Algebra Biologiya Literatura Geometriya Geografiya Obj Fizika Ekonomika Istoriya Astronomiya Informatika

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.

Автор: · Отзывов (7) 

Описание проблемы:

Существуют несколько разновидностей вируса-блокировщика по классификации лаборатории Dr. Web имеющих название Trojan.Winlock.3256, отличающихся номером телефона и вымогаемой суммой. Все трояны из этой серии при загрузке Windows выводят сообщение (белые буквы на голубом фоне с кнопками для ввода кода):

Windows заблокирован!  Microsoft Security обнаружил нарушения использования сети интернет.

«Windows заблокирован!

Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.

Для разблокировки Windows необходимо:
Пополнить номер абонента МТС: 89167279293 (89179518582, 89879426010) на сумму 350 (500) рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты на выданном терминале чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.»

В случае если Вы отказываетесь от ввода кода вирус-блокер угрожает предпринять следующие действия:

«Если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows и Bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.»

Методика удаления вируса-вымогателя:

1. Так как вымогатель добавляет и изменяет значения параметров в реестре windows, начнем с того, что подберем коды разблокировки,  ниже представлены некоторые коды от Лабараторией Касперского:

  • 99885522
  • 935318445
  • 467268202
  • 16342131

Для того чтобы разблокировать Windows необходимо один из вышеприведенных кодов ввести с помощью кнопок баннера и нажать кнопку «ВХОД В СИСТЕМУ».

2. После процедуры ввода кода, баннер самостоятельно не удаляется из системы и не восстанавливает ключи в реестре. Поэтому после перезагрузки компьютера, баннер снова появится и заблокирует Windows.

Для того что бы избежать повторной блокировки ОС, нужно:

  • Открыть реестр (Win+R -> regedit -> Enter)  «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» найти и удалить параметр «Shell». В  параметре «Shell» указан путь к исполняемому файлу вируса блокировщика, перед удалением параметра желательно запомнить путь к файлу вируса, для того чтобы потом удалить его с ПК вручную;
  • Далее нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» найти и исправить параметра реестра «Shell» на «explorer.exe». Вирус изменяет этот параметр на путь к своему исполняемому файлу.

3. Для полного удаления вируса необходимо найти и удалить файл вируса вручную (см. п.2), либо скачать и проверить систему последней версией утилиты CureIT с официального сайта Dr.Web.


Отзывы

Оставьте Ваш Отзыв:

Отзывов (7) на “Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет.”
  1. Николай:

    1. Загружаюсь в безопасном режиме с поддержки командной строки. (F8 при загрузке системы)
    2. Перехожу в папку C:\Users
    3. Поиск файлов *.exe
    4. в результатах поиска выдает svchost.exe у которого дата создания совпадает с датой заражения вирусом — удаляю его
    5. перезагрузка — все ок

  2. inkognito:

    Ребятки не зевайте!!!! Прежде чем что-то качать подумайте надо ли оно вам. А не будете думать, тогда мы к вам в гости зайдем), до скорых встреч.

  3. Владимир:

    1. Загружаюсь в безопасном режиме с поддержки командной строки. (F8 при загрузке системы)
    2. В командной строке: net user admin 123456 /add (создаю нового пользователя)
    3. В командной строке: net localgroup администраторы admin /add (Добавляем пользователя в группу администраторов)
    4. В командной строке: shutdown -r -t 10 (Перезагружаем ПК)
    5. Заходим под новым пользователем в обычном режиме.

    • bona:

      После проделанной схемы на Win 7, остался старый пользователь, а вот старый пароль уже не подходит: пишет не верный логин или пароль. Может можно как-то выбрать нового пользователя?

  4. Роман:

    Мне помог установочный диск Windows7 которым я выполнял восстановление системы, в частности проверка памяти главное и вход в безопасный режим с «поддержкой командной строки»- именно этот режим. Вводим в окно MS-DOS команду explorer.exe. Появляется всеми нам знакомый рабочий стол только в безопасном режиме с размыты изображением, но главное без смс баннера который на весь экран.. Здесь мы входим в программу Reg Organizer во вкладку важные разделы реестра нажимаем автозапуск(раздел реестра) видим там странный набор из букв и цифр. например у меня такой:S1014975 путь C:\Usres\Рома.020723571785645767.exe запоминаем путь и нажимаем правую кнопку мыши на этой строке командой «Показать элементы реестра. относящиеся к записи» выводится путь где оно прописано. А антивирус у меня все это время вообще никак не реагировал ни до ни после обновление баз данных включено у него каждый 30 минут (AVAST Internet Securiti версия 7). Номер МТС там был в баннере-вирусе: +78979414220.

  5. serena14:

    u276113339942 такого тут не нашел —
    грузим в безопасном, убираем 114.ехе — system32, перегружаем… нашёл Nod 32

  6. Кир:

    Второй пункт первый реестр: параметр shell по этому пути я не нашел.
    Во втором реестре все параметры прописаны, как они и должны быть прописаны.
    Скачал Cureit , он нашел 15 зараженных файлов, но блокиратор так и не удалился.




Выразите свое мнение

Скажите нам, что вы думаете...