Windows заблокирован. Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, к также, копирование и тиражирование видеоматериалов…+79874455407, +79874455476

03/12/2011 – 19:41 | by Shults99

Приложением Microsoft Security Essentials был зафиксирован

Windows заблокирован. Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, к также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации программного обеспечения корпорации Microsoft. По вышеизложенным причинам функционирование операционной системы было приостановлено.
Для активации системы необходимо:
Пополнить номер абонента МТС: +79874455407 (или +79874455476) на сумму 500 рублей.
Расчет производится в любом из терминалов для оплаты сотовой связи.
На выданном чеке Вы найдете Ваш персональный код.
Код следует ввести в расположенном ниже поле.
Ваш код.
...
Убедительная просьба: после активации системы, воздержаться от повторения действий, противоречащих закону, а также правилам эксплуатации ОС Windows.
Внимание! Если в течение 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows будут безвозвратно удалены! Попытка переустановить систему приведет к нарушению работы компьютера

Вобщем, они-бы еще домой стучались и говорили: "Ваш компьютер будет конфискован, т.к. был зафиксирован неправомерный доступ к материалам... и проч. :) )

Все ниже изложенное для Windows XP, но если понять логику, то можно применять и и для других ОС этого семейства. Она такова:

1) Вернуть с помощью ERD Commander систему назад
2) или поправить параметр Shell в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, он должен быть со значением explorer.exe
3) Будучи в в ERD Commaner Очистить директории Temp (в C:\Windows\Temp и в C:\Documents and Settings\Имя пользователя\Local Settings\Temp) и Temporary Internet Files (в C:\Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files)
4) После загрузки Очистить систему с помощью Ccleaner и проверить на вирусы.
-----------------------------------------------------------------------
Итак, теперь подробнее.
Попался у клиента такой вирус-вымогатель и он был благополучно вылечен первым методом из этой моей статейки - просто вернул систему на прошлое число (когда не было вируса) с помощью ERD Commander - никаких манипуляций с userinit.exe не проделывал. В статье ссылка на мультизагрузочный диск ERD Commander есть.

Этот вирь блокирует мышь, чтобы она не выходила за пределы баннера, потому способ нажатия 5 раз подряд клавиши Shift ничего толком не давал. Позже узнал, что можно было еще попробовать Win+U нажать...

1) Попался потом еще один вирь, но уже с другим телефоном +79874455476. В этот раз не удалось вернуть систему с помощью ERD Commander, как показано на фото

Восстановление системы в ERD Commander Windows XP System Restore

2) Потому пришлось лезть в реестр и править параметр Shell в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, он должен быть со значением explorer.exe, а была ссылка на файл из темповской директории C:\Documents and Settings\Имя пользователя\Temp.

3) Посмотрел я что в автозапуске с помощью Autoruns:

Править реестр в ERD Commander Windows XP

(Вдруг что, параметр Userinit в там же должен быть C:\Windows\system32\userinit.exe, (с запятой!))

4) Система после перезапуска загрузилась, я установил с компакт-диска прогу Ccleaner, почистил, удалил лишние программы, почистил автозапуск, набрав в командной строке msconfig и выбрав вкладку Автозагрузка, обновил и запустил стоявший до меня лицензионный Касперский (ну, тот самый, что вирь пропустил :) ) и,  получив за-всё-про-всё 600 р., ушел по своим делам.

Блогун - заработал за декабрь 2011 94.94 рубля ничего не делая!

В тему? 8)

  1. 12 Responses to “Windows заблокирован. Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, к также, копирование и тиражирование видеоматериалов…+79874455407, +79874455476”

  2. By motorix on Янв 3, 2012 | Reply

    Огромное спасибо за статью!!!
    1 вариант мне не помог (не получилось вернуть систему назад)
    2 вариант тоже, т.к стояло нужное значение explorer.exe
    Спас 3 вариант: когда я начал чистить папку Temp и др., нашел кучу левых exe-шных файлов.
    После загрузки Windows я почистил систему антивирусником и cclener

  3. By Shults99 on Янв 3, 2012 | Reply

    motorix
    Да – етот вирус частенько в Temp-ах и селится..

  4. By Sky53 on Янв 8, 2012 | Reply

    Подскажите пожалуйсто, у меня через ERD Commander не получается запустить диск с виндовс, т.е. даже выбрать деррикторию нельзя… пишет только none

  5. By Shults99 on Янв 11, 2012 | Reply

    Sky53
    Значит, в Windows была отключена возможность восстановления.
    Нужно действовать начиная с пункта 2.

  6. By Dm on Янв 12, 2012 | Reply

    Народ, а вы не пробовали пользоваться браузером, не встроенным в систему, Оеру надо юзать, моё скромное ИМХО (Имею Мнение, Хрен Оспоришь). Таким образом у меня были только вирусы с флех и от установки всяких программ, а всякие там баннеры блокирующие экран или не запускаются, или спокойно закрываются по Ctrl+W.
    Юзать IE это то же самое, что лезть в ведро с г****м без перчаток, хотя нет я не прав, это тоже самое, что нырять в бассейн с тем же самым без скафандра.

  7. By Сергей on Янв 17, 2012 | Reply

    Попробуйте ввести код 569999582

    мне помогло

  8. By Дмитрий on Янв 20, 2012 | Reply

    Сегодня жена поймала такой же вирь на сайте онлайн-фильмов, следуя инструкции загрузился с помощью ERD Commander(благо есть ноутбук подключенный к инету, чтобы скачать образ и записать его на болванку), но по адресу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в shell стоял параметр explorer.exe (как и надо), после недолгого недоумения,перешел к совету » удалить файлы из следующих директорий C:\Windows и в C:\Documents and Settings\Имя пользователя\Local Settings) и Temporary Internet Files (в C:\Documents and Settings\Имя пользователя\Local Settings», находясь в ERD Commander’е грохнул все файлы из вышеуказанных папок.
    Перезагрузился. Всё нормально. запустил Ccleaner(благо была установлена заранее) Очистил все что можно, перешел в раздел очистка реестра ( в CCleaner’е) и там умная программа нашла ссылки на автозапуск проги типа 1245831.exe (цифры взяты произвольно, точных не помню, не записал) из папки С:\windows\temp при этом самого файла не существовало (т.е. сслылка не действительна). Конечно, Гы-Гы, я ведь удалил всё из этой папки. Исправив реестр, я весьма довольный, что контупер работает (пока!,) проверил все антивирусом Dr.web и перезагрузил технику. Загрузка прощла нормально, жена довольна, ведь можно смотреть кино дальше, ну а я вернувшись к ноутбуку сел писать это произведение.

    Огромнейшее спасибо автору!!!
    Ибо без ЕГО схемы лечения вместо данного сообщения был бы RIP! :)

  9. By Shults99 on Янв 21, 2012 | Reply

    Дмитрий
    Эти онлайн кинотеатры постоянно заражают всех.. )
    Спасибо за отзыв!

  10. By Alex on Янв 23, 2012 | Reply

    Жена читала почту через Thunderbird и поймала такую же хрень.
    Комп на Windows 7.

    После некоторых экспериментов вылечил вот так:
    1. Запустил Windows в режиме командной строки
    2. Нажал Crtl + U, открылся стандартный виндовый Проводник
    3. Запустил Regedit и поиском нашел в реестре все папки с названием Winlogon. В каждой папке Winlogon проверял, чтобы параметр userinit был равен userinit.exe, а параметр shell был равен explorer.exe. Ну или у них был указан вменяемый путь, без всяких папок temp и т.д..
    4. Находя кривые значения параметров менял их на правильные
    Всего что-то 4-6 мест, где этот гад прописался.
    5. Затем в Проводнике удалил все в файлы в папках C:\windows\temp
    6. Затем, поиском нашел все файлы с расширением exe в папке C:\Documents and Settings. Их оказалось не много, штук 30. Все файлы подозрительного вида убил. Они выглядят примерно так 0.99999999555.exe или ____999.exe и т.д.
    7. Перезагрузил комп и запустил сканирование антивирусом.
    Пока что все работает нормально, как ни в чем не бывало.

    А, вспомнил, еще убил в реестре подозрительные программы в автозагрузке. Так же поиском нужно найти в реестре папки с названием Run, внутри папок будут программы для автозагрузки. Подозрительные нужно прибить.

  11. By Shults99 on Янв 24, 2012 | Reply

    Alex
    Со всем согласен.. Если умеешь править реестр и знаешь, где – эт совсем другое дело..

  12. By Alex on Янв 25, 2012 | Reply

    Сам бы я никогда не догадался что делать, если бы не прочитал ваш пост. Единственная проблема – мне было лень возиться с ERD Commander, скачивать, записывать образы и т.д., поэтому я попытался найти свой путь :)
    Как говорится, лень – двигатель прогресса.
    А да, и забыл сказать «спасибо» за ваш пост :)

  13. By Shults99 on Янв 25, 2012 | Reply

    «2. Нажал Crtl + U, открылся стандартный виндовый Проводник» – у меня в норм.режиме в Windows 7 не открывается проводник. По Win+E открывается.

    «..лень – двигатель прогресса.» – снова согласен )) Иногда только она и двигает как-то дело с места))

    Есть еще вири – они userinit.exe заменяют или вирусуют. Там уже описанным Вами способом не исправишь..

    За пост – пожалуйста, за отзыв спс!

Post a Comment

Перед отправкой формы:
Human test by Not Captcha