17.09.2013
Windows 7 заблокированный баннером БИЛАЙН 500 рублей. Что делать?
Приветствую Вас, уважаемые читатели моего сайта Fixtoolz.ru. Вот попался в руки заблокированный компьютер, хотелось рассказать поподробнее.
У заблокированного компьютера появляется на экране баннер с текстом, который вообще ни на одну клавишу не реагирует: Microsoft security обнаружил нарушения использования сети интернет. Причина: Просмотр ДЕТСКОГО и ГЕЙ порно, посещение порно - сайтов.
Для разблокировки Windows 7 необходимо:
Пополнить номер абонента БИЛАЙН: 89054296778 на сумму 500 руб. (Сумма может быть любой 1000, 2000 или 3000 рублей, зависит от жадности вымогателей) Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминалом чеке. Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.
Если в течении 12 часов с момента появления данного сообщения, не будет введен код все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера Microsoft Corporation. (СПОКОЙНО! ЭТО ПРОСТО КАРТИНКА, НИЧЕГО ОНА ВАМ НЕ СДЕЛАЕТ)
Что делать? Универсальный метод!
Быстро исправляем проблему самостоятельно, в два шага,
грузимся в "безопасный режим с поддержкой командной строки" и выполняем:
1. команда cleanmgr
2. команда rstrui
Перезагружаем компьютер. Ура все КЛАСС!!!
Плохой вариант, у вас отключена система восстановления или отсутствуют контрольные точки восстановления. Что делать? Не надо отчаиваться!
Также грузимся в "безопасный режим с поддержкой командной строки" и выполняем команду regedit (редактор реестра) Выбрать ветвь:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Строковый параметр Shell удаляем
Откуда он взялся? Изучаем зверя "троянского коня"! Как я лечил заблокированную систему Windows 7!
В моем случае система восстановления Windows 7 была вообще отключена, где находился и имя файла трояна я не знал. Я воспользовался бесплатной утилитой Autoruns которую скачать можно абсолютно бесплатно с сайта Microsoft
http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
Кстати загрузившись в "безопасный режим с поддержкой командной строки", я попробовал запустить проводник командой explorer, на мое удивление он запустился.
Для отключения блокировки необходимо снять галочку напротив HKCU\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\Shell
Вот мы и обнаружили где находится наш троянец C:\Users\пользователь\AppData\Local\Opera\Opera\ temporary_downloads\codfullhdxavi.exe
codfullhdxavi.exe имя файла наталкивает на мысль что пользователь пытался скачать какой-то видео кодек full hd
Путь от нашего трояна ведет к браузеру Opera, значит троян попал в систему именно через этот браузер. Открываем историю просмотра страниц через меню Инструменты -> История открываем самую последнюю страницу
Открылся порно сайт с интересным содержимым и надпись Для просмотра видео в формате Full HD необходимо установить Видео кодек!
Граждане не устанавливайте ПО с подобных сайтов!
Будьте бздительны!
Создавайте контрольные точки восстановления
Удачи!
Идентификация трояна
Kaspersky HEUR:Trojan.Win32.Generic 2013.01.29
DrWeb Trojan.Winlock.7907 2013.01.29
24.01.2013
Внимание!!! Еще похожий Баннер "Windows заблокирован" Trojan Winlock 6999 LokoMoTO файл баннера MVbCn7d.exe или MXROH_U_MF.EXE, YWR4ATG.EXE
Как удалить баннер Инструкция по разблокировки
Удачи!!! Если ВАМ помогло поделитесь с друзьями ссылкой, расскажите как можно самостоятельно решить проблемы!
- > Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов. Что делать?
- > 24.01.2013 Ваш компьютер заблокирован за просмотр штраф 2000 рублей билайн
- > 04.02.2013 Trojan.Winlock.6613 Ваш компьютер заблокирован за просмотр штраф 2000 рублей
- > Microsoft security Windows 7 заблокирован