Algebra Biologiya Literatura Geometriya Geografiya Obj Fizika Ekonomika Istoriya Astronomiya Informatika

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

Автор: · Отзывов (53) 

(Visited 277 357 times, 1 visits today)

Описание проблемы:

Очередной вирус-блокер, которому лаборатория Dr. Web присвоила порядковое название Trojan.Winlock.3784. Вирус блокирует рабочий стол Windows (перемещение мышки возможно только в пределах баннера) и выводит в центре экрана сообщение (белые буквы на сине-голубом фоне с кнопками для ввода кода):

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

«Windows заблокирован!

Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.

Для разблокировки Windows необходимо:
Пополнить номер абонента BeeLine: 89091574587 на сумму 500 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»

Номер телефона который просят пополнить злоумышленники может изменяться.  Известны следующие номера: 89179817221, 89179816432, 89873123680, 89179817228, 89179817233.

Методика удаления вируса-вымогателя:

Данный способ разблокировки рабочего стола Windows обобщает и дополняет варианты предположенные пользователями в комментариях к статьям. Способ можно использовать только в том случае, если при загрузке в безопасном режиме у Вас НЕ ПОЯВЛЯЕТСЯ баннер!

1 Начнем с того, что перезагрузим компьютер и зайдем в безопасный режим. При загрузке нажимаем клавишу «F8» и в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки»: При загрузке нажимаем клавишу "F8" и в появившемся меню выбираем строку "Безопасный режим с поддержкой командной строки"
2 Выбираем операционную систему для запуска и нажимаем клавишу «Enter». Как правило в списке одна ОС, если их несколько — выбираем верхнюю из списка. Выбираем операционную систему для запуска и нажимаем клавишу "Enter".
3 После процесса загрузки на экране появится окно командной строки. В окне «cmd.exe» пишем команду «regedit» и нажимаем клавишу «Enter«.Если не запускается «regedit» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. Окно командной строки "cmd.exe"
4 Должно открыться окно «Редактор реестра». Пишем "regedit" и нажимаем клавишу "Enter"
5 В окне «Редактор реестра» нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и найти параметр реестра «Shell». Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу. Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу.
6 Открываем параметр «Shell» кликая по нему и сохраняем куда-нибудь его значение — путь к вирусу нам еще пригодится. Открываем параметр "Shell" и сохраняем куда-нибудь его значение - путь к вирусу нам еще пригодится.
7 Исправляем значение параметра реестра «Shell» на «explorer.exe». Исправляем значение параметра реестра "Shell" на "explorer.exe".
8 В окне «Редактор реестра» переходим к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» находим и удаляем параметр «Shell» (Если он есть). Находим и удаляем параметр "Shell"
9 Закрываем окно «Редактор реестра». В окне командной строки «cmd.exe» пишем команду «taskmgr» и нажимаем клавишу «Enter«.Если не запускается «taskmgr» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«. В окне командной строки "cmd.exe" пишем команду "taskmgr" и нажимаем клавишу "Enter".
10 В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Файл», затем, «Новая задача (Выполнить)».  В новь открывшемся окне, в выпадающее меню «Открыть» вставляем путь, который мы сохранили из параметра «Shell» и нажимаем кнопку «Обзор».
Находим исполняемый файл вируса.
11 Откроется диалоговое окно проводника «Обзор», находим и удаляем исполняемый файл вируса. Закрываем окно «Обзор».Некоторые вирусы могут иметь атрибут скрытый, поэтому будут сразу будут не видны для удаления.В таком случае удалить их можно из командной строки следующей коммандой:

del /a «путь, который скопировали из ключа Shell«

Находим и удаляем исполняемый файл вируса
12 Перезагружаемся. В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Завершение работы» -> «Перезагрузка». Перезагружаемся.

 

(Visited 277 357 times, 1 visits today)

Отзывы

Оставьте Ваш Отзыв:

Отзывов (53) на “Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.”
  1. KEZ:

    В реестре Shell не затронут, файл лежал в папке пользователя 0.53(…много циферок…).exe

  2. Анна:

    Огромное спасибо всем, всем, всем. Наконец то и я нашла этот вирус в папке пользователя — ms.exe. В реестре у меня было все нормально и только прочитав комментарии смогла его обнаружить.

  3. Михаил:

    А может создателям вирусов и принадлежит этот сайт? ) Чисто для мониторинга того как усваивает народ новые способы маскировки вирусов )) Ведь тут же все на деньгах повязано а?

    • VirusFree:

      Владелец сайта — системный администратор, который бесплатно выкладывает свой опыт борьбы с вирусами. Своим опытом могут бескорыстно поделиться все желающие. Дело борьбы с вирусами — дело коллективное. Присоединяйтесь!

  4. Михаил:

    Данная инфа сильно устарела!! Хакеры умнее стали. В моем случае висит табличка про 2000 рублей и с номером МТС. Ни один из здешних способов НЕ работает! Все ключевые файлы и ключи реестра к ним в порядке. Источник AVATAR(чегототам непомню).mp3.exe удален утилитой Dr.Web curit. Полное сканирование винчестера ничего не дало. Что делать ума не приложу..

  5. Николай:

    Всем привет! Огромное спасибо за качественное и тщательное объяснение как избавиться от этой проблемы! Спасибо! Очень помогло! У меня вирус сидел в: С:\TEMP\wgsdgsdgdsgsd.exe

  6. Алла:

    Оказывается можно подхватить вирус, когда ищешь сведения о православных старцах!!! И просят уже 2 тыс. на МТС 8-913-911-56-35. Пришлось МТСу сообщить о затейниках, затем перелопатить интернет, попробовать несколько способов. А самые простые и доходчивые оказались на этом сайте. Спасибо большое всем! Прочитала все советы, применила и все получилось. Мой сюрприз был — nPQHnpp.exe. Всем успехов в борьбе с вирусами! ))))

  7. alex:

    Тоже попался. Не грузился обычный безопасный режим. Зашёл с командной строкой, ввёл explorer и уже через пуск нашёл его в папке с именем пользователя, назывался также ms!

  8. Владимир:

    ЗАПОМНИТЕ ДАТУ И ВРЕМЯ ПРОИШЕСТВИЯ!!!!!
    Поменял дату на 2013 год и потом в безопасном режиме просто отсортировал всё по последним изменениям.
    Файл нашелся через 5 минут.
    Причем в отличии от хакеров дебилов,которые называют свои файлы 30-ти значными именами — мой назывался просто и лаконично ms.exe
    Я блин даже не поверил сначала,что это он,но время и дата совпадали,в итоге удалил И ИСЧЕЗЛА ЭТА СРАНЬ С МОЕГО НОУТА!!!!!)))))

    • Михаил:

      Спасибо Владимиру за подсказку!
      По приведённой выше инструкции написал в редакторе реестров, как и положено, explorer.exe, но не спасло. В безопасном, шарясь по машине, забрался в Пользователи\имярек и там оказался тот самый ms.exe!!! Значок у данного файла в виде диска. Удалил, после ресета система завелась!

      • денис:

        Помогло, но я сделал проще — ввел в поиске ms.exe, нашел и удалил его.

        • Аня:

          Зашла в безопасном режиме, нашла через поиск ms.exe и НАЖАЛА на него. Теперь у меня и безопасный режим не работает!!!!!!! как быть?????? помогите!!!!

    • Андрей:

      Мне помогла информация Владимира. Зашел в безопасном режиме под учётной записью администратора. Запустил поиск файла ms.exe. Нашел в папке пользователя, убил! Всё заработало :)

  9. Пашка:

    Моя ошибка изначально в том, что я не обновлял антивирус, забил, вот результат… В общем как я нашел вирус: обновил антивирус (клава работала, а мышь нет, так вот я с помощью клавы вылез в инет, ввел нов ключ для антивируса). Нод32 сразу же его нашел, но справиться с ним не смог. Зато указал где эта тварь поселилась: c:\users\пользователь\AppData\Roaming\87.exe и taskhm.exe.

  10. Лилия:

    Перепробовала все только эта инфа помогла. Просили уже 2 тысячи, как только пробилась в папку пользователи сразу его увидела — назывался 0. и много цифр. Снесла его и все нормализовалось. Спасибо.

  11. Мастер:

    Вот с мобилы к вам зашёл. Управился за 5 минут. Спасибо большое за ваш труд!

  12. Сергей:

    Мой друган прицепил троян, видно свежий, бился я с ним несколько часов, а самое интересное, что все, что описано в сайтах, не помогает, вирус не определяется ни где. Помог доктор веб, CUREIT. Зашел в безопасный режим компа, при загрузки нажимал F8, скачал на флешку CUREIT, перекинул на рабочий стол и открыл, а дальше он все сам сделал, спасибо производителям, хотелось бы пожать руку, сохранил все документы. И друган рад. Телефон козла +79879277651, троян вписывается в c:\documents and settings\9000935301761287.exe. Удачи.

  13. Андрей:

    А мне лень делать как тут написано, но все верно! Я беру Erd commander и в Auto runs удаляю все лишнее и все работает, потом антивирусом чищу все остатки. Но все равно спасибо этот способ мне тоже помогал не раз!

  14. Олег:

    Огромное спасибо за помощь в разблокировке системы . Только на вашем сайте самая актуальная информация о вирусах . Успехов в вашем благородном деле !

  15. ЕКАТЕРИНА:

    ЕВГЕНИЙ, СПАСИБО. ВАШ СПОСОБ ТОЛЬКО И ПОМОГ.




Выразите свое мнение

Скажите нам, что вы думаете...