Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет
Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмысодержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.
Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.
Имел счастье наблюдать. При этом блокируется доступ ко ВСЕМ функциям.
К банкомату, естественно, не побежал, а взял первый попавшийся под руку LiveCD и просто заменил всю папку Windows на чистую из заранее приготовленной архивной копии.
На всякий случай также можно заменить загрузочные файлы из директории C:\
Первичная локализация вируса на скрине:
В тонкостях внедрения и разбираться пока не стал, посмотрю потом.
Посмотрел немного: Способ не мой - плагиат, гарантий не даю - пробуй :
Зажимаем кнокпи Ctrl + Alt + Delete (правые кнопки Ctrl и Alt) левой рукой. Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу(нашего баннера) мышкой. Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач,файл, новая задача(выполнить), введи имя regedit нажми ок=>откроится редактор реесстра. Далее идёте по ветке=>hkey_local_machine=>software=>microsoft=>Windows NT=>CurrentVersion=>Winlogon. Жмём один раз мышкой по "Winlogon" ищем параметр "Shell" жмём по ниму правой кнопкой мышки, изменить. У вас будет значение прописано к вирусу, запомните потом удалите. И поменяйти его значение на Explorer.exe жмём ок. Откройте диспетчер задач жми завершение работы и перезагрузка....... Далее скачиваем утилиту и проверяемя ею http://www.freedrweb.com/cureit/
всем приветик!!! Итак приступим - вызываем диспетчер задач Ctrl+ALT+Delete изловчаемся и "третьей" рукой снимаем запущенную задачу, там что-то обязательно будет(жмем снять задачу) далее новая задача, запускаем regedit лезем сюда HKEY_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем параметр Shell, а там указан путь к вашему баннеру(запишите или запомните путь, потом удалите его), всё удалить и прописать C:\Explorer.exe. Всё должно стать окей!!! Появится рабочий стол. Теперь ОБЯЗАТЕЛЬНО удалите этот ужасный файл!!! ВСЁ!!! для верности зайдите в мой компьютер и выполните поиск всех *.exe а затем и *. dll файлов созданных на дату и время заражения, не забыть поставить галочку показывать скрытые и системные файлы. УДАЧИ!!!!!!!!!
Попробуйте тоже самое в безопасном режиме с поддержкой командной строки
Касперский советует следующее:
16342131
нахуй
Поскольку данный код нельзя ввести с виртуальной клавиатуры блокера, необходимо:
1. нажать кнопку [Пуск] ([Start]) посредством кнопки [Win] на клавиатуре
2. выбрать пункт меню "Выполнить" ("Run")
3. в открывшемся окне набрать код деактивации "нахуй"
4. скопировать текст в буфер (Ctrl-A, Ctrl-C или с помощью мыши)
5. в поле ввода блокера нажать правой кнопкой мыши и в выпавшем меню выбрать пункт "вставить" ("paste")
•Зажимаем кнокпи Ctrl + Alt + Delete левой рукой. •Будет моргать диспетчер задач, а тем временем мышкой в правой руке снимаем задачу ( баннера) •Баннер должен исчезнуть, а заместо него, пустой рабочий стол. •Далее открываем диспетчер задач,файл - новая задача - (выполнить), вводим regedit нажимаем ок=>откроется редактор реестра. •Далее ищем ветку: Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon •Кликаем один раз мышкой по значению "Winlogon" ищем параметр "Shell" кликаем по нему левой кнопкой мыши, появиться контекстное меню, жмём - изменить. •Запомните какой путь к вирусу прописан в значении Shell , потом его необходимо удалить по этому пути •Меняем значение Shell на Explorer.exe жмём ок. ( значение Shell должно быть C:\WINDOWS\system32\еxplorer.exe) •Откройте диспетчер задач жми завершение работы и перезагрузка.
Еще Надо войти в реестр и в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon посмотреть, там есть параметр Shell значение которого должно быть Explorer.exe, но там будет другое значение ( C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\[ссылка появится после проверки модератором] video_57312.avi[1].exe
Если знаешь как входить в реестр через загрузочный диск заходи и чисть ветку и все временные файлы, а если не знаешь попроси,того к то знает.. http://otvet.mail.ru/question/50107876/
Для проверки специально словил вирус, выключил банер указанным выше способом, WinPatrol не дал стать в автозагрузку, но указал путь: C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\L8DQIXLK\readme[1].exe Проверил ветку реестра - не изменена (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe). Посмотрел новое в автозапуске, не уверен, но возможно имеет значение: C:\WINDOWS\system32\macromed\Flash\NPSWF32_FlashUtil.exe Очистил стандартно временные файлы интернета, т.к. вирус засел именно там, не смотря на то, что IE не был включен. Перезагрузился, багов не заметил.
Осмелюсь предложить ещё один вариант борьбы с баннерами, который позволяет обнаружить и удалить файл вредоносного баннера и путь к нему даже пользователю, совсем не имеющему представления о реестре и работе с ним. Пожалуйста гуру, покритикуйте или дополните вашим мнением о нём. Используется CD диск с прогой ERD Commander 2009. Oперационка заражённого компа - Windows XP. Итак, порядок работы:
Вставьте CD диск с программой ERD Commander 2009 в CD\DVD привод заражённого баннером компьютера. Поскольку баннеры блокируют мышь и клавиатуру, то для загрузки ERD c CD-диска, можно нажать кнопку Reset для перезагрузки компьютера (установка приоритета загрузки с CD ROM хорошо описана в подробной инструкции по удалению баннера с помощью LIVE CD & ERD Commander). Особенности загрузки ERD также описаны в вышеупомянутой инструкции, поэтому начнём более подробно с уже загруженного, Рабочего стола ERD Commandera.
Жмите Start –> Administrative Tools –> Autoruns. В правом части открывшегося окна тут же увидим состояние строк Shell и Userinit реестра: HKLM \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
и под этими строками имя и путь файла вредоносного файла(если конечно файл баннера прописался в этих строках реестра). Для удобства разверните окно на полный экран.
Форумчанам известно правильное значение этих строк, а именно:
1) Необходимо, что бы в строковом параметре Userinit было прописано: C:\WINDOWS\sistems32\ userinit.exe, а весь текст, что будет после запятой, содержит путь и имя файла вируса и подлежит удалению.
2) Необходимо, что бы в строковом параметре Shell было прописано: Explorer.exe, а всё то, что после, это путь и имя файла вредоносного вируса и подлежит удалению.
То есть мы сразу определим, где и в какой папке находится вредоносный файл баннера и его имя. А это, согласитесь, уже немало!
Запоминаем или записываем путь и имя файла. Закрываем окно. Снова Start –> Explorer –>Открывается знакомое окно файлового Explorer. Ищем нужную папку, вредный файл и удаляем его.
Как вариант: можно вызвать файловый Explorer и не закрывая предыдущего окна – правым кликом мышки на строчке пути к файлу. Там два выбора: Delete и Explore… Выберем Explore..., ищем и удаляем хрень. (Delete не пробовал - поэтому не рекомендую, можно удалить чего-нить лишнее) После успешного удаления вредных файлов закрываем файловый Explorer и жмём Start Log OFF(перезагружаем комп). В появившемся окне: Выбираем Restart - OK - пошла перезагрузка компа.
Во время перезагрузки нажмите клавишу Del и верните обратно приоритет загрузки с жесткого диска(HDD). После чего нажмите клавишу «F10» и подтвердите сохранение параметров клавишей «Enter». Можно извлечь CD диск с ERD COMANDER из дисковода – он уже не нужен. Загрузите Windows в обычном режиме. Баннер исчез. Обязательно проверить комп на вирусы свежей антивирусной программой. Более продвинутые юзеры могут уже в обезвреженом компе отредактировать строки реестра(очень желательно!!!), но самое главное будет уже достигнуто - баннер побеждён. ЗЫ. Попробовал загрузить скрины в этот пост, но не получилось(не знаю как). http://www.cforum.ru/t4/forum/obwoje?goto=203547#msg203547