| admin | Дата: Четверг, 29.09.2011, 14:54 | Сообщение # 1 |
 Авторитет
Группа: Администраторы
Сообщений: 317
Награды: 0
Репутация: 1000
Статус: Offline
| Даже при активной антивирусной защите, путешествуя по Интернету, можно заразить свой компьютер вирусом-вымогателем, который при загрузке, вместо вашего рабочего стола, выдаёт вот такое сообщение:
BHИMAHИE!!!
Baшa oпepaциoннaя cиcтeмa зaблoкиpoвaнa зa нapyшeниe иcпoльзoвaния ceти интepнeт. Oбнapyжeны cлeдyющиe нapyшeния : Пoceщeниe caйтoв пopнoгpaфичecкoгo содержaния c элeмeнтaми дeтcкoй пopнoгpaфии, нacилия, зooфилии. Xpaнeниe видeoфaйлoв coдepжaщиx пopнoвидeo c пpиcyтcвиeм нecoвepшeннoлeтниx, нacилиeм, зooфилии и т.п. Дaннaя блoкиpoвкa пpeдпpинятa для ycтpaнeния вoзмoжнocти pacпpocтpaнeния дaнныx мaтepиaлoв c Baшeгo ПK в ceти Интepнeт.
Для тoгo, чтoбы yбpaть дaнный вид блoкиpoвки, Вaм нyжнo: Пoпoлнить cчeт WebMoney U258963123456 (номер WebMoney может быть другим) нa cyммy 3 (сумма может быть и другой, например) 5 латов
Пo зaвepшeнию oплaты, нa выдaннoм терминалом чeкe oплaты, Baм бyдeт выдaн кoд paзблoкиpoвки кoтopый нeoбxoдимo ввecти в фopмy pacпoлoжeннyю нижe. Пocлe paзблoкиpoвки cиcтeмы, Baм нeoбxoдимo yдaлить вce нeзaкoннo paзмeщeнныe мaтepиaлы нa Baшeм ПK.
B cлyчae oткaзa oт oплaты, в cлeдcтвии нapyшeний - вce дaнныe нa Baшeм ПK бyдyт yничтoжeны бeз вoзмoжнocти вoccтaнoвлeния, т.к. вaш ПK являeтcя yгpoзoй для ceти!!! И не пытайтесь что либо предпринять!!! В случае попытки самостоятельно убрать сообщение путём переустановки ОС будет уничтожена вся информация на Вашем ПК без возможности востановления, а так же уничтожен БИОС!!!
Единственное активное окошко - куда надо вписать этот код.
Этот вирус блокирует работу Windows, закрывает доступ к диспетчеру задач, отключает загрузку в безопасном режиме и еще просто вымогает деньги.
Начнём лечение от этого вируса-вымогателя.
Я знаю несколько способов устранения этой проблемы:
1. С помощью кодов разблокировки, то есть различные антивирусные сайты предлагают различные коды разблокировки.
Вот подборка ссылок:
VIRUSINFO Смотреть
ESET Смотреть
Kaspersky Lab Смотреть
Dr.Web Смотреть
2. С помощью дисков LiveCD или ERD Commander.
3. С помощью Восстановления системы (System Restore).
4. Поиск по дате создания файла.
|
| |
| |
| admin | Дата: Четверг, 29.09.2011, 14:54 | Сообщение # 2 |
|
Авторитет
Группа: Администраторы
Сообщений: 317
Награды: 0
Репутация: 1000
Статус: Offline
| 5. Самый простой.
С первым способом я думаю всё понятно, в моей ситуации первый способ мне не помог.
Второй способ самый действенный! Я думаю, что диском ERD Commander будет немного проще удалить вирус, потому что этот диск непосредственно может работать с реестром установленной операционной системы.
Если диск обычный LiveCD, то придётся подгружать реестр установленной операционной системы и работать с ним.
И так, начнём. Записываем образ ERD Commander на CD диск, устанавливаем в BIOS загрузку с привода CD/DVD-ROM, вставляем диск с ERD Commander в привод и начинаем загружаться с него.
В процессе загрузки необходимо выбрать операционную систему, которую мы собираемся лечить. Нажимаем ОК. Загружается рабочий стол ERD Commander.
Нажимаем Start - Administrative Tools - RegEdit, окрывается окно редактора реестра, находим ветку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" и ключ Shell, в этом ключе вирус заменяет Explorer.exe на путь к вирусу: "C:\Documents and Settings\...\vip_porno_79729.avi.exe" (запоминаем или записываем этот путь)
Щёлкаем правой кнопкой мыши на ключ Shell и выбираем Modify, в откывшемся окне удаляем путь к вирусу и пишем Explorer.exe, нажимаем ОК. Хотя было, что я удалял совсем этот ключ, загружается нормально и работает по сей день.
Теперь приступим к удалению файла вируса, для этого находим файл по ранее записанному пути и удаляем. Всё, перезагружаемся в нормальном режиме, делаем довольное лицо и идём пить чай.
Если допустим в этой ветке реестра ничего подобного нет, то задаём поиск по реестру на слово porno, xxx, video или vip_porno, находим ключ реестра, где прописался вирус и аналогично выполняем удаление вируса.
Третий способ - восстановление системы. Загружаемся с уже известного нам диска ERD Commander, нажимаем Start - System Tools - System Restore. В открывшемся окне выбираем точку восстановления, применяем, остаётся только перезагрузиться, сделать довольное лицо и произвести полную проверку антивирусом с обновлёнными базами.
Четвёртый способ заключается в том, что загрузившись с LiveCD или ERDCommander вспоминаем когда (дата) подхватили вирус и выполняем поиск файлов (имя *.*) по дате создания. После завершения поиска просматриваем найденные файлы, обращаем внимание на подозрительные exe-шники вроде vip_porno_***.avi.exe или xxx_video_*****.avi.exe, запоминаем или записываем их имена и путь размещения. Теперь находим их, и удаляем без зазрения совести, пол дела сделано. Берёмся теперь за очистку реестра - нажимаем Пуск - выполнить и набираем regedit, нажимаем ОК. Если вы загружены с диска ERDCommander, то сразу задаём поиск по записанному имени файла и удаляем записи в реестре (в ключе Shell имя вируса можно заменить на explorer.exe), теперь можно и перезагружаться в свою родную операционную систему установленную на компьютере. Если же вы загружены с диска LiveCD, то в regedit необходимо будет загрузить куст зараженной системы, отредактировать и затем выгрузить.
Пятый способ самый простой. При заражении компьютера вирусом, после перезагрузки, ничего не загружается кроме сообщения о блокировке. Не надо никуда спешить, бить во все колокола, поспешно переустанавливать систему, а просто нужно немного подождать. Через несколько минут (10-20 мин.) сообщение само пропадёт и рабочий стол станет, хоть и ограниченно, активным. Нажатием клавиш ctrl+alt+delete вызываем диспетчер задач. Затем нажимаем - Новая задача. В появившемся окне набираем комбинацию msconfig и нажимаем OK. Появится окно - Настройка системы, где нужно нажать кнопку - Запустить восстановление системы. Теперь остаёться лишь выбрать более раннюю точку восстановления и через несколько минут ваш компьютер полностью функционален. После перезагрузки советую обновить базу данных Вашей антивирусной программы и проверить машину на предмет заражения. Этот способ действует безотказно при активной службы Восстановления системы, для Windows XP. РАБОТАЕТ 100% !!!
Чтобы активировать службу Восстановления системы достаточно на рабочем столе, на иконке Мой компьютер, щёлкнуть правой кнопкой мыши и выбрать - свойства. В появившемся окне выбрать вкладку - Восстановление системы и, если стоит галочка напротив - Отключить восстановление системы на всех дисках, убрать её. Окошко дожно быть пустым. Далее нажимаем - применить и OK.
|
| |
| |
