Очередной вымогатель от абонента Билайн +79653579127 на сумму 2500 рублей.

При загрузки компьютера и в обычном режиме и в режиме защиты от сбоев, в место рабочего стола, появляется баннер с текстом:
Windows заблокирован!

Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации ПО корпорации Microsoft. По вышеуказанным причинам функционирование системы было приостановлено.

Для активации системы необходимо:

Пополнить номер абонента Билайн: +79653579127 на сумму 2500 рублей.

Расчет производится в любом из терминалов для оплаты сотовой связи. На выданном терминалом чеке Вы найдете ваш персональный код. Код следует ввести в расположенном ниже поле.

Убедительная просьба: после активации системы, воздержаться от повторения действий противоречащих закону,  а также правилам эксплуатации ОС Windows.

ВНИМАНИЕ!!! Если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows, будут безвозвратно удалены! Попытка переустановить систему приведет к нарушениям работы вашего компьютера!


 
Ну что сказать по данному тексту, если не брать во внимание орфографию.

Сплошной развод на деньги, рассчитанный на панику человека.

Во-первых, какое дело корпорации Microsoft до УК РФ.

Во-вторых, в лицензионном соглашении к Windows нет ни слова про то, что и как вы будите смотреть или распространять.

В-третьих, терминал уж точно не напечатает больше текста на чеке, если вы забросите на данный телефон 10 рублей или 10000 рублей.

И последнее данный баннер с угрозами не в состоянии, что либо сделать ,ни с файлами на вашем компьютере, ни тем более с компьютерным железом.

И так в данном случае, ни какие горячие клавиши не помогут нам запустить диспетчера задач, Explorer, даже экранная лупа не запускается. У меня имеется большое сомнение, что к данному баннеру имеется код разблокировки, а по этому, единственным 100% вариантом по избавлению от данного баннера, служит загрузка компьютера с диска или флеш накопителя системы WindowsPE, AlKid Live CD или ERD Commander.

Почему лучше использовать для таких случаев AlKid Live CD, чем ERD Commander?

Дело в том, что в AlKid Live CD гораздо больше всевозможных инструментов и ему без разницы с какой операционной системой работать Windows XP, Vista, 7, 8, x32, x64, в любой ОС при помощи AlKid Live CD вы получите доступ к реестру. А вот ERD Commander необходимо использовать именно тот, для какой версии Windows он предназначен.

Загрузить AlKid Live CD и ERD Commander вы можете по этим ссылкам, как создать загрузочную флешку или HDD USB диск написано в этой статье, скачать ERD Commander для вашей версии Windows для Boot USB можно здесь.

Для нас нет принципиальной разницы, что использовать AlKid Live CD или ERD Commander, главное получить доступ к реестру заблокированного компьютера, что бы найти путь и название программы запускающей баннер.

Баннеры и вирусы для своей автоматической загрузки используют 3 ветки реестра компьютера.

Это: «HKEY_CURRENT_USER», «HKEY_LOCAL_MACHINE», «HKEY_USERS\(профиль пользователя)»

Для получения доступа к реестру заблокированного компьютера, после загрузки с AlKid Live CD или ERD Commander,

в AlKid Live CD нажимаем Пуск – Программы – Администрирование – RegEdit (remote)

в ERD Commander – Start – Administrative Tools – Registry Editor

Заходим в ветку реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

проверяем, что бы здесь присутствовали записи о программах, которые загружаются вместе с загрузкой виндовс, если обнаруживаем запуск программ которые мы незнаем, особенно это касается программ запускаемых с профиля пользователя, с папки Temp, или корзины, если такие имеются, удаляем их.
В данном случае в Run нечего лишнего нет, переходим в ветку реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

А вот здесь мы видим измененные параметры, Shell, UIHost, Userinit.

Вместо  Shell=explorer.exe  UIHost= logonui.exe Userinit= (Ваш системный диск):\WINDOWS\system32\userinit.exe, запускается программа 1774678.exe .

Данная программа и есть баннер, который не дает нам загрузить рабочий стол.

Запоминаем путь нахождения данной программы, обычно это временная папка, находим её открыв проводник и удаляем с нашего компьютера, а в параметрах исправляем в ручную.

Shell=explorer.exe 

UIHost= logonui.exe

Userinit= (Ваш системный диск):\WINDOWS\system32\userinit.exe,

Теперь пробежимся по оставшимся веткам реестра.

Открываем [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

Здесь мы обнаруживаем параметр explorer с запуском удаленной нами ранее программы, удаляем этот ключ реестра.

Переходим в [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Здесь мы обнаруживаем лишних 3 ключа с запуском удаленной нами программы баннера, выделяем их и удаляем.

Проверти так же ветку реестра

[HKEY_USERS\S-1-5-21-1214440339-764733703-839522115-1729 (Имя пользователя)\Software\Microsoft\Windows\CurrentVersion\Run]

и [HKEY_USERS\S-1-5-21-1214440339-764733703-839522115-1729 (Имя пользователя)\Software \Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

На предмет запуска лишних программ, в данном случае баннер в данных ветках реестра не прописывался.

 Для тех, кто ни чего не понял ВИДЕО

Избавление от баннера с помощью AlKid Live CD

Избавление от баннера с помощью ERD Commander

{jcomments on}