Вирус блокировки системы - Вирус блокировки системы1
Читал что есть такой вирус что дает ложную инфу об блокировке винды, вообщем вто оно
овый троян – Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов
Опубликовано 27.06.2011 автором Виктор
На днях я хотел было посмотреть онлайн одну старую комедию и зашел на один сомнительный сайт, о чем сразу же пожалел. Прямо поверх браузера появилось окно (моментально, раньше это было после перезагрузки (!)):
текст на картинке:
Компьютер заблокирован!
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы п
лии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8-918-201-68-35. В случае оплаты равной штрафу либо превышающей ее на фискальном чеке терманала будет напечатан код разблокировки. Его нужно ввести в поле в нижнем части окна и нажать кнопку «Разблокировать». и т.д.
Вот сайт – кому интересно (ни в коем случае на него не ходите):
Попробовал загрузиться в безопасном режиме, но и там было это окно (!)
Кое как, через телефон начал искать текст на банере в я.ру.
К счатью сразу же нашел инструкцию.
загрузиться с любого загрузочного диска.
проверить нет ли на рабочем столе файла test.exe Если есть – удалить
зайти по указанному пути X:Documents and SettingsAll UsersApplication Data и удалить файл с названием 22CC6C32.exe
зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
значение параметра Shell исправить на значение explorer.exe
значение параметра Userinit исправить на значение C:WINDOWSsystem32userinit.exe, (не забудьте про запятую в конце строки)
в реестре через поиск найти упоминание файла названием 22CC6C32.exe – удалить эти строки
Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWSsystem32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:
Копируем файл userinit.exe из папки X:WINDOWSsystem32 в любое другое место(делаем резервную копию)
Затем удаляем файл userinit.exe из папки X:WINDOWSsystem32
Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
Перезагружаем компьютер
Источник – http://www.evgeniystepanov.ru/komputer-zablokirovan.php
Мне этот способ помог, но только я действовал не совсем так, как в инструкции . Опишу в подробностях как делал я.
1) Загрузился с LiveCD (где ее найти обсуждали).
2) Файл test.exe не нашел ни в C:Documents and SettingsAdminРабочий стол ни в C:Documents and SettingsAll UsersРабочий стол (на рабочем столе LiveCD искать не стоит )
3) Пошел в Documents and SettingsAll UsersApplication Data удалять указанный файл, но решил удалить не только его, т.к. там был еще один с такой же иконкой и датой создания, удалил оба:
4) Пошел в реестр (Пуск – Выполнить – regedit), но там все было ОК (может это потому что LiveCD, я не знаю . Вы все равно проверяйте у себя:
5) Дальше я сделал все как в инструкции:
Копируем файл userinit.exe из папки C:WINDOWSsystem32 в любое другое место(делаем резервную копию)
Затем удаляем файл userinit.exe из папки C:WINDOWSsystem32
Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
Перезагружаем компьютер
После перезагрузки окна не было, но рабочий стол все равно был заблокираван:
Диспетчер задач уже работал, можно и систему откатить, но я пошел опять править реестр (опять по инструкции) – ALT+CTRL+DEL, Новая задача, regedit:
Теперь то я нашел что в пареметре Shell было прописано что-то не то:
Исправил на explorer.exe
Перезагружаем:
Все работает! Ура!
Вопросы связанные с этим вирусом пишите в комменты, если что-то другое, то создайте тему у нас на форуме.
Подписывайтесь на нашу RSS ленту, у нас здесь будет еще много полезного и интересного.
* Полезно – статья как разбить жесткий диск на разделы на блоге pc-users.ru.
Огромное спасибо компьютерному мастеру Евгению Степанову за инструкцию по удалению этого трояна вымогател