1

Как удалить порно информер Windows заблокирован! Приложением Microsoft Security Essentials …Пополнить номер абонента Билайн +79676716403 на сумму 1000 рублей и тд…

Уж сколько раз твердили миру…закончилась лицензия на антивирус — купи продление!!! Ан нет ничего люди не боятся и продолжают лазить по просторам нета с незащищенным компьютером.
История получается такого содержания…
Итак попадает в руки комп с блокировкой рабочего стола следующего типа:

Пополнить номер абонента Билайн +79676716403 на сумму 1000 рублей

Windows заблокирован!
Приложением Microsoft Security Essentials

Текст на баннере следующего содержания:
Windows заблокирован!
Приложением Microsoft Security Essentials был заблокирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии….

Для активации системы необходимо:
Пополнить номер абонента Билайн +79676716403 на сумму 1000 рублей и тд…и тп

Шаг №1.
Для начала как водится пробуем на сайтах антивирусов посмотреть коды разблокировки…

https://www.drweb.com/xperf/unlocker/
http://sms.kaspersky.ru/
http://www.esetnod32.ru/.support/winlock/

В первом случае…DrWeb определяет блокировщик как
Trojan.Winlock.6049 и пишет…

Важно: У данного типа блокировщиков отсутствуют коды разблокировки.
Инструкция для самостоятельной разблокировки доступна здесь
Нам это подходит мало и мороки там очень много…Мы, как говорил маленький Володя, пойдем другим путем!!!
В двух остальных случаях помощи тоже не находится…:(((

Шаг №2.
Качаем со всех 3-х сайтов Live CD от DrWeb, Касперского и Eset…здесь ничего сложного (только с Есетом небольшая проблема была… очень долго качался файл и  не закачивался правильного объема почему-то меньшего, приходилось перекачивать 3 раза)

Шаг №3.
Пишем образы на болванки на небольших скоростях..
Я писал с помощью Ultra ISO, но тут как кому удобней можно и Nero использовать…

Шаг №4.
Лезем в BIOS и ставим загрузку с CD-DVD первой (Как это сделать думаю все знают)

Шаг №5.
Загружаемся с Live CD и в идеале после загрузки в визуальном режиме начинаем сканировать диски…

Все бы хорошо, но…базы на дисках я обновить не смог…сетевая карта подвела!Она просто не определилась
DrWeb в визуальном режиме ничего не обнаружил соответственно…но в текстовом после перезагрузки он  что-то исправил и я попал наконец-то в безопасном режиме на рабочий стол!!!

Далее по накатанной схеме качаем последний AVZ и Malwarebytes Anti-Malware 1.65.1.1000 c http://www.malwarebytes.org

Первая программа обнаружила 1 уязвимость…а вот вторуюю я пользую уже не впервой и результатами ее очень доволен…жаль что версии на сайте в общем то платные но триальные…
Результаты ниже:
Текстовой файл после обнаружения…
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.09.29.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: MICROSOF-2F6686 [администратор]

17.11.2012 3:13:17
mbam-log-2012-11-17 (04-18-08).txt

Тип сканирования:  Полное сканирование  (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  201800
Времени прошло:  30 минут , 56 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  10
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S603797 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F4EXG0FWZFEK (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE3E82.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S16859100 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S1796151 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S131311 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S1114175 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S16213138 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S7182150 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S103115156 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|S87143128 (Trojan.Agent) -> Параметры: C:\Temp\5.538514518267887E8.exe -> Действие не было предпринято.

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  1
C:\Program Files\LouderIt\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.

(конец)

Все это потом было вручную удалено!!!!!!!!!!!!!!

Malwarebytes Anti-Malware

Malwarebytes Anti-Malware

 

Из карантина нужно удалять каждый!!!

Malwarebytes Anti-Malware

Malwarebytes Anti-Malware

 

Ну и остается установить новую лицензию и полностью прогнать компьютер на предмет остатков вирусняков:)))

 

Проверьте ваши файлы антивирусом DrWeb

 

 

 

 

Антивирус Dr.Web - купить online!

Метки: , , , , , , , , , ,

1 Comment

  • МОЖНО ПОПРОБОВАТЬ И ЭТО…
    ЗАЖИМАЕМ кнокпи Ctrl + Alt + Delete (если XP) или Ctrl + Shift + Esc (если Windows 7-ка или Vista) левой рукой.
    Будет моргать диспетчер задач, а тем временем правой рукой снимаем задачу (нашего баннера) мышкой.
    Баннер должен исчезнуть, а заместо него, пустой рабочий стол. Далее открываем диспетчер задач, файл, новая задача (выполнить), введите имя regedit, нажмите ОК =>откроется редактор реесстра.
    Далее идёте по ветке => HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT => CurrentVersion= > Winlogon.
    Нажимаем один раз мышкой по «Winlogon», находим параметр «Shell», нажимаем по нему правой кнопкой мышки, выбираем из меню «Изменить».
    У вас будет значение прописано к вирусу. Поменяйти его значение на Explorer.exe => Нажмите ОК.
    И еще, посмотрите строку Userinit, там кроме «C:\WINDOWS\system32\userinit.exe,» ничего быть недолжно. Откройте диспетчер задач, нажимаете «Завершение работы и перезагрузка».

Добавить комментарий

Создание и продвижение сайтов WebLine-Studio © 2008-2019