Пополнить номер абонента Билайн 8-965-304-53-56 на сумму 300 рублей
Очередная гадость на рабочем столе сотрудника вещает следующее — "Windows блокирован". Microsoft Security обнаружил нарушения использования сети интернет. Причина. Вы смотрели фильмы содержащие гей-порно. Для разблокировки Windows необходимо: Пополнить номер абонента Билайн 8-965-304-53-56 на сумму 300 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминалом чеке, Вы найдёте Ваш персональный код разблокировки, который необходимо ввести ниже."
Естественно никакого гей-порно никто не смотрел :D. Девочка качала клипарты, пользуясь Internet Explorer 6. Его мы убили и поставили потом Firefox. Но сначала вылечили гадость.
Пишем в окошке код разблокировки: 16342131. Если не сработал, то без геморроя закрыть окно не получается. Все сочетания блокируются и окна прячутся под это чудо. Однако при особой упорности убить скотину можно. Я пробовал Ctrl+Shift+Esc, Alt+Tab или Ctrl+Alt+Del.
Если не получается убить гада из системы, нужно загрузиться с Live CD и уже оттуда убить файл и поправить реестр подключившись к нему удаленно.
В диспетчере задач сидел процесс с именем about[1].exe. Процесс убили, окро пропало, но перезагружаться и радоваться рано. Скотина сидит в системе и после перезагрузки выскочит вместо рабочего стола.
Для окончательного удаления находим этот файл. У меня он прятался в одной из папок
C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5
Вирусяк лезет в реестр и заменяет один параметр.
Далее запускаем редактор системного реестра. Пуск — Выполнить — "regedit" — И жмём Ввод. Откроется "Редактор реестра". В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок
Затем посмотрите на правую панель редактора реестра и проверьте два параметра "Shell" и "Userinit" (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit – C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.
Вот так. После перезагрузки все должно быть нормально. Вируса отправил антивирусникам.
Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.
about[1].exe - Trojan-Ransom.Win32.Gimemo.hp
Детектирование файла будет добавлено в следующее обновление.
С уважением, Лаборатория Касперского
искал белорусский сайт, нашел эту шнягу.
все супер теперь,вылечил!
большое спасибки :-)
Комментарий от Елена
[ 19 января, 2011, 17:54 ]
Спсб, огромное
Комментарий от Алексей
[ 19 января, 2011, 20:13 ]
Огромное спасибо! Помогло)
Комментарий от Алексей
[ 20 января, 2011, 15:21 ]
Когда такое появилось – глаза на лоб. DrWeb лицензионный (в двойне обидно за деньги) только успел окошко показать и появилась синее окно. Обнаружил, что при загрузке в безопасном режиме с поддержкой коммандной строки этого окна нет. Запустил полное сканирование DrWeb (7 часов). Ничего не нашел. Перезапустил Windows в нормальном режиме – окно не исчезло. Переглянулись с женой – не в том специалисты… Переустановили Windows. По времени, затраченному такими чайниками как мы, переустановить быстрее.
Интересно, каким анивирусным программам доверять? Раньше стоял Norton, неприятностей не было ни разу. Хотя раз на раз…
Комментарий от Сергей
[ 21 января, 2011, 01:24 ]
Спасибо, все работает.
для Алексей [ Январь 20, 2011, 15:21 ]
браузер просто нужен “нормальный”, не IE
И совсем хорошо если в нем будут отключены скрипты или плагин по управлению ими
Я поймал это и под лисой. Блокирует эта хня всё, но Win+R и далее cmd сделать уже можно. А там tasklist и taskkill. В корневой папке винды лежал файл, со странным названием HideWin.exe, после его удаления начал грузится шелл винды. Собственно после этого подргрузился и антивирус, который окончательно вычистил всю грязь.
Комментарий от я
[ 25 января, 2011, 11:42 ]
с помощью двух сайтов смог вылечить комп этот и еще http://www.gps-pc.ru!спасибо помогли!
Комментарий от Alexey
[ 30 января, 2011, 09:22 ]
Если у вас висит баннер или заблокирован контакт пишите в асю 467981712 помогу быстро
———————————————
И просьба: пишите сразу какая стоит винда и есть ли второй комп под рукой!!!
вчерапоймал фигню эту – сейчас буду с ней справляться, спасибо за советы
Комментарий от ирок
[ 4 февраля, 2011, 16:47 ]
на сайте касперского нашла ключи “sory”,”sorysory” и “kakashka”. Sory мне помогло.
Комментарий от Александр
[ 7 февраля, 2011, 18:03 ]
Утром поймал эту шляпу, окно то закрыл, только после перезагрузки, пропал весь рабочий стол и меню “пуск” Но после прочтенного выше фигня излечилась, СПАСИБО БОЛЬШОЕ
P.S.: У меня просила 470 рублей
Комментарий от Азат
[ 16 февраля, 2011, 00:16 ]
Спасибо Ctrl+Alt+Del раз 15, через диспетчер задач запустил реестр, исправил путь и убрал бяку после Userinit, а заодно и путь к файлу узнал и сразу удалил!
Комментарий от Виктор
[ 13 марта, 2011, 00:17 ]
Здраствуйте! Помогите! у меня такая проблема. Появился баннер с таким текстом: пополнить номер абонента билайн по номеру 89603165725 на сумму 400 рублей. Как это устранить??? Кто знает ПОМОГИТЕ ПОЖАЛУЙСТА!!!!
Комментарий от Aleksey
[ 26 марта, 2011, 19:53 ]
Привет! у меня вылазиет эта гадость,мол пополни счет и все пройдет! но я нашел способ заходить в windows(у меня седьмая винда и она не активированна). в окне появившемся окне активации нажимаю активировать через и-нет, он открывает мне окно браузера,там лезу в загрузки и открываю папку содержащую последний(любой) скаченный файл и я могу лазать по системе!!!)) НО!!!!!!!рабочего стола нет меню пуск тоже нет,при закрытии окон-черный экран!!! как в такой ситуации быть!????способ указанный выше не проходит…ели есть варианты-буду ОЧЕНЬ признателен и благодарен!!
СПАСИБО Александр! У меня такая же фигня была (только 500р просила),но увы все изложенные выше способы оказались неэффективны( спас только ваш код 99885522!!!!!!
Комментарий от neferka.93@yandex.ru
[ 24 июля, 2012, 12:29 ]
пополнить счет на номер билайн 89676717357
на сумму 1000рублей….
было окошко,через час где то пропало,как это понять?
Написать комментарий