Один товарищ словил очередной вирус-вымогатель, который работает немного по иной технологии, чем предыдущие. Теперь вирусы не просят отправить SMS на короткие номера, теперь они открытым текстом просят пополнить баланс.

Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии.

Вирус просит пополнить счет абонента Билайн

Авторские права на предоставленный материал принадлежат автору сайта http://extremallife.ru

Данная блокировка предназначена для устранения возможности распространения данных материалов в сети интернет.

Для разблокировки операционной системы Вам необходимо:

Пополнить счет абонента БИЛАЙН на сумму 400 рублей.

После оплаты на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле, расположенное ниже.

По завершении оплаты, на выданном чеке оплаты Вам будет выдан код разблокировки, который необходимо ввести в форму, расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещенные материалы на Вашем ПК.

В случае отказа от оплаты все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены, в связи с угрозой Вашего ПК пользователям сети Интернет.

Как вылечить компьютер

Этот вирус работает по несколько иной схеме, чем предыдущие, а именно он подменяет Explorer.exe собой в реестре и не дает абсолютно ничего сделать.

Для лечения я загрузился с LiveCD ( WPE) - диск, с которого загружается операционная система Windows XP, не используя жесткий диск компьютера.

И загрузившись с XPE запустил утилиту, которая просканировала жесткий диск компьютера и удалила какие-то зараженные вирусом файлы.

Однако Explorer все так же не загружался, хотя и не показывал заставку.

Для восстановления Explorer необходимо перепрописать в реестре значение Shell на значение Explorer.exe

Файл, в котором хранится нужная нам ветка реестра находится по пути

C:\Windows\system32\config\software

Настройка эта хранится в ветке

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Необходимо изменить параметр Shell на Explorer.exe

Как редактировать уделенный реестр

Загрузившись с XPE мы видим рабочий стол. Пуск – Выполнить – RegEdit

Ставим  курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.

Загружаем куст реестра

Выбираем файл software, который лежит в папке Windows на нерабочем компьютере, а именно по пути:

C:\Windows\system32\config\software

Вводим любое название

Вводим любое имя загружаемого куста реестра

В редакторе реестра добавляется еще одна ветка, в ней идем по пути

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Там прописан путь к файлу вируса, который и выходит на экран.

В моем случае это было  xxx_video_721(1).avu.exe, который хранился во временных файлах Internet Explorer.

В параметре Shell прописан путь к вирусу

И меняем значение параметра Shell на Explorer.exe

Ветка реестра которую правим

Далее обязательно жмем Файл – Выгрузить Куст

После этого перезагружаем компьютер, все должно быть нормально.

Обязательно обновляем штатный антивирус. Качаем антивирусную утилиту и прогоняем компьютер полностью.

http://extremallife.ru/work/9035717002?cp=all

Пoпoлнить cчeт aбoнeнтa БИЛAЙH N. 89654028617 нa cyммy 400 pyблeй

 BHИMAHИE!!!
Baшa oпepaциoннaя cиcтeмa зaблoкиpoвaнa зa нapyшeниe иcпoльзoвaния ceти интepнeт.
Oбнapyжeны cлeдyющиe нapyшeния : Пoceщeниe caйтoв пopнoгpaфичecкoгo coдepжaния
c элeмeнтaми дeтcкoй пopнoгpaфии, нacилия, зooфилии. Xpaнeниe видeoфaйлoв
coдepжaщиx пopнoвидeo c пpиcyтcвиeм нecoвepшeннoлeтниx, нacилиeм, зooфилиeи и т.п.
Дaннaя блoкиpoвкa пpeдпpинятa для ycтpaнeния вoзмoжнocти pacпpocтpaнeния
дaнныx мaтepиaлoв c Baшeгo ПK в ceти Интepнeт.
Для тoгo чтo бы yбpaть дaнный вид блoкиpoвки вaм нyжнo:
Пoпoлнить cчeт aбoнeнтa БИЛAЙH N. 89654028617 нa cyммy 400 pyблeй
Пocлe oплaты, нa выдaннoм тepминaлoм чeкe oплaты, Bы нaйдeтe кoд,
кoтopый нeoбxoдимo ввecти в пoлe, pacпoлoжeннoe нижe
Пo зaвepшeнию oплaты, нa выдaннoм чeкe oплaты, Baм бyдeт выдaн кoд paзблoкиpoвки
кoтopый нeoбxoдимo ввecти в фopмy pacпoлoжeннyю нижe. Пocлe paзблoкиpoвки
cиcтeмы, Baм нeoбxoдимo yдaлить вce нeзaкoннo paзмeщeнныe мaтepиaлы нa Baшeм ПK.
B cлyчae oткaзa oт oплaты, в cлeдcтвии нapyшeний - вce дaнныe нa Baшeм ПK бyдyт
yничтoжeны бeз вoзмoжнocти вoccтaнoвлeния, т.к. вaш ПK являeтcя yгpoзoй для ceти!!!
Baш кoд BOЙTИ OTMEHA

Ужаснулись, когда вместо Рабочего стола вас поприветствовала такая бяка.

Сразу оговорюсь способ какой я вам предложу по разблокированию компьютера потянут не все, по этому попробуйте сначала Это
Если у вас, не получилось подобрать код и у вас Windows XP ( для Vista и Seven будет ниже) и есть свободное время, я помогу вам вылечить компьютер.
без перестановки операционной системы.
Поговорим о самом блокираторе. Вещь неприятная, на весь экран, блокирует клавиши доступа к Диспетчеру задач и другим Windows утилитам.
Вход в Безопасный режим тоже закрыт, система при попытки входа уходит в ошибку. Выход один загрузиться с загрузочного диска.

Я предлагаю ERD Commander

GigaPeta

Предположим вы знаете как записать образ на диск и выставить в BIOS загрузку с CD/DVD-ROM устройства/
Тогда приступим.

Здесь мы менять ничего не будем, оставим все по умолчанию. Жмем "ОК"
В следующем окне нам нужно выбрать файловую систему на компьютере, работоспособность который нужно восстановить.

У меня это Windows XP, выберем и нажмем "ОК"
Загрузился "Рабочий стол" - теперь мы короли.

У нас есть две возможности исправить ситуацию с блокиратором Windows/
1. Самая легкая воспользоваться функцией Восстановления системы( если конечно она не была у вас отключена)
Для этого жмем "Start"
Переходим "System Tools" далее выберем "System Restore"

В новом окне нажимаем "Next"

Далее как на скриншоте и жмем опять "Next"

И

Выберем точку для восстановления и нажмем "Next"
После выполнения операции по восстановлению системы, компьютер перезагрузивший предстанет перед вами очищенным от всякой нечисти.

Если у вас, как у спеца функция "Восстановление системы" была отключена, то придется немного повозится.
Жмем "Start"
Переходим "Administrative Tools"
"RegEdit"

Откроется окно "Редактора Реестра"

Идем по пути
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
В правом половине окна находим "Параметр" Shell
"Параметр" Shell- отвечает за автозагрузку Explorer.exe, т.е. оболочка которая и содержит в себе панель задач. Троян заменяет
путь к Explorer.exe на путь к своей оболочке, у нас сейчас на
"C:\Documents and Settings\Caшa\Moи дoкyмeнты\Downloads\vip_porno 79729.avi.exe"
Из-за этих изменений "Рабочий стол при загрузки компьютера не появляется, а вылазит порно-картинка или окно с текстом.
Щелкаем правой кнопкой мыши по параметру и в меню выберем "Modify"

В появившемся новом окне стираем значение в "Value data:"

И вбиваем новое "Explorer.exe"

"ОК" потом закрываем "Редактор реестра" и перезагружаем компьютер.
Теперь идем сюда "C:\Documents and Settings\Caшa\Moи дoкyмeнты\Downloads\vip_porno 79729.avi.exe" и удаляем файл"vip_porno 79729.avi.exe"
Все я опять, вам с экономил рублей 500, и нервы, которые как известно не восстанавливаются.
P.S
Такой способ подойдет для многих блокираторов компьютеров. Может быть другой текст, другой номер телефона.

Главное не растеряется и иметь под рукой нужные инструменты, и немного свободного времени.

http://keys-kas.ru/main/1686-popolnit-cchet-abonenta-bilajh-n-89654028617-na-cymmy-400-pyblej.html