Як позбутися від блокувальника Windows
Вчора до мене звернувся однокласник з проханням подивитися його комп'ютер, тому що він блокований якимось шкідливий.
Ось що я побачила на його моніторі чорний екран з біло-синьо-червоним текстом, текст такого змісту:
Ваша операційна система блокована за порушення використання мережі інтернет. Бла бла бла.
Для розблокування операційної системи Вам необхідно платити 600 рублів.
ОПЛАТА З ВАШОГО МОБІЛЬНОГО:
- Якщо Ви абонент Білайн відправте СМС з текстом: 79626007737 600 на номер 3116
Відповідно до повідомлення підтвердіть платіж. Після оплати, у повторній СМС прийде код доступу до системи.
- Якщо Ви абонент Мегафон відправте СМС з текстом: 9602546722 600 на номер 8444
Відповідно до повідомлення підтвердіть платіж. Після оплати, у повторній СМС прийде код доступу до системи.
ОПЛАТА ЧЕРЕЗ ТЕРМІНАЛ ДЛЯ ОПЛАТИ МОБІЛЬНОГО ЗВ'ЯЗКУ:
Поповнити номер абонента Білайн № 89650161447 на суму 600 рублів. На виданому чеку, буде написаний код доступу до системи. Введіть в форму нижче.
Звичайно ж це вірус-вимагач, який блокує Windows, а так же черговий розлучення і платити гроші зловмисникам це верх дурості.
Розповім як я позбавилася від нього:
Крок перший. Вантажимося з Live CD Dr. Web скачати можна тут
Як працювати з Live CD Dr. Web описано тут
Dr. Web знайшов одного троянця Winlock 2739, видалив, перезавантажилась, але банер все одно висить.
Крок другий. Заходимо в безпечному режимі. Встигаю викликати Диспетчер завдань (натиснути Ctrl + Alt + Del) і бачу завдання, яка відразу з'являється у вікні диспетчера Swscj. Знімаю завдання.
Намагаюся знайти даний файл через Total Commander - не знаходить.
Справа відобразяться всі параметри ключа Winlogon;
Знайдіть параметр Shell клацніть двічі по ньому лівою кнопкою миші, у вікні, в рядку Значення видаліть всі зазначені там значення (якщо вони є) і введіть значення explorer.exe.Еслі в параметрі Shell відсутнє будь-яке значення, то необхідно ввести значення explorer. exe.
Якщо в параметрі Shell знаходяться значення: Explorer.exe і user32.exe, то необхідно видалити тільки значення user32.exe, а значення explorer.exe залишити.
Якщо в параметрі Shell знаходиться багато різних значень, то видаліть їх і введіть значення explorer.exe.
Обов'язково введіть для параметра Shell значення explorer.exe, інакше після введення пароля для входу в систему деякі компоненти системи можуть працювати некоректно.
На зараженому комп'ютері шкідливий прописався так: Explorer. exe% windir% rundll. bat
Крок четвертий. Після виконаних дій перезавантажте комп'ютер на Середньому Режимі.
Після перезавантаження комп'ютера виконайте наступні дії:
- відкрийте папку C: \ WINDOWS \ SYSTEM32 \;
- знайдіть файл USER32.EXE;
- перейменуйте файл USER32.EXE в файл USER33.EXE;
- перезавантажте комп'ютер;
- після перезавантаження видаліть раніше перейменований файл USER33.EXE з папки C: \ WINDOWS \ SYSTEM32 \;
натисніть кнопку Пуск:
- якщо ви використовуєте ОС Windows Vista, то введіть в поле пошуку regedit і натисніть Enter.
- якщо ви використовуєте OC Windows XP, то виберіть меню Виконати, введіть в поле regedit і натисніть кнопку OK.
- розкрийте гілку HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System;
- зліва видаліть ключ реєстру DisableTaskMgr (клацніть по ньому правою кнопкою миші і в меню оберіть пункт Видалити);
- якщо до комп'ютера підключено будь-які змінні носії, то знайдіть і видаліть файл MD.EXE з цих носіїв.