http://atelemobile.ru/ Atelemobile Engine ru Мобильные Телекоммуникации http://atelemobile.ru/ http://atelemobile.ru/ http://atelemobile.ru/post_1306345098.html <DIV class="postimg"> <img src="http://atelemobile.ru/i/p/1306345098.jpeg" width="200" height="151" alt="Ваш компьютер заблокирован за просмотр, копирование. .."> </DIV> <p>Вчера, 25 апреля 2011 года мне на ремонт принесли ноутбук, зараженный смс вирусом (смс баннером) Trojan.Winlock.3252. Вирус требовал перевести на телефонный номер мтс 8-911-721-99-15 сумму в размере 400 рублей. Так как это 100% обман, я принялся удалять данный вирус, но на этот раз все оказалось немного сложнее. О том как самому разблокировать компьютер и удалить смс баннер и пойдет речь в данной статье.</p><br> <b>Заявленная неисправность</b><br> <p>При включении компьютера появляется смс баннер с надписью - Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы.... Для снятия блокировки вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8911-757-25-04.</p><br> <img alt="компьютер заблокирован за просмотр" width="500" src="http://mel-soft.ru/uploads/posts/2011-06/1308336761_1.jpg"><br><br> <b>Описание и пути решения проблемы</b><br> <p>Это еще одна свежая модификация смс вируса. Ни в коем случае не переводите деньги на указанный номер телефона, так как вы попадетесь "на удочку мошенникам". Это вирус и нужно удалять.</p><br> <h2>Порядок действий при удалении смс баннера:</h2> <p>Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.</p> <ul> <li>Загрузиться с любого загрузочного диска. Как записать образ на диск читаем здесь.</li><br> <li>Проверить нет ли на рабочем столе файла test.exe . Если есть - удалить</li><br> <li>Зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием <b>22CC6C32.exe</b></li><br> <li>Зайти в раздел реестра (команда regedit) <b>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon</b></li><br> <li><b>Значение параметра Shell </b>исправить на значение explorer.exe</li><br> <li><b>Значение параметра Userinit</b> исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)</li><br> <li>в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки.</li><br> </ul> <img alt="компьютер заблокирован за просмотр" width="500" src="http://www.evgeniystepanov.ru/img/komputer-zablokirovan.jpg"> <br><br> <p>Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:</p> <ul> <li>Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)</li><br> <li>Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32</li><br> <li>Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe</li><br> <li>Перезагружаем компьютер</li><br> </ul><br> <p>Данный способ проверен лично мной при ремонте компьютера клиента, вирус был успешно удален. Также этот метод может сработать при удалении смс вирусов со следующими телефонными номерам:</p> <ul> <li>8-987-907-21-98</li> <li>8-911-728-24-49</li> <li>8-911-757-18-97</li> <li>8-911-273-64-38</li> <li>8-911-757-25-04</li> <li>8-911-757-19-95</li> </ul><br> <p>Если Вы столкнулись с проблемой, когда появляется сообщение о том, что "компьютер заблокирован" - данная статья поможет Вам ее решить. Также у меня Вы можете заказать услугу удаление смс баннеров с выездом на дом и ознакомиться с полным спектром услуг компьютерной помощи.</p><br><br> Источник: <a target="_blank" href="http://www.evgeniystepanov.ru/komputer-zablokirovan.php">ИП Евгений Степанов</a><br><br> Ссылка по теме: <a target="_blank" href="http://atelemobile.ru/post_1285087959.html">Компьютер заблокирован. Вирус требует денег</a><br><br><br> <div style="margin-left:10px;color:#575;font-weight:bold;"><a href="http://atelemobile.ru/post_1306345098.html">Оставить комментарий</a></div> <div style="margin-left:10px;color:#575;font-weight:bold;"><a href="http://atelemobile.ru/post_1306345098.html">All Comments</a></div><br> <div style="float:right;margin-right:25px;color:#797;">Wed, 22 Jun 2011 01:06:52 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">компьютер заблокирован за просмотр</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">Вот реальный способ, который работает в данное время: <br> <br> <i>Компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента МТС 89112969336, 89110133035, 89117222488, 89112964880</i> <br> <br> Описание проблемы: <br> <br> Блокируется загрузка операционной системы, появляется голубое окно с сообщением – «<strong>Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми.</strong> Для снятия блокировки Вам необходимо оплатить штраф 400 рублей на номер телефона 89112969336, 89110133035, 89117222488, 89112964880, 89817574914, 89817539297 <span id="more-209"></span>после снятия блокировки удалить все материалы содержащие элементы насилия и педофилия. В противном случае, через 12 часов все данные будут удалены с вашего ПК, а дело передано для разбирательства Управление К МВД РФ по статье 242 ч.1 УК РФ. Код разблокировки будет напечатан на фискальном чеке терминала в случае оплаты суммы равной штрафу либо превышающей ее.» <br> <br> Методика удаления смс-вымогателя: <br> <ol><li>Загрузить компьютер с помощью LiveCD (LiveUSB) и подключить реестр заблокированной вирусом-вымогателем операционной системы <br> <a target="_blank" href="http://download.geo.drweb.com/pub/drweb/liveusb/win/drwebliveusb.exe">Link</a> <br> </li> <br> <li>Найти в реестре ветку: <br> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon <br> <br> Параметр: userinit <br> <br> Значение параметра должно быть: <br> с:\windows\system32\userinit.exe <br> где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем. <br> <br> Параметр: shell <br> <br> Значение параметра должно быть: <br> Explorer.exe <br> <br> Если значение параметра отличается, тоже исправляем.</li> <br> <li>Выгружаем подключенный реестр.</li> <br> <li>Заменяем изменный вирусом файл <strong> «userinit.exe»</strong> в каталоге <strong>«X:\WINDOWS\system32\», </strong>где <strong>«X» </strong>диск, на котором установлена заблокированная операционная система,<strong> </strong><strong> </strong> на аналогичный файл с другого компьютера, с такой же как у вас операционной системой. Например для <strong>Windows XP SP3</strong>, оригинальный файл <strong>userinit.exe </strong>можно скачать здесь <br> <a target="_blank" href="http://virus-free.ru/upload/userinit.exe">http://virus-free.ru/upload/userinit.exe</a> <br> </li> <br> <li>Перезагрузка, пробуем загрузить компьютер в обычном режиме.</li></ol> <br> <br> Подробнее здесь <br> <a target="_blank" href="http://virus-free.ru/virus-prosit-popolnit-nomer-abonenta-mts-89112969336-89110133035-89117222488/">Link</a> <br> </div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;"><a href="http://atelemobile.ru/connect_J5f61LH6fH61406d61E6c2eHK.html">Павел</a></div> <div style="clear:both;"></div><br> <div style="float:right;margin-right:25px;color:#797;">Fri, 30 Sep 2011 01:35:10 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">Без темы</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">программка ставить баннер, скачиваем от сюда <a target="_blank" href="http://www.bitoman.ru/download/85029.html">http://www.bitoman.ru/download/85029.html</a> вводим свой номер (куда будут приходить деньги с абонентов) Там дадут ссылку раскидаваем их по форумам, если по этой ссылке кто нибудь передёт его комп будет заблокирован. Говорю сразу архив мой платный отправите смс с вас снимут от 5 до 10 руб, в зависивости от оператора, думаю за такую программу это не много!</div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;"><a href="http://atelemobile.ru/connect_JAH61B6cO32303131406d61E6c2eHK.html">123</a></div> <div style="clear:both;"></div><br> <div style="float:right;margin-right:25px;color:#797;">Sat, 01 Oct 2011 23:37:02 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">Windows заблокирован</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">Большое спасибо за советы!!! Всплыла такая же проблема у знакомого на компе. Телефон МТС 89107646892. <br> Долго перезаписывала файлы и редактировала реестр, но ничего не помогало. Не удавалось просечь, на каком этапе вирус прописывается обратно в реестр загрузку cmd.exe с ключом /k вместо explorer.exe . Ни Касперский ни DR’WEB ничего не находил. Нашла AntiWinLockerLiveCD, позволяет чистить temp каталоги, в нем то и висел исполняемый файл с достаточно издевательским названием 0314.exe</div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;"><a href="http://atelemobile.ru/connect_6d635f6bA6e406cEIJ2eHK.html">Елена</a></div> <div style="clear:both;"></div><br> <div style="float:right;margin-right:25px;color:#797;">Mon, 21 Nov 2011 17:42:44 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">Ваш компьютер заблокирован за просмотр, копирование</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">Спасибо большое, способ помог. Загружался с помощью ERD - сильная штуковина. Почистил реестр, поудалял вирусы. Всё работает, ничего не всплывает и не блокирует. Гуд.</div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;">Василий</div> <div style="clear:both;"></div><br> <div style="float:right;margin-right:25px;color:#797;">Mon, 21 Nov 2011 22:59:07 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">Добавления</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Cu rrentVersion/Winlogon <br> Затем найти параметр “Shell” и задать ему значение “explorer.exe”</div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;"><a href="http://atelemobile.ru/connect_BE64616e5f383640E6e626fN2eHK.html">Фидан</a></div> <div style="clear:both;"></div><br> <div style="float:right;margin-right:25px;color:#797;">Sun, 27 Nov 2011 21:29:36 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">компьютер заблокирован</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">Скачиваем архив с паролями разблокировки! <a target="_blank" href="http://www.bitoman.ru/download/81256.html">http://www.bitoman.ru/download/81256.html</a> <br> Там будет блатный архив, отправте смс и всё такое... Стоимость смс (как было написано на сайте не более 5 руб) С меня сняли 3 руб с копейками. код разблокировки нашёл!</div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;"><a href="http://atelemobile.ru/connect_JAH61B6cO32303131406d61E6c2eHK.html">123</a></div> <div style="clear:both;"></div><br> <div style="float:right;margin-right:25px;color:#797;">Tue, 03 Jan 2012 19:18:54 GMT</div> <div style="clear:both;"></div> <div style="margin-left:10px;color:#575;font-weight:bold;">Windows XP Professional.iso</div> <div style="clear:both;"></div> <div style="margin:10px;color:#333;">Дорогие форумчане вам просто нужно удалить <br> старый Windows XP и установить вот этот взломанный <br> Windows XP Professional</div> <div style="clear:both;"></div> <div style="margin:10px;color:blue;text-decoration:underline;"><a href="http://atelemobile.ru/connect_HAME6e61616e61IJ61IE6a6140O616e64AN2eHK.html">rewinaanastasija</a></div> <div style="clear:both;"></div><br> <div style="margin-left:10px;color:#575;font-weight:bold;"><a href="http://atelemobile.ru/post_1306345098.html">Оставить комментарий</a></div> <div style="margin-left:10px;color:#575;font-weight:bold;"><a href="http://atelemobile.ru/post_1306345098.html">All Comments</a></div> Thu, 26 May 2011 00:38:18 GMT