Один товарищ словил очередной вирус-вымогатель, который работает немного по иной технологии, чем предыдущие. Теперь вирусы не просят отправить SMS на короткие номера, теперь они открытым текстом просят пополнить баланс.
Ваша операционная система заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Хранение видеофайлов порнографического содержания с элементами детской порнографии, насилия, зоофилии.
Вирус просит пополнить счет абонента Билайн
Авторские права на предоставленный материал принадлежат автору сайта http://extremallife.ru
Данная блокировка предназначена для устранения возможности распространения данных материалов в сети интернет.
Для разблокировки операционной системы Вам необходимо:
Пополнить счет абонента БИЛАЙН на сумму 400 рублей.
После оплаты на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле, расположенное ниже.
По завершении оплаты, на выданном чеке оплаты Вам будет выдан код разблокировки, который необходимо ввести в форму, расположенную ниже. После разблокировки системы Вам необходимо удалить все незаконно размещенные материалы на Вашем ПК.
В случае отказа от оплаты все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены, в связи с угрозой Вашего ПК пользователям сети Интернет.
В случае отказа от оплаты все данные на Вашем ПК, включая bios, Windows будут безвозвратно уничтожены, в связи с угрозой Вашего ПК пользователям сети Интернет.
Как вылечить компьютер
Этот вирус работает по несколько иной схеме, чем предыдущие, а именно он подменяет Explorer.exe собой в реестре и не дает абсолютно ничего сделать.
Для лечения я загрузился с LiveCD ( WPE) - диск, с которого загружается операционная система Windows XP, не используя жесткий диск компьютера.
И загрузившись с XPE запустил утилиту, которая просканировала жесткий диск компьютера и удалила какие-то зараженные вирусом файлы.
Однако Explorer все так же не загружался, хотя и не показывал заставку.
Для восстановления Explorer необходимо перепрописать в реестре значение Shell на значение Explorer.exe
Файл, в котором хранится нужная нам ветка реестра находится по пути
C:\Windows\system32\config\software
Настройка эта хранится в ветке
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Необходимо изменить параметр Shell на Explorer.exe
Как редактировать уделенный реестр
Загрузившись с XPE мы видим рабочий стол. Пуск – Выполнить – RegEdit
Ставим курсор на HKEY_LOCAL_MACHINE. Далее файл – загрузить куст.
Загружаем куст реестра
Выбираем файл software, который лежит в папке Windows на нерабочем компьютере, а именно по пути:
C:\Windows\system32\config\software
Вводим любое название
Вводим любое имя загружаемого куста реестра
В редакторе реестра добавляется еще одна ветка, в ней идем по пути
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Там прописан путь к файлу вируса, который и выходит на экран.
В моем случае это было xxx_video_721(1).avu.exe, который хранился во временных файлах Internet Explorer.
В параметре Shell прописан путь к вирусу
И меняем значение параметра Shell на Explorer.exe
Ветка реестра которую правим
Далее обязательно жмем Файл – Выгрузить Куст
После этого перезагружаем компьютер, все должно быть нормально.
Обязательно обновляем штатный антивирус. Качаем антивирусную утилиту и прогоняем компьютер полностью.
Также можно использовать bart pe.
загрузить куст у меня не получилось, но там есть встроенная утилита для просмотра удаленного реестра.
Нет результатов
