Заблокирован компьютер - просят отправить СМС или пополнить счет телефона

Ошибки Windows
Поучить код разблокировки можно на сайтах антивирусных систем:
www.drweb.com/unlocker/index/?lng=ru
support.kaspersky.ru/viruses/deblocker
www.esetnod32.ru/.support/winlock/
Или по телефонам:
8-800-100-73-37 (бесплатно по России)
8-800-555-01-02 (бесплатно по России)

Если не получилось, то из под здоровой системы или LiveCD проделайте следующее. Запускаем Редактор реестра (Пуск-Выполнит-regedit), шелкаем по ветке HKEY_LOCAL_MACHINE. Далее Файл-Загрузить куст (в редакторе реестра) выйдет окошко, там идем в папку «больной» систему находим папку WINDOWS (больная) \System32\config там находим файл software (без расширения) и нажимаем Открыть. Откроется окошко, там задаем любое имя и нажимаем ОК. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем.
Здесь Microsoft\Windows NT\CurrentVersion\Winlogon значение ключа Shell (справа) должно быть таким Explorer.exe, если значение отличается — исправить на правильное.
Смотрим также значение ключа Userinit. Правильное значение C:\WINDOWS\system32\userinit.exe, если значение отличается — исправить на правильное.

Поиском в реестре ищем все вхождения ключей в реестр с упоминанием того, что было в Shell и Userinit и удаляем.
Теперь снова щелкаем по созданной нами папке и проделываем следующее Файл-Выгрузить куст.

Удаляем с дисков те файлы, которые были в Shell и Userinit. Перезагружаемся.
Устанавливаем лицензионный антивирус, обновляем его базы и делаем полную проверку.

Проверьте содержимое файла %systemroot%/system32/drivers/etc/hosts.
В нем должна быть только строчка:
127.0.0.1 localhost
остальные строчки закоментированны

Проверьте реестр на наличие изменённых параметров:
Пуск — Выполнить — regedit.exe
В появившемся окне выберите путь — HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
Во вкладке Parameters в правой части окна появится меню с именем файла, его типом и значением.

Выберите DataBasePath и нажмите на него правой кнопкой мыши, выберите Изменить. Замените значение на %SystemRoot%/System32/drivers/etc.
Проверьте записи в таблице роутинга:
Для проверки надо набрать в командной строке route print
Если появилось более 5-8 записей, то надо очистить таблицу:
route -f
после надо перезагрузить компьютер.
Проверьте ваш компьютер бесплатной утилитой Dr.Web CureIt
Исправить ошибки сети можно попробовать командой:
netsh int ip reset c:resetlog.txt

Порядок действий по очистке компа от WinLocker-ов (Порно-баннеров)
1. Загружаемся под сборкой.
2. Сначала чистим систему AntiWinLocker (раздел «Антивирусные утилиты»). В ней всё просто — используем автоматический режим. Если обнаружена подмена системных файлов — исправляем их. Скорее всего, вирус обнаружен и ликвидирован, но на этом останавливаться не стоит.
3. Запускаем SysInternals Autoruns (раздел «Системные утилиты»), в ней анализируем закладку «Вход в систему» (т.е., то, что запускается при старте винды). Особое внимание обращаем на «Издатель» и «Путь к файлу» — если издатель неизвестен (незнаком), а путь к файлу — ТЕМР-овый каталог или имя/путь к файлу не соответствуют системным — это тревожный звоночек. Пока ничего не делаем.
4. Запускаем файл-менеджер (FAR/TC), заходим в каталог винды (вначале C:\Windows, потом C:\WINDOWS\system32), сортируем файлы по времени создания (Ctrl+F5) — вверху будут последние. Ищем все *.exe *.dll за последнее время (поскольку порнобаннер блокирует запуск винды, то именно его файлы могут быть «последними»).
5. Сверяем инфу SysInternals Autoruns и имена из системного каталога, наличие файла в автозапуске и свежая дата — признак искомого порно-баннера. Можно сразу удалить и файл, и ветку его запуска, или для перестраховки переименовать файл и снять галочку его запуска в SysInternals Autoruns.
6. Если в SysInternals Autoruns есть запуск файлов из ТЕМР-овых каталогов пользователя, System Volume Information или RECYCLER — это 100%-но порнобаннер либо вирус, поступаем аналогично п.5.
7. Закрываем SysInternals Autoruns и файл-менеджер. После проделанных операций вирус, скорее всего, удалён. Но, чтобы предотвратить повторное заражение, нужно с помощью CCleaner (раздел «Системные утилиты») полностью очистить ТЕМР-овые файлы и кеши браузеров.
8. Последний штрих — запускаем антивирус Зайцева (раздел «Антивирусные утилиты»), в нём выбрать Файл->Восстановление системы, отмечаем по вкусу (я выбираю всё, кроме п.18-Полное пересоздание настроек SPI), «Выполнить отмеченные операции». Это позволит очистить перенаправление запросов браузеров на зараженную страничку, разблокирует реестр и защищённый режим, и т.д.
Для систем Windows 7/Vista не рекомендуется отмечать п.6 (удаление всех Policies) — это может привести к незагружаемости ОС.
9. По желанию — проверить комп на вирусы с помощью Касперского (быстрее) или Вебера (дольше). Блокеры антивирусы не лечат (пока?).
Всё. Можно перезагружаться и проверять. Если файлы не удалялись, можно их отослать на проверку в Virustotal.com, окончательно удалить файлы локера и его записи в реестре (с помощью SysInternals Autoruns). Для предотвращения заражения рекомендуется установить FireWall или антивирус с онным.

Другая разновидность порнобаннера, который активируется сразу после запуска ПК из HDD. Он прописывается в MBR/PBR, быстро лечится с помощью BootICE (Programs-2k10\Flash-Utilites\BootICE\BootICE.exe). Выбрать винт с ОС, Process MBR ->Windows NT 5.x MBR (для Windows 2000/XP/2003) или Windows NT 6.x MBR (для Windows Vista/7)->Install/Config->OK.
Потом Process PBR ->Выбрать раздел с ОС->NTLDR… (для Windows 2000/XP/2003) или BOOTMGR (для Windows Vista/7)->Install/Config (ничего не меняем)->OK. Обращения к диску с ОС (файловый менеджер, проводник, прочее) должны отсутствовать (могут вызвать ошибку обновления PBR, тогда закрыть программы, повторить).
Также его можно вылечить с помощью установочного диска Windows (или диска восстановления). Загружаемся, ждём момент, где нам предложат сделать выбор и жмем «R» (запустить режим восстановления). Выбираем Windows для восстановления и консоли вводим команду FIXMBR (исправление MBR), подтверждаем, и вводим FIXBOOT. Затем EXIT и загружаемся в обычном режиме! Для Vista/7 эти команды,

соответственно BOOTREC /FIXMBR и BOOTREC /FIXBOOT.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.