Размер шрифта:

Ваш компьютер заблокирован за просмотр, копирование ...

Ваш компьютер заблокирован за просмотр, копирование. ..

Вчера, 25 апреля 2011 года мне на ремонт принесли ноутбук, зараженный смс вирусом (смс баннером) Trojan.Winlock.3252. Вирус требовал перевести на телефонный номер мтс 8-911-721-99-15 сумму в размере 400 рублей. Так как это 100% обман, я принялся удалять данный вирус, но на этот раз все оказалось немного сложнее. О том как самому разблокировать компьютер и удалить смс баннер и пойдет речь в данной статье.


Заявленная неисправность

При включении компьютера появляется смс баннер с надписью - Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы.... Для снятия блокировки вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8911-757-25-04.


компьютер заблокирован за просмотр

Описание и пути решения проблемы

Это еще одна свежая модификация смс вируса. Ни в коем случае не переводите деньги на указанный номер телефона, так как вы попадетесь "на удочку мошенникам". Это вирус и нужно удалять.


Порядок действий при удалении смс баннера:

Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

  • Загрузиться с любого загрузочного диска. Как записать образ на диск читаем здесь.

  • Проверить нет ли на рабочем столе файла test.exe . Если есть - удалить

  • Зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe

  • Зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  • Значение параметра Shell исправить на значение explorer.exe

  • Значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)

  • в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки.

компьютер заблокирован за просмотр

Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

  • Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)

  • Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32

  • Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe

  • Перезагружаем компьютер


Данный способ проверен лично мной при ремонте компьютера клиента, вирус был успешно удален. Также этот метод может сработать при удалении смс вирусов со следующими телефонными номерам:

  • 8-987-907-21-98
  • 8-911-728-24-49
  • 8-911-757-18-97
  • 8-911-273-64-38
  • 8-911-757-25-04
  • 8-911-757-19-95

Если Вы столкнулись с проблемой, когда появляется сообщение о том, что "компьютер заблокирован" - данная статья поможет Вам ее решить. Также у меня Вы можете заказать услугу удаление смс баннеров с выездом на дом и ознакомиться с полным спектром услуг компьютерной помощи.



Источник: ИП Евгений Степанов

Ссылка по теме: Компьютер заблокирован. Вирус требует денег

Социальные закладки:


Адрес заметки: http://mobitelec.ru/post_1306345098.html

22 июня 2011, 01:06
Вот реальный способ, который работает в данное время:

Компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента МТС 89112969336, 89110133035, 89117222488, 89112964880

Описание проблемы:

Блокируется загрузка операционной системы, появляется голубое окно с сообщением – «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф 400 рублей на номер телефона 89112969336, 89110133035, 89117222488, 89112964880, 89817574914, 89817539297 после снятия блокировки удалить все материалы содержащие элементы насилия и педофилия. В противном случае, через 12 часов все данные будут удалены с вашего ПК, а дело передано для разбирательства Управление К МВД РФ по статье 242 ч.1 УК РФ. Код разблокировки будет напечатан на фискальном чеке терминала в случае оплаты суммы равной штрафу либо превышающей ее.»

Методика удаления смс-вымогателя:
  1. Загрузить компьютер с помощью LiveCD (LiveUSB) и подключить реестр заблокированной вирусом-вымогателем операционной системы
    Link

  2. Найти в реестре ветку:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    Параметр: userinit

    Значение параметра должно быть:
    с:\windows\system32\userinit.exe
    где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем.

    Параметр: shell

    Значение параметра должно быть:
    Explorer.exe

    Если значение параметра отличается, тоже исправляем.

  3. Выгружаем подключенный реестр.

  4. Заменяем изменный вирусом файл «userinit.exe» в каталоге «X:\WINDOWS\system32\», где «X» диск, на котором установлена заблокированная операционная система, на аналогичный файл с другого компьютера, с такой же как у вас операционной системой. Например для Windows XP SP3, оригинальный файл userinit.exe можно скачать здесь
    Link

  5. Перезагрузка, пробуем загрузить компьютер в обычном режиме.


Подробнее здесь
Link
30 сентября 2011, 01:35
программка ставить баннер, скачиваем от сюда Link вводим свой номер (куда будут приходить деньги с абонентов) Там дадут ссылку раскидаваем их по форумам, если по этой ссылке кто нибудь передёт его комп будет заблокирован. Говорю сразу архив мой платный отправите смс с вас снимут от 5 до 10 руб, в зависивости от оператора, думаю за такую программу это не много!
123
01 октября 2011, 23:37
Большое спасибо за советы!!! Всплыла такая же проблема у знакомого на компе. Телефон МТС 89107646892.
Долго перезаписывала файлы и редактировала реестр, но ничего не помогало. Не удавалось просечь, на каком этапе вирус прописывается обратно в реестр загрузку cmd.exe с ключом /k вместо explorer.exe . Ни Касперский ни DR’WEB ничего не находил. Нашла AntiWinLockerLiveCD, позволяет чистить temp каталоги, в нем то и висел исполняемый файл с достаточно издевательским названием 0314.exe
21 ноября 2011, 18:42
Спасибо большое, способ помог. Загружался с помощью ERD - сильная штуковина. Почистил реестр, поудалял вирусы. Всё работает, ничего не всплывает и не блокирует. Гуд.
Василий
21 ноября 2011, 23:59
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Cu rrentVersion/Winlogon
Затем найти параметр “Shell” и задать ему значение “explorer.exe”
27 ноября 2011, 22:29
Скачиваем архив с паролями разблокировки! Link
Там будет блатный архив, отправте смс и всё такое... Стоимость смс (как было написано на сайте не более 5 руб) С меня сняли 3 руб с копейками. код разблокировки нашёл!
123
03 января 2012, 20:18
Дорогие форумчане вам просто нужно удалить
старый Windows XP и установить вот этот взломанный
Windows XP Professional
Комментарии к этой заметке больше не принимаются.

Рейтинг популярности - на эти заметки чаще всего ссылаются:

май, 2011
пн вт ср чт пт сб вс
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31