Ваш компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента БИЛАЙН 89091614662

Описание проблемы:
Блокируется загрузка операционной системы, появляется голубое окно с сообщением – «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф 500 рублей на номер Билайн 89091614662. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилия. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персоональном компьютере будут безвозвратно удалены, а дело передано для разбирательства по статье 242 ч.1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.»
Методика удаления смс-вымогателя:

  1. Загрузить компьютер с помощью LiveCD и подключить реестр заблокированной вирусом-вымогателем операционной системы. Либо подключить жесткий диск с заблокированной операционной системой к другому компьютеру и аналогично подключить реестр;
  2. Найти в реестре ветку:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Параметр:
    userinit
    Значение параметра должно быть:
    с:\windows\system32\userinit.exe
    где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем.
    Параметр:
    shell
    Значение параметра:
    C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
    Исправляем, как показано на рисунках ниже, на:
    Explorer.exe





  • Выгружаем подключенный реестр.
  • Удаляем в каталоге «X:\Documents and Settings\All Users\Application Data\» файл смс-блокера «22CC6C32.exe», где «X» диск, на котором установлена заблокированная  операционная система.
  • Удаляем в каталоге «X:\WINDOWS\system32\dllcache\» файлы смс-вируса «userinit.exe» и«taskmgr.exe», где «X» диск, на котором установлена заблокированная  операционная система .
  • Удаляем все подозрительные *.exe файлы с длинным названием, состоящим приемущественно из цифр (например, встречаются файлы с именем 0.9660685312881157.exe) в каталоге«X:\Documents and Settings\Имя пользователя», где «X» диск, на котором установлена заблокированная  операционная система , а «Имя пользователя» каталог с именем Вашего пользователя» .
  • Заменяем изменные вирусом файлы  «userinit.exe» и «taskmgr.exe» в каталоге«X:\WINDOWS\system32\», где «X» диск, на котором установлена заблокированная операционная система, на аналогичные файлы:
- Файлы можно скопировать с другого компьютера, с такой же как у вас операционной системой;


- Скопировать с установочного диска Windows;
- Либо для Windows XP SP3, оригинальный файл userinit.exe можно скачать здесь, а taskmgr.exe здесь.
  • Перезагружаемся. После перезагрузки пробуем загрузить компьютер в обычном режиме.

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)