Блокируется загрузка операционной системы, появляется голубое окно с сообщением – «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф 500 рублей на номер Билайн 89091614662. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилия. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персоональном компьютере будут безвозвратно удалены, а дело передано для разбирательства по статье 242 ч.1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.»
- Загрузить компьютер с помощью LiveCD и подключить реестр заблокированной вирусом-вымогателем операционной системы. Либо подключить жесткий диск с заблокированной операционной системой к другому компьютеру и аналогично подключить реестр;
- Найти в реестре ветку:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonПараметр:userinitЗначение параметра должно быть:с:\windows\system32\userinit.exeгде, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем.Параметр:shellЗначение параметра:C:\Documents and Settings\All Users\Application Data\22CC6C32.exeИсправляем, как показано на рисунках ниже, на:Explorer.exe
- Выгружаем подключенный реестр.
- Удаляем в каталоге «X:\Documents and Settings\All Users\Application Data\» файл смс-блокера «22CC6C32.exe», где «X» диск, на котором установлена заблокированная операционная система.
- Удаляем в каталоге «X:\WINDOWS\system32\dllcache\» файлы смс-вируса «userinit.exe» и«taskmgr.exe», где «X» диск, на котором установлена заблокированная операционная система .
- Удаляем все подозрительные *.exe файлы с длинным названием, состоящим приемущественно из цифр (например, встречаются файлы с именем 0.9660685312881157.exe) в каталоге«X:\Documents and Settings\Имя пользователя», где «X» диск, на котором установлена заблокированная операционная система , а «Имя пользователя» каталог с именем Вашего пользователя» .
- Заменяем изменные вирусом файлы «userinit.exe» и «taskmgr.exe» в каталоге«X:\WINDOWS\system32\», где «X» диск, на котором установлена заблокированная операционная система, на аналогичные файлы:
- Скопировать с установочного диска Windows;
- Либо для Windows XP SP3, оригинальный файл userinit.exe можно скачать здесь, а taskmgr.exe здесь.
- Перезагружаемся. После перезагрузки пробуем загрузить компьютер в обычном режиме.
Комментариев нет:
Отправить комментарий