Хочу рассказать вам друзья один случай заражения компьютером мошенническим вирусом.
Windows заблокирован пополнить номер абонента
При загрузке компьютера на экране монитора при входе в систему появляется предупреждение - Windows заблокирован для разблокировки вам нужно пополнить номер абонента..,
означающее заражение компьютера вирусом Trojan.Winlock или Trojan-Ransom, а ещё проще- Пошлите смс. Ни одна кнопка на клавиатуре не работает, а так же ни одно сочетание клавиш.
- Например можно попробовать до момента загрузки баннера нажать комбинацию Ctrl+Shift+Esc, очень редко везёт и вы сможете попасть в диспетчер задач, затем найти вражеский процесс и завершить его. Или в окне диспетчера задач выбрать Файл->Открыть, далее набрать explorer и Ок, таким образом вы сможете попасть в проводник, далее наведаться в папку С:\Windows->system32 и удалить все файлы оканчивающиеся на .exe и dll с датой на день заражения Windows баннером. Набрав команду msconfig, попадёте в автозагрузку-удалите оттуда всё.
Если эти варианты не помогли, предлагаю другой способ.
Что мы имеем: диск со средой восстановления Windows 7 и компьютер с заблокированной баннером вымогателем. Перезагружаем компьютер, заходим в BIOS, выставляем загрузку с дисковода и загружаемся с данного диска восстановления Windows 7
Естественно поиск установленных систем ничего не дал, среда восстановления не нашла никакой Windows,
Не было никакого образа системы на дополнительном разделе.
Остается одно - зайти в командную строку
и попробовать войти в проводник Windows, через известную команду notepad. Командная строка и набираем notepad. Попадаем в блокнот, здесь Файл и Открыть.
В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
Что бы просмотреть их, нужно зайти в реестр заблокированной системы, сделать это можно например с диска Live CD, дающего возможность подключиться к операционной системе или идеальный вариант с помощью специальных дисков восстановления ERD Commander в Windows ХР и Microsoft Diagnostic and Recovery Toolset в Windows 7. У меня такого диска не было и оставался один вариант. В этом случае можно зайти в папку С:\Windows\repair (не забывайте в Типах файлов указывать Все файлы, а то вы ничего не увидите),
там хранятся резервные копии файлов реестра, созданные при установке Windows XP, далее скопировать оттуда файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM и заменить ими повреждённые файлы реестра с такими же названиями в папке C:\Windows\System32\Config.
К сожалению многие установленные программы откажутся работать, так как состояние реестра будет такое, какое оно было на момент установки Windows. В первую очередь я зашёл в папку C:\Windows\System32\Config и удалил оттуда повреждённые файлы реестра -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, кстати перед удалением можете их скопировать на всякий случай в любую папку.
Затем я зашёл в папку С:\Windows\repair и скопировал из неё в папку C:\Windows\System32\Config резервные файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.
Ещё я удалил всё из папок Temp. В Windows ХР они находятся:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp.
Так же полностью очистил папку C:\Windows\Prefetch.
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp.
Так же полностью очистил папку C:\Windows\Prefetch.
В папке С:\Windows->system32, просмотрел файлы оканчивающиеся на .exe и dll, с датой на вчерашний день, когда произошло заражение компьютера баннером вымогателем, нашёл такой всего один и удалил его.
Затем перезагрузился. Windows загрузилась без сообщения - Windows заблокирован пополнить номер абонента, многие программы удалось запустить непосредственно из личных папок в C:\Program Files. Игры все запустились вообще без проблем.
Есть ещё один способ, переустановить Windows.
Не попадайтесь на удочку мошенников!
Комментариев нет:
Отправить комментарий