Windows заблокирован. Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, к также, копирование и тиражирование видеоматериалов…+79874455407, +79874455476

03/12/2011 – 19:41 | by Shults99

Приложением Microsoft Security Essentials был зафиксирован

Windows заблокирован. Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, к также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации программного обеспечения корпорации Microsoft. По вышеизложенным причинам функционирование операционной системы было приостановлено.
Для активации системы необходимо:
Пополнить номер абонента МТС: +79874455407 (или +79874455476) на сумму 500 рублей.
Расчет производится в любом из терминалов для оплаты сотовой связи.
На выданном чеке Вы найдете Ваш персональный код.
Код следует ввести в расположенном ниже поле.
Ваш код.
...
Убедительная просьба: после активации системы, воздержаться от повторения действий, противоречащих закону, а также правилам эксплуатации ОС Windows.
Внимание! Если в течение 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows будут безвозвратно удалены! Попытка переустановить систему приведет к нарушению работы компьютера

Вобщем, они-бы еще домой стучались и говорили: "Ваш компьютер будет конфискован, т.к. был зафиксирован неправомерный доступ к материалам... и проч. :) )

Все ниже изложенное для Windows XP, но если понять логику, то можно применять и и для других ОС этого семейства. Она такова:

1) Вернуть с помощью ERD Commander систему назад
2) или поправить параметр Shell в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, он должен быть со значением explorer.exe
3) Будучи в в ERD Commaner Очистить директории Temp (в C:\Windows\Temp и в C:\Documents and Settings\Имя пользователя\Local Settings\Temp) и Temporary Internet Files (в C:\Documents and Settings\Имя пользователя\Local Settings\Temporary Internet Files)
4) После загрузки Очистить систему с помощью Ccleaner и проверить на вирусы.
-----------------------------------------------------------------------
Итак, теперь подробнее.
Попался у клиента такой вирус-вымогатель и он был благополучно вылечен первым методом из этой моей статейки - просто вернул систему на прошлое число (когда не было вируса) с помощью ERD Commander - никаких манипуляций с userinit.exe не проделывал. В статье ссылка на мультизагрузочный диск ERD Commander есть.

Этот вирь блокирует мышь, чтобы она не выходила за пределы баннера, потому способ нажатия 5 раз подряд клавиши Shift ничего толком не давал. Позже узнал, что можно было еще попробовать Win+U нажать...

1) Попался потом еще один вирь, но уже с другим телефоном +79874455476. В этот раз не удалось вернуть систему с помощью ERD Commander, как показано на фото

Восстановление системы в ERD Commander Windows XP System Restore

2) Потому пришлось лезть в реестр и править параметр Shell в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, он должен быть со значением explorer.exe, а была ссылка на файл из темповской директории C:\Documents and Settings\Имя пользователя\Temp.

3) Посмотрел я что в автозапуске с помощью Autoruns:

Править реестр в ERD Commander Windows XP

(Вдруг что, параметр Userinit в там же должен быть C:\Windows\system32\userinit.exe, (с запятой!))

4) Система после перезапуска загрузилась, я установил с компакт-диска прогу Ccleaner, почистил, удалил лишние программы, почистил автозапуск, набрав в командной строке msconfig и выбрав вкладку Автозагрузка, обновил и запустил стоявший до меня лицензионный Касперский (ну, тот самый, что вирь пропустил :) ) и,  получив за-всё-про-всё 600 р., ушел по своим делам.

Блогун - заработал за декабрь 2011 94.94 рубля ничего не делая!

В тему? 8)

  1. 32 Responses to “Windows заблокирован. Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, к также, копирование и тиражирование видеоматериалов…+79874455407, +79874455476”

  2. By motorix on Янв 3, 2012 | Reply

    Огромное спасибо за статью!!!
    1 вариант мне не помог (не получилось вернуть систему назад)
    2 вариант тоже, т.к стояло нужное значение explorer.exe
    Спас 3 вариант: когда я начал чистить папку Temp и др., нашел кучу левых exe-шных файлов.
    После загрузки Windows я почистил систему антивирусником и cclener

  3. By Shults99 on Янв 3, 2012 | Reply

    motorix
    Да – етот вирус частенько в Temp-ах и селится..

  4. By Sky53 on Янв 8, 2012 | Reply

    Подскажите пожалуйсто, у меня через ERD Commander не получается запустить диск с виндовс, т.е. даже выбрать деррикторию нельзя… пишет только none

  5. By Shults99 on Янв 11, 2012 | Reply

    Sky53
    Значит, в Windows была отключена возможность восстановления.
    Нужно действовать начиная с пункта 2.

  6. By Dm on Янв 12, 2012 | Reply

    Народ, а вы не пробовали пользоваться браузером, не встроенным в систему, Оеру надо юзать, моё скромное ИМХО (Имею Мнение, Хрен Оспоришь). Таким образом у меня были только вирусы с флех и от установки всяких программ, а всякие там баннеры блокирующие экран или не запускаются, или спокойно закрываются по Ctrl+W.
    Юзать IE это то же самое, что лезть в ведро с г****м без перчаток, хотя нет я не прав, это тоже самое, что нырять в бассейн с тем же самым без скафандра.

  7. By Сергей on Янв 17, 2012 | Reply

    Попробуйте ввести код 569999582

    мне помогло

  8. By Дмитрий on Янв 20, 2012 | Reply

    Сегодня жена поймала такой же вирь на сайте онлайн-фильмов, следуя инструкции загрузился с помощью ERD Commander(благо есть ноутбук подключенный к инету, чтобы скачать образ и записать его на болванку), но по адресу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в shell стоял параметр explorer.exe (как и надо), после недолгого недоумения,перешел к совету » удалить файлы из следующих директорий C:\Windows и в C:\Documents and Settings\Имя пользователя\Local Settings) и Temporary Internet Files (в C:\Documents and Settings\Имя пользователя\Local Settings», находясь в ERD Commander’е грохнул все файлы из вышеуказанных папок.
    Перезагрузился. Всё нормально. запустил Ccleaner(благо была установлена заранее) Очистил все что можно, перешел в раздел очистка реестра ( в CCleaner’е) и там умная программа нашла ссылки на автозапуск проги типа 1245831.exe (цифры взяты произвольно, точных не помню, не записал) из папки С:\windows\temp при этом самого файла не существовало (т.е. сслылка не действительна). Конечно, Гы-Гы, я ведь удалил всё из этой папки. Исправив реестр, я весьма довольный, что контупер работает (пока!,) проверил все антивирусом Dr.web и перезагрузил технику. Загрузка прощла нормально, жена довольна, ведь можно смотреть кино дальше, ну а я вернувшись к ноутбуку сел писать это произведение.

    Огромнейшее спасибо автору!!!
    Ибо без ЕГО схемы лечения вместо данного сообщения был бы RIP! :)

  9. By Shults99 on Янв 21, 2012 | Reply

    Дмитрий
    Эти онлайн кинотеатры постоянно заражают всех.. )
    Спасибо за отзыв!

  10. By Alex on Янв 23, 2012 | Reply

    Жена читала почту через Thunderbird и поймала такую же хрень.
    Комп на Windows 7.

    После некоторых экспериментов вылечил вот так:
    1. Запустил Windows в режиме командной строки
    2. Нажал Crtl + U, открылся стандартный виндовый Проводник
    3. Запустил Regedit и поиском нашел в реестре все папки с названием Winlogon. В каждой папке Winlogon проверял, чтобы параметр userinit был равен userinit.exe, а параметр shell был равен explorer.exe. Ну или у них был указан вменяемый путь, без всяких папок temp и т.д..
    4. Находя кривые значения параметров менял их на правильные
    Всего что-то 4-6 мест, где этот гад прописался.
    5. Затем в Проводнике удалил все в файлы в папках C:\windows\temp
    6. Затем, поиском нашел все файлы с расширением exe в папке C:\Documents and Settings. Их оказалось не много, штук 30. Все файлы подозрительного вида убил. Они выглядят примерно так 0.99999999555.exe или ____999.exe и т.д.
    7. Перезагрузил комп и запустил сканирование антивирусом.
    Пока что все работает нормально, как ни в чем не бывало.

    А, вспомнил, еще убил в реестре подозрительные программы в автозагрузке. Так же поиском нужно найти в реестре папки с названием Run, внутри папок будут программы для автозагрузки. Подозрительные нужно прибить.

  11. By Shults99 on Янв 24, 2012 | Reply

    Alex
    Со всем согласен.. Если умеешь править реестр и знаешь, где – эт совсем другое дело..

  12. By Alex on Янв 25, 2012 | Reply

    Сам бы я никогда не догадался что делать, если бы не прочитал ваш пост. Единственная проблема – мне было лень возиться с ERD Commander, скачивать, записывать образы и т.д., поэтому я попытался найти свой путь :)
    Как говорится, лень – двигатель прогресса.
    А да, и забыл сказать «спасибо» за ваш пост :)

  13. By Shults99 on Янв 25, 2012 | Reply

    «2. Нажал Crtl + U, открылся стандартный виндовый Проводник» – у меня в норм.режиме в Windows 7 не открывается проводник. По Win+E открывается.

    «..лень – двигатель прогресса.» – снова согласен )) Иногда только она и двигает как-то дело с места))

    Есть еще вири – они userinit.exe заменяют или вирусуют. Там уже описанным Вами способом не исправишь..

    За пост – пожалуйста, за отзыв спс!

  14. By Xenogear on Мар 31, 2012 | Reply

    Гм, мой вариант этой хрени оказался жаднее и требовал аж 1000 руб. Я, перезагрузившись в линукс убунту, благополучно и бездумно (позже оказалось, что правильно сделал) выкорчевал папки TEMP, в корне диска С была поганая папочка с билибердовским названием из рандомного сочетания букв – оппа, попались, сцуки! Удалил. Перезагрузился, система развернулась как обычно. ccleaner показал в автозагрузке чуждый элемент с амбициозным shell в названии. Я порадовался за то что написавшие это дерьмо криворукие сцуки не получат от меня ни копейки. Удалил. Почистил реестр. Гудбай, Америка, ооо!

  15. By Shults99 on Мар 31, 2012 | Reply

    Гудбай, Америка, ооо!)

  16. By Misha on Апр 11, 2012 | Reply

    Я баннер подцепил на сайте missfit.ru.Гугл выдавал его первым на запрос упражнения для растяжки мышц)Запустил в безопасном режиме с командной строкой,там ввёл explorer.exe.Запустился рабочий стол,удалил темп,посмотрел все файлы,обновлённые сегодня,удалил их,перезагрузил,не помогло,просто в панели управления откатил систему и всё работает

  17. By Lamer on Апр 17, 2012 | Reply

    Сегодня столкнулся с этой же проблемой, которая в сетях уже давно освещена на разных сайтах. Попробовал следовать рекомендациях, но успехов не добился. Тогда замутил следующее: запустил ноутбук с 7-ой виндой (зараженный) в безопасном режиме с командной строкой. Через диспетчер задач задал новую задачу (типа F:/…без разницы) Далее нашел на рабочем столе вкладку «Панель управления», далее «Система и безопасность» и запустил восстановление системы ОС по состоянию на вчерашнее число». Вот и все. Ну почистил после комп. А так то вообще не шарю :)

  18. By Shults99 on Апр 17, 2012 | Reply

    Последние версии вирей прописываются тупо в автозагрузке – не подменяя userinit

  19. By FediOK on Апр 21, 2012 | Reply

    Спасибо за пост, тоже столкнулся с этой проблемой(правда номер был другой), но решил я ее другим способом: качать прогу и записывать ее было лень, поэтому я запустил windows 7 в безопасном режиме с коммандной строкой, далее win+u я вызвал меню специалных возможностей, и восстановлением откатил) Сработало слава Богу!) Вот сейчас проверяю лицензионным Касперычем(который баннер то пропустил собака!!) все что ожно и нельзя, и ccleaner’ом чищу реестр))
    В любом случае автору спасибо!)

  20. By Shults99 on Апр 21, 2012 | Reply

    ..можно из строки было вызвать explorer

  21. By Роман on Апр 24, 2012 | Reply

    Я просто загрузил с болванки миниатюрную XP, залез в C:\Documents and Settings\Имя юзера, нашёл там некий ms.exe и убил эту тварь. Потом загрузился как обычно, запустил через «выполнить» msconfig и увидел в автозагрузке с десяток ссылок на этот файл и проставленные галочки, которые снял. Больше ничего не делал))

  22. By Дмитрий on Апр 24, 2012 | Reply

    товарищу FediOK
    Мой пост здесь отображен от 20.01.2012.

    Некоторые комментарии:

    1) из скриншота автора видно что он эту проблему решал в windows XP (и у него получилось).
    2) у меня тоже на зараженном компьютере стояла windows XP
    3) Из поста Xenogear от 31.03.2012: он загрузил убунту и сделал (наобум, но правильно) по совету автора, удалил всё из папки темп.
    PS у меня на тот момент (да и сейчас) на компьютере тоже стояла Linux (alt 4.1), поставил для ознакомления, но потихоньку изучаю, интересно же :) , да и с решением некоторых проблем windows, помогала; так вот: я на тот момент мог бы удалить все эти файлы из папки темп загрузившись в Linux, но всё же скачал erd commander и не пожалел об этом: весьма нужный инструмент.

    4) Товарищу FediOK: не ругайте свой антивирус, когда моя жена поймала этот вирь, ситуация развернулась следующим образом: Как только жена перешла на сайт, Dr.WEB(лицензия, версия 6) тут же ругнулся что какой-то процесс пытается выйти в сеть, но моя жена даже не успела нажать что либо, как появилось окошко с выпрашиванием денег, дальше я уже описал, что я делал. А теперь просто проанализируйте: дату написания автором сей темы, дату моего первого поста, и дату вашего поста, Наверняка злоумышленники за это время модернизировали свой вирус и именно по этому Ваш антивирус его пропустил, так как не смог опознать.

    Автор – не Гневись на меня, никоим образом не хотел оскорбить или унизить пользователей написавших вышестоящие посты. Если есть претензии пиши на мыло (ты его знаешь), адекватный ответ гарантируется.

    PSS Автору

  23. By Shults99 on Апр 24, 2012 | Reply

    Дмитрий
    Вообще, эти вири-вымогатели стали тупые. Раньше, хоть userinit меняли.. Сейчас, видимо, после того, как их научились лечить live-cd антивирусы, просто пишутся в автозапуск.

  24. By Роман on Апр 26, 2012 | Reply

    Решил жене просто (тоже кстати любительница фильмов онлайн). F8, перезагрузка в без режиме с поддержкой ком строки. Строка : с:документс енд сеттинг дополнил эксплорером.ехе – откат системы и опля – все грузится, проверяем и чистим реестр, меняем антивирус – проверка снова и…. продолжаем смотреть фильмы онлайн )))))

  25. By Shults99 on Апр 26, 2012 | Reply

    Хе-хе.. ) Сегодня вечерком схожу на вирусованный сайтег.

  26. By Роман on Апр 26, 2012 | Reply

    Отпиши потом с телефона как сходил ;)

  27. By Shults99 on Апр 26, 2012 | Reply

    Misha, Роман
    ))
    Я в расстройстве! missfit.ru не заражен нифига!

  28. By Пользователь Firefox on Апр 29, 2012 | Reply

    Поймал это вирус в Firefox-е. Похоже, пробрался через flash player.

  29. By qq on Май 1, 2012 | Reply

    89879069545 – этот номер попался

  30. By Neymnik on Май 4, 2012 | Reply

    Здравствуйте!
    Столкнулась с той же проблемой, вот только номер другой и косарь. Не могу ноутбук включить в безопасном режиме, точнее он включается и загружается Windows\system32 и опять таже картина на рабочем столе, только на темном экране, ни пуск, ни доступа к другим программам?
    Не подскажите к кому(или кового)можно попросить отремонтировать.

  31. By Shults99 on Май 4, 2012 | Reply

    Попробуйте выбрать Безопасный режим с поддержкой командной строки (после 3-5 сек после включения ноута нажимать F8)

    и набрать потом explorer.
    Потом нажать Win+R,
    набрать msconfig
    и в Автозагрузке снять галочки со всего лишнего.

  32. By Роман on Май 5, 2012 | Reply

    Странные люди, говорят же что безопасный режим не запускается и курсор мышки не работает. Я сам пытался автозагрузку вызвать за те несчастные две секунды после включения компа и до появления заставки, через «диспетчер задач – файл – новая задача», но даже explorer запустить не удалось. Спасла только болванка со встроенной XP и прошаривание всего диска.

  33. By Анастасия on Май 11, 2012 | Reply

    Сегодня эти гады и меня подловили. Смотрю себе спокойно новости и на тебе Windows заблокирован. И чего делать понятия не имею. Последовала советам:

    By Alex on Янв 23, 2012 | Reply

    Жена читала почту через Thunderbird и поймала такую же хрень.
    Комп на Windows 7.

    После некоторых экспериментов вылечил вот так:
    1. Запустил Windows в режиме командной строки
    2. Нажал Crtl + U, открылся стандартный виндовый Проводник
    3. Запустил Regedit и поиском нашел в реестре все папки с названием Winlogon. В каждой папке Winlogon проверял, чтобы параметр userinit был равен userinit.exe, а параметр shell был равен explorer.exe. Ну или у них был указан вменяемый путь, без всяких папок temp и т.д..
    4. Находя кривые значения параметров менял их на правильные
    Всего что-то 4-6 мест, где этот гад прописался.
    5. Затем в Проводнике удалил все в файлы в папках C:\windows\temp
    6. Затем, поиском нашел все файлы с расширением exe в папке C:\Documents and Settings. Их оказалось не много, штук 30. Все файлы подозрительного вида убил. Они выглядят примерно так 0.99999999555.exe или ____999.exe и т.д.
    7. Перезагрузил комп и запустил сканирование антивирусом.
    Пока что все работает нормально, как ни в чем не бывало.

    А, вспомнил, еще убил в реестре подозрительные программы в автозагрузке. Так же поиском нужно найти в реестре папки с названием Run, внутри папок будут программы для автозагрузки. Подозрительные нужно прибить.

    Нашла в Winlogone такой файл с цифрами 0.2989885461277111.exe заменила название на эксплорер как сказано, а больше поиском как не пробовала найти остальные папки никак не получалось, тогда в командной строке написала эксплорер и тут мне вылезло меню пуск в безопасном режиме, зашла на жесткий диск, где моя система распологается и там в юзерс 2 этих падлы файла, у второго номер был: 0.7198190507495335.exe удалила их нафиг, перезагрузила, и оп ля, все работает, ура ура ура!!! Поставила сразу на сканирование компьютера

    а номер был такой: 89879115677

Post a Comment

Перед отправкой формы:
Human test by Not Captcha