windows заблокирован
Не прошло недели как ко мне за помощью обратился еще один знакомый.
На этот раз дело было посерьезней, при загрузке windows выскакивало окошко вот с таким текстом:
Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к материалам порнографического содержания, а также, копирование и тиражирование видеоматериалов содержащих элементы насилия либо педофилии. Данные действия противоречат УК РФ, а также являются нарушением лицензионного соглашения по эксплуатации програмного обеспечения корпорации Microsoft. По вышеизложенным причинам функционирование системы было приостановлено.
Для активации системы необходимо:
Пополнить номер абонента МТС +79874364428 на сумму 500 рублей.
Расчет производится в любом из терминалов для оплаты сотовой связи.
На выданном терминалом чеке Вы найдете ваш персональный код.
код следует ввести в расположеном ниже поле.
убедительна просьба: после активации системы. воздержаться от повторения действий, противоречащих закону, а также правилами эксплуатации ОС Windows.Внимание! если в течении 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая Windows будут безвозвратно удалены! попытка переустановить систему приведет к нарушениям работы компьютера.
Сделал снимок, качество не очень, но определить думаю сможете. Если у вас такой же баннер то скорее всего я смогу помочь Вам.
Посмотрев на пациента как обычно полез со своего рабочего ноутбука искать информацию по этому вирусу.
Искал долго и упорно, но везде одни жалобы и сопли, ответа на конкретные вопросы так и не нашел.
полез на сайты касперского и доктора веба — услуги по разблокировке результата не дали, ни один код не одошел. Решил воспользоваться загрузочной флешкой, делал все по инструкции написаной у касперсокго — образ создать не получилось. Полез к доктору вебу — сделал загрузочную флешку, вставил в зараженный компьютер, в биосе выбрал загрузку с флешки — загрузка так и не началась. попробовал загрузиться в безопасном режиме — баннер все равно появляется. Весь день убил на решение этого вопроса, читал искал — везде предлагали сложные процедуры от которых начинала болеть голова.
Мне сейчас чертовски приятно что, я сам додумался до такого простого решения, надеюсь что это поможет Вам!
ОТВЕТ:
1. Выключаете компьютер.
2. Включаете компьютер и постоянно жмете клавишу F8 (если не получится пробуйте F5) пока не появится меню
3. В появившемся меню выбираете «Безопасный режим с поддержкой командной строки». (рис. ниже).
4. Когда windows загрузится должно появиться окошко «командная строка».
5. Впишите туда: %SystemRoot%\system32\restore\rstrui.exe и нажмите Enter. (рис. ниже)
6. Запустится востановление системы, следуйте инструкции. выберите более раннюю точку восстановления и нажмите далее. после восстановления системы баннер должен пропасть. если не получилось , попробуйте более раннюю точку востановления.
7. После того как компьютер нормально загрузится, обязательно проверьте его антивирусом с обновленными антивирусными базами.
Надеюсь эта статья кому нибудь поможет и избавит от ненужных мучений.
Знаете другие варианты избавления от баннера, пишите в комментариях.
Помогайте друг другу!
03.12.2011 в 12:38
Вот еще полезная информация, которой мне так не хватало вчера 🙂
http://www.ellexdev.com/blog/100
11.01.2012 в 16:52
Спасибо! Помогло!
18.01.2012 в 13:09
Автору, респект, все помогло!!!
19.01.2012 в 17:25
Спасибо, помогло! Ценная информация, возьму на заметку в дальнейшем.
27.01.2012 в 21:06
Спасибо огромное за совет, часа 4 мучался, пытался избавиться от вируса и тут, случайно, наткнулся на этот сайт!
27.01.2012 в 23:56
Windows заблокирован! +79879406697
Пол дня ухряпал, что бы этот убить этого блокировщика.
Инструкция к убийству в XP:
1Перезагружаем комп+ F8
2Выбираем загрузку с командной строкой
3После загрузки в окне пишем msconfig и жмем enter
4переходим на вкладку автозагрузки
5Если в списке сразу ничего не нашли подозрительного жмите «отменить все»
6перезагружаем — опять убогий баннер! Ничего не ломаем, не злимся
7 см. п1 и п2
8 делаем п3 и п4 и смотрим где галочки появились автоматически, нас интересует автозагрузка файлов из каталогов с папкой TEMP.
К слову, у меня в списке было отмечено два файла. Один из них лежал в каталоге C:\Windows \Temp\wpbt0.d11 и, как видно имел формат dll. Им я и заинтересовался.
9 Оставляем окно с конфигурацией(автозагрузкой) открытым и переходим в окно командной строки.
10 Используя команды:
cd .. — переход на каталог выше;
cd c:\catalog — установить текущим каталог с именем catalog на диске C;
dir *.dll — выводится информация обо всех файлах с расширением dll из текущего каталога;
del Удаление одного или нескольких файлов.
Удаляем файл паразит( в моем случае wpbt0.d11 ). Для этого пишем в строке cd «путь к файлу»(в моем случае cd C:\Windows\Temp\). Затем del «имя файла»(в моем случае del wpbt0.d11). Можно проверить удалился ли он командой dir *.dll (если расширение exe, то пишите dir *.exe).
11 Перезагружаете — окно у меня исчезло. Установил прогу malwarebytes и просканировал диск С.В результате нашел C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\LII04QHZ\info[1].exe. Удаляем!
03.02.2012 в 19:49
Еще один блокировщик, вылечился утилитой от касперского
http://www.nofaq.net/2012/02/windows-заблокирован-2/
04.02.2012 в 17:21
Спасибо огромное за совет с фотографиями! Из всего, что я перепробовала, помогло только это. А может ли это окно с ообщением о блокировке Windows появиться на защищенном антивирусом компьютере?
05.02.2012 в 7:41
Да. Может. Эти вирусы специально пишут, чтобы обойти защиту антивируса. И каждый раз обновляют.
11.02.2012 в 11:52
Спасибо огромное этому сайту и автору!!! Очень долго мучалась, сейчас уже антивирусом сканирую)))
10.03.2012 в 16:09
Ни в коем случае не высылайте деньги, это мошенничество!
10.03.2012 в 20:14
Поправки к сообщению Виталия
Пишем в командной строке полный путь к файлу
msconfig.exe Это файл востановления системы.
В моем случае для XP
c:\windows\pchealth\helpctr\binaries\msconfig.exe
Откидываем систему назад, перезагружаем, включаем антивирусник у меня Касперский, он сам удалит вирусы.
У меня их 4 в карантине
18.03.2012 в 21:30
У меня вопрос к админу.
1.Злоумышленники действительно могут потереть биос?
2.До какой глубины системы хакеры смогут добраться?
19.03.2012 в 11:11
1. BIOS потереть не смогут. BIOS записан в постоянное запоминающее устройство. И при помощи биоса обеспечивается начальная загрузка компьютера и последующий запуск операционной системы (ОС). Вирус попадает в компьютер через ОС. А у ОС не достаточно прав для того, чтоб пилить ветку на которой она запускается.
2. Хм. А какие глубины системы есть? ))) Постарайтесь более четко сформулировать вопрос, либо разбить на несколько маленьких вопросиков.
По поводу вредоносности вирусов. Знаю вирусню, которая удаляла все JPG файлы, есть вирусня, которая удаляет все MP3 файлы. Но это мелкая гадость. Винлокеры меняют собой файлы userinit.exe и вносят изменения в реестр ОС. Но дальше ОС им не выбраться.
02.04.2012 в 7:44
Я имел в виду документы созданные в редакторе Микрософт VISIO, а также текстовые документы.
02.04.2012 в 23:33
Спасибо большое! Помогло, система откатилась, все теперь работает, как и прежде!
Автор — молодец, очень полезная статья.
06.04.2012 в 17:00
%SystemRoot%\system32\restore\rstrui.exe
Помогло спасибо
11.04.2012 в 22:35
Подскажите,пожалуйста! Я нажимала и F8, и F5,но меню не появляется. Что можно сделать?
11.04.2012 в 23:08
Когда окно с «командной строкой» загрузилось, появилось C:\Windows\system32>. Я совсем не разбираюсь, но оно, для меня, отличается от того,что в посте. Подскажите,пожалуйста, кто-нибудь,как дальше ввести?
12.04.2012 в 11:12
Вам нужно запустить восстановление системы, попробуйте ввести по очереди следующие команды, какая-то из них сработает:
а) %SystemRoot%\system32\restore\rstrui.exe
б) %SystemRoot%\system32\rstrui.exe
или
в) C:\Windows\system32\restore\rstrui.exe
г) C:\Windows\system32\rstrui.exe
д) rstrui.exe
18.04.2012 в 15:11
Добрый день! Что делать, если при запуске восстановления системы выходит окно»восстановление системы отключено и не может быть запущено в безопасном режиме. Для включения восстановления системы перезагрузите компьютер в нормальном режиме и запустите восстановление системы» ?
18.04.2012 в 17:22
Если у вас настольный компьютер, то как вариант снимите жесткий диск и отнесите к знакомым у которых установлен антивирус (др.веб, касперский). Проверьте на вирусы, вылечите .
18.04.2012 в 22:42
Перепробовал все. Восстановление системы отключено. Cure It нашел и удалил вирус,но виндоус все равно заблокирован.
Помогла программа:
http://www.comss.ru/page.php?id=840
попробуйте
14.06.2012 в 17:18
Спасибо большое!!!
malwarebytes тоже очень понравилось, 20 штук отловила)))
14.06.2012 в 20:48
ДА ЭТО ПРАВДА Я ДУМАЛ ВЫ САМИ МАШЕНИКИ ЭТОГО САЙТА НО ЭТО НИ ТАК Я 5 РАЗ ВОСТАНАВИЛ WINDOWS И ПОМОГЛО СПАСИБО ВАМ БОЛЬШОЕ
14.06.2012 в 20:51
Я САМ ОЧЕНЬ ХОРОШО РАЗБИРАЮСЬ В КОМПАХ НУ КО МНЕ ПРИХОДЯТ ПОЧТИ 12 ЛЮДЕЙ В ДЕНЬ ЧТОБЫ ПОЧИНИТЬ КОМП НО ТАКОГО ЕЩЕ НЕ СЛУЧАЛОСЬ СПАСИБО ВАМ БОЛЬШОЕ Я САМ АВАРЕЦ НУ И ПОЛ МОСКВИЧ
26.06.2012 в 20:33
Просто восстанавливаем систему из образа, который обязан быть у каждого нормального пользователя. Всех делов на пять минут.
27.06.2012 в 15:41
Абсолютно согласен с Вами. По поводу образов, здесь уже писал пачку статей, как Акронисом их сделатьи как восстановить )
27.06.2012 в 23:37
Если семерка, то и Акронис не нужен.
19.07.2012 в 16:02
СПАСИБО ОГРОМАДНОЕ!!!!
01.08.2012 в 15:08
Автору респект! Всё помогло! Спасибо огромное за труды,старания и желание помочь людям! Огромная благодарность вам!
03.08.2012 в 12:36
Спасибо огромное! Всё работает!
09.08.2012 в 0:54
В последнее время вирус прописывается в папку C:\Documents and Settings\Ваш_Аккаунт\(дя WindowsXP) или Локальный диск С\Пользователи\(для Windows7) там будет файл цифрры какие-нибудь.exe, это и есть вирус. Пользуюсь диском с программой AntiWinLocker 3.3 (RUS) (LiveCD). Можно скачать с сайта http://www.antiwinlocker.ru/. В последнее время много компьютеров вылечил с помощью него, но вирус приходится удалять вручную(там есть FreeComander), или у меня просто старая версия этой программы.
14.08.2012 в 12:28
Пётр, спасибо!!! (12 отзыв) c:\windows\pchealth\helpctr\binaries\msconfig.exe
Там и удалял файлы недоразвитые!
14.08.2012 в 12:34
Файлы кстати постройте правой кнопкой мыши — вид — таблица и исходя из последней даты просматривайте и удаляйте странные файлы.
P.S. Желающим подзаработать на данной теме «смс» нужно отправлять в ментуру для разрабатывания своего зада — бутылкой с шампанским!!!
24.09.2012 в 15:09
Здравствуйте! Не могу удалить вирус, попросту не загружается безопасный режим (любой)..после того как выбираю безопасный режим, через несколько секунд показывает синий экран смерти. Ноутбук HP Mini даже не подскажу что за модель, брат принес..просит помочь. Еще пробовал записать на флешку какую-то ерунду от Касперского, которая сама загружается и убивает вирус, не вышло.. ибо не могу в реестре найти где выставлять чтобы флешка первая загружалась. Выручайте)
24.09.2012 в 15:10
Windows XP
24.09.2012 в 20:51
Хелп..
Выбираю «Безопасный режим с поддержкой командной строки» — нажимаю Enter,
— комп что-то быстро грузит (аж в глазах ребит) и…
— начинает включать компьютер заново — пукт 2.
Что делать?? 🙁
26.10.2012 в 10:41
Это уже усовершенствованный вирус, поняли засранцы что люди через восстановление системы избавляются от ихнего блокировщика и доработали. Тоже с таким сталкивался, не смог вылечить ноутбук, времени мало было.
23.10.2012 в 6:01
Спасибо всем! Для WIN7 сработала
%SystemRoot%\system32\rstrui.exe
Но кнопка «Пуск» пока не горит. Сейчас включил на полную проверку а/в MicrosoftSE, не предотвратил заражение, так хоть может найдёт…
23.10.2012 в 6:35
Есть, теперь уже был, Троян!
06.11.2012 в 10:28
Большое спасибо,так как описано конечно не получилось,тоже писало,что процес не является чем та там внутреним,зато потом открыл диспетчера задачь,в обычном безопасном не открывался,а уже там задал новую задачу ( explorer.exe ) зашел на мой компьютер и уже от туда сделал откат до более раннего времени
20.01.2013 в 20:06
Автору статьи-респект!
Очень хочется, пойти в прокуратуру и накатать заяву, пущай пробьют этот номер, дык потом самого затаскают, всякие показания давать, а так хочется.
О, а если найти сайт органов всяких и выкладывать туда номера этих телефонов может их пошерудят малость.
У меня просили 2000 на номер +79811802899.
23.01.2013 в 17:41
на экране высвечивается: microsoft Security essential зафиксировал не правомерный доступ к потрно материалам в сети интернет.действие операционной системы приостановлено. для активации необходимо пополнить счет абонента мтс 89811662697 на сумму 1200 рублей в любом терминале. на чеке оплаты выданном терминалом находится код активации после ввода которого ваш ПК будет активирован.отказ от активации приведет к полной потере всех данных на вашем ПК». что делать? не F5, не F8 не работает.
08.03.2013 в 10:09
Опять словил подобную пакость,…куча мата…
Но теперь уже ничего не помогает.После входа в безопасный режим с поддержкой командной строки-опять эта тварь вылазит.Ни анти смс, ни лайв сиди-ничего комп не видит, что делать?образа естественно нет.???
08.03.2013 в 10:11
Т.е. дело не доходит даже до командной строки…
08.03.2013 в 11:51
Снимай винчестер неси к знакомым, подключайте и лечите касперским.
24.03.2013 в 8:34
Поймал этот вирус на сайте «govnosoft.net» просто зайдя на него ничего не скачивая и даже не кликая на ссылки.Вирус серьезный-ничего не помогло.Пришлось сносить винду.Будьте осторожны.Всем удачи.