Очередной вымогатель от абонента Билайн +79653579127 на сумму 2500 рублей.
При загрузки компьютера и в обычном режиме и в режиме защиты от сбоев, в место рабочего стола, появляется баннер с текстом:
Windows заблокирован!
Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации ПО корпорации Microsoft. По вышеуказанным причинам функционирование системы было приостановлено.
Для активации системы необходимо:
Пополнить номер абонента Билайн: +79653579127 на сумму 2500 рублей.
Расчет производится в любом из терминалов для оплаты сотовой связи. На выданном терминалом чеке Вы найдете ваш персональный код. Код следует ввести в расположенном ниже поле.
Убедительная просьба: после активации системы, воздержаться от повторения действий противоречащих закону, а также правилам эксплуатации ОС Windows.
ВНИМАНИЕ!!! Если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows, будут безвозвратно удалены! Попытка переустановить систему приведет к нарушениям работы вашего компьютера!
Ну что сказать по данному тексту, если не брать во внимание орфографию.
Сплошной развод на деньги, рассчитанный на панику человека.
Во-первых, какое дело корпорации Microsoft до УК РФ.
Во-вторых, в лицензионном соглашении к Windows нет ни слова про то, что и как вы будите смотреть или распространять.
В-третьих, терминал уж точно не напечатает больше текста на чеке, если вы забросите на данный телефон 10 рублей или 10000 рублей.
И последнее данный баннер с угрозами не в состоянии, что либо сделать ,ни с файлами на вашем компьютере, ни тем более с компьютерным железом.
И так в данном случае, ни какие горячие клавиши не помогут нам запустить диспетчера задач, Explorer, даже экранная лупа не запускается. У меня имеется большое сомнение, что к данному баннеру имеется код разблокировки, а по этому, единственным 100% вариантом по избавлению от данного баннера, служит загрузка компьютера с диска или флеш накопителя системы WindowsPE, AlKid Live CD или ERD Commander.
Почему лучше использовать для таких случаев AlKid Live CD, чем ERD Commander?
Дело в том, что в AlKid Live CD гораздо больше всевозможных инструментов и ему без разницы с какой операционной системой работать Windows XP, Vista, 7, 8, x32, x64, в любой ОС при помощи AlKid Live CD вы получите доступ к реестру. А вот ERD Commander необходимо использовать именно тот, для какой версии Windows он предназначен.
Загрузить AlKid Live CD и ERD Commander вы можете по этим ссылкам, как создать загрузочную флешку или HDD USB диск написано в этой статье, скачать ERD Commander для вашей версии Windows для Boot USB можно здесь.
Для нас нет принципиальной разницы, что использовать AlKid Live CD или ERD Commander, главное получить доступ к реестру заблокированного компьютера, что бы найти путь и название программы запускающей баннер.
Баннеры и вирусы для своей автоматической загрузки используют 3 ветки реестра компьютера.
Это: «HKEY_CURRENT_USER», «HKEY_LOCAL_MACHINE», «HKEY_USERS\(профиль пользователя)»
Для получения доступа к реестру заблокированного компьютера, после загрузки с AlKid Live CD или ERD Commander,
в AlKid Live CD нажимаем Пуск – Программы – Администрирование – RegEdit (remote)
в ERD Commander – Start – Administrative Tools – Registry Editor
Заходим в ветку реестра
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
проверяем, что бы здесь присутствовали записи о программах, которые загружаются вместе с загрузкой виндовс, если обнаруживаем запуск программ которые мы незнаем, особенно это касается программ запускаемых с профиля пользователя, с папки Temp, или корзины, если такие имеются, удаляем их.
В данном случае в Run нечего лишнего нет, переходим в ветку реестра
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
А вот здесь мы видим измененные параметры, Shell, UIHost, Userinit.
Вместо Shell=explorer.exe UIHost= logonui.exe Userinit= (Ваш системный диск):\WINDOWS\system32\userinit.exe, запускается программа 1774678.exe .
Данная программа и есть баннер, который не дает нам загрузить рабочий стол.
Запоминаем путь нахождения данной программы, обычно это временная папка, находим её открыв проводник и удаляем с нашего компьютера, а в параметрах исправляем в ручную.
Shell=explorer.exe
UIHost= logonui.exe
Userinit= (Ваш системный диск):\WINDOWS\system32\userinit.exe,
Теперь пробежимся по оставшимся веткам реестра.
Открываем [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Здесь мы обнаруживаем параметр explorer с запуском удаленной нами ранее программы, удаляем этот ключ реестра.
Переходим в [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Здесь мы обнаруживаем лишних 3 ключа с запуском удаленной нами программы баннера, выделяем их и удаляем.
Проверти так же ветку реестра
[HKEY_USERS\S-1-5-21-1214440339-764733703-839522115-1729 (Имя пользователя)\Software\Microsoft\Windows\CurrentVersion\Run]
и [HKEY_USERS\S-1-5-21-1214440339-764733703-839522115-1729 (Имя пользователя)\Software \Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
На предмет запуска лишних программ, в данном случае баннер в данных ветках реестра не прописывался.
Для тех, кто ни чего не понял ВИДЕО
Избавление от баннера с помощью AlKid Live CD
Избавление от баннера с помощью ERD Commander
{jcomments on}