищу все остатки. Но все равно спасибо этот способ мне тоже помогал не раз!
Огромное спасибо за помощь в разблокировке системы . Только на вашем сайте самая актуальная информация о вирусах . Успехов в вашем благородном деле !
ЕВГЕНИЙ, СПАСИБО. ВАШ СПОСОБ ТОЛЬКО И ПОМОГ.
View all comments