Мир компьютеров    compics.net

Мир компьютеров

 

 

 Поиск неисправностей компьютеров

 

 

Новости

Железо

Интернет

Коммуникации

Программы

Обзоры

Поиск неисправностей

Ваша операционная система заблокирована! - Вирус!

После путешествий по Интернету при активной антивирусной защите можно заразить свой компьютер вирусом-вымогателем, который при загрузке вместо вашего рабочего стола выдаёт вот такое сообщение, хотя текст сообщения может быть совершенно другой, но смысл остаётся тот же - вымогают деньги:
BHИMAHИE!!!
Baшa oпepaциoннaя cиcтeмa зaблoкиpoвaнa зa нapyшeниe иcпoльзoвaния ceти интepнeт. Oбнapyжeны cлeдyющиe нapyшeния : Пoceщeниe caйтoв пopнoгpaфичecкoгo coдepжaния c элeмeнтaми дeтcкoй пopнoгpaфии, нacилия, зooфилии. Xpaнeниe видeoфaйлoв coдepжaщиx пopнoвидeo c пpиcyтcвиeм нecoвepшeннoлeтниx, нacилиeм, зooфилиeи и т.п. Дaннaя блoкиpoвкa пpeдпpинятa для ycтpaнeния вoзмoжнocти pacпpocтpaнeния дaнныx мaтepиaлoв c Baшeгo ПK в ceти Интepнeт.
Для тoгo чтo бы yбpaть дaнный вид блoкиpoвки вaм нyжнo: Пoпoлнить cчeт aбoнeнтa БИЛAЙH № 89654028617 (номер телефона Билайн может быть другим) нa cyммy 400 (сумма может быть и другой, например 500, 1000, 2000 и др.) pyблeй
Пo зaвepшeнию oплaты, нa выдaннoм чeкe oплaты, Baм бyдeт выдaн кoд paзблoкиpoвки кoтopый нeoбxoдимo ввecти в фopмy pacпoлoжeннyю нижe. Пocлe paзблoкиpoвки cиcтeмы, Baм нeoбxoдимo yдaлить вce нeзaкoннo paзмeщeнныe мaтepиaлы нa Baшeм ПK.
B cлyчae oткaзa oт oплaты, в cлeдcтвии нapyшeний - вce дaнныe нa Baшeм ПK бyдyт yничтoжeны бeз вoзмoжнocти вoccтaнoвлeния, т.к. вaш ПK являeтcя yгpoзoй для ceти!!!
Baш кoд "окошко" кнопки "BOЙTИ" "OTMEHA"

Этот вирус блокирует работу Windows, закрывает доступ к диспетчеру задач, отключает загрузку в безопасном режиме и еще просто вымогает деньги.

Начнём лечение от этого вируса-вымогателя.
Я знаю несколько способов устранения этой проблемы:

1. С помощью кодов разблокировки, то есть различные антивирусные сайты предлагают различные коды разблокировки.
Вот подборка ссылок:
VIRUSINFO       Посмотреть
Kaspersky Lab   Посмотреть
Dr.Web              Посмотреть

2. С помощью дисков LiveCD или ERD Commander.

3. С помощью Восстановления системы (System Restore).

4. Поиск по дате создания файла.

С первым способом я думаю всё понятно, в моей ситуации первый способ мне не помог.
Второй способ самый действенный! Я думаю, что диском ERD Commander будет немного проще удалить вирус, потому что этот диск непосредственно может работать с реестром установленной операционной системы.
Если диск обычный LiveCD, то придётся подгружать реестр установленной операционной системы и работать с ним.

И так, начнём. Записываем образ ERD Commander на CD диск, устанавливаем в BIOS загрузку с привода CD/DVD-ROM, вставляем диск с ERD Commander в привод и начинаем загружаться с него.
В процессе загрузки необходимо выбрать операционную систему, которую мы собираемся лечить. Нажимаем ОК. Загружается рабочий стол ERD Commander.
Нажимаем Start - Administrative Tools - RegEdit, окрывается окно редактора реестра, находим ветку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" и ключ Shell, в этом ключе вирус заменяет Explorer.exe на путь к вирусу: "C:\Documents and Settings\...\vip_porno_79729.avi.exe" (запоминаем или записываем этот путь)
Щёлкаем правой кнопкой мыши на ключ Shell и выбираем Modify, в откывшемся окне удаляем путь к вирусу и пишем Explorer.exe, нажимаем ОК. Хотя было, что я удалял совсем этот ключ, загружается нормально и работает по сей день.

Теперь приступим к удалению файла вируса, для этого находим файл по ранее записанному пути и удаляем. Всё, перезагружаемся в нормальном режиме, делаем довольное лицо и идём пить чай.
Если допустим в этой ветке реестра ничего подобного нет, то задаём поиск по реестру на слово porno, xxx, video или vip_porno, находим ключ реестра, где прописался вирус и аналогично выполняем удаление вируса.
Третий способ - восстановление системы. Загружаемся с уже известного нам диска ERD Commander, нажимаем Start - System Tools - System Restore. В открывшемся окне выбираем точку восстановления, применяем, остаётся только перезагрузиться, сделать довольное лицо и произвести полную проверку антивирусом с обновлёнными базами.

Четвёртый способ заключается в том, что загрузившись с LiveCD или ERDCommander вспоминаем когда (дата) подхватили вирус и выполняем поиск файлов (имя *.*) по дате создания. После завершения поиска просматриваем найденные файлы, обращаем внимание на подозрительные exe-шники вроде vip_porno_***.avi.exe или xxx_video_*****.avi.exe, запоминаем или записываем их имена и путь размещения. Теперь находим их, и удаляем без зазрения совести, пол дела сделано. Берёмся теперь за очистку реестра - нажимаем Пуск - выполнить и набираем regedit, нажимаем ОК. Если вы загружены с диска ERDCommander, то сразу задаём поиск по записанному имени файла и удаляем записи в реестре (в ключе Shell имя вируса можно заменить на explorer.exe), теперь можно и перезагружаться в свою родную операционную систему установленную на компьютере. Если же вы загружены с диска LiveCD, то в regedit необходимо будет загрузить куст зараженной системы, отредактировать и затем выгрузить. Как загрузить и выгрузить куст в regedit я расскзываю здесь.

Скачать ERD Commander с XP и Windows 7 (зеркало depositfiles)

Дополнительные полезные ссылки.

Скачать AntiWinLockerLiveCD - автоматическое удаление банеров WinLocker

Скачать Dr.Web LiveCD - диск скорой антивирусной помощи (файл обновляется периодически)

Скачать программу записи дисков ImgBurn (зеркало depositfiles) - запись дисков из ISO файлов

 

Использование диска AntiWinLockerLiveCD

0

 

 

 

 

 


 
© compics.net