10.08.2011 10:48

Ваш компьютер заблокирован за просмотр, копирование и тиражирование …

На прошлой неделе ко мне обратилась соседка по дому с проблемой, что ее ПК заблокирован. Дословно текст с смс-блокировщика звучит так:

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов, педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер телефона МТС 8-981-759-88-40 (89183085345, 89897506553, 89881612114, 89881612102). В случае оплаты суммы равной штрафу либо превышающей её на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле нижней части окна и нажать кнопку "Разблокировать". После снятия блокировки Вы должны удалить все материалы содержащие все элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 1 УК РФ.Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS с невозможностью дальнейшего восстановления.

Ваш компьютер заблокирован за просмотр, копирование и тиражирование …


Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

  • загрузиться с любого загрузочного диска. Я использовала Live CD dr.Web.
  • проверить нет ли на рабочем столе файла test.exe или 22CC6C32.exe Если есть - удалить
  • зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe
  • зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell исправить на значение explorer.exe
  • значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки) в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки

 

редактор реестра

Данный вирус Trojan.Winlock.3252 переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

  1. Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
  2. Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
  3. Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
  4. Перезагружаем компьютер
Успехов в работе!
 

Последние комментарии

  • Что у Вас за браузер? Подробнее
  • Не могу найти где эту строку включить? подскажите ка кона называется? а то атм много чего Переходил вот по этой ссылке chrome://flags/#disable-direct-... Подробнее
  • Спасибо вам большое!!! Подробнее
  • спасибо! очень помогло Подробнее
  • Спасибо ура :roll: :roll: :roll: ;-) Подробнее

Закладки

Статистика сайта