Показано с 1 по 15 из 15.

Заблокирован WINDOWS, помогите разблокировать (заявка № 120569)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17

    Thumbs up Заблокирован WINDOWS, помогите разблокировать

    При загрузке Windows (в данном случае была установлена ОС Windows XP) выходит поверх экрана синее окошко с очень интересным текстом:

    Windows заблокирован!

    Microsoft Security обнаружил нарушения использования сети интернет.
    Приччина: вы смотрели фильмы содержащие гей-порно.

    Для разблокирования необходимо:
    Пополнить номер абонента MTS: 8-987-951-44-87 на сумму 500 рублей.
    Оплатить можно через терминал для оплаты сотовой связи.
    После оплаты, на выданном терминальном чеке, Вы найдете Ваш
    персональный код разблокировки, который необходимо ввести ниже.

    (цифы в виде кнопок) 0 1 2 3 4 5 6 7 8 9 (кнопка: ОЧИСТИТЬ)
    ВАШ КОДтут поле для ввода) (кнопка: ВХОД В СИСТЕМУ)

    Если в течении 12 часов с момента появления данного сообщения, не будет введен код,
    все данные, включая WINDOWS и BIOS будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка
    переустановить систему приведет к нарушениям работы компьютера.
    __________________________________________________ ________________________
    Окно это стоит поверх фона рабочего стола и ничего невозможно с ним сделать

    Не получается прекрепить файл virusinfo_cure.zip он у меня 2.5Мб а максимум можно прекрепить 1мб
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Welcome to VirusInfo. Enjoy your stay here...

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Попробуйте код: 16342131

    В каком-нибудь из безопасных режимов загружается?

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17
    Код не помог ((

    В безопасных режимах загружается, но все повторяется как и с обычной загрузкой, рабочий стол заблокирован, даже курсор за пределы банера нельзя вывести.

    При загрузке в безопасном режиме с подержкой командной строки происходит обычная загрузка.

    У меня получилось загрузить Windows под другим пользователем.
    Открыл реестр, но ничего редактировать немогу т.к. видимо нет прав администратора.

    Нашел загадочную строку
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\Cont extMenuHandlers\XXX Groove GFS Context Menu Handler XXX

    далее очень часто в реестре встречается этот XX Groove GFS Context Menu Handler XXX

    но сделать с ним ничего не могу, реестр не редактируется, файл c:\program files\microsoft office\office14\grooveex.dll тоже удалить немогу....

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Цитата Сообщение от Алексей1982 Посмотреть сообщение
    При загрузке в безопасном режиме с подержкой командной строки происходит обычная загрузка
    Запустите в этом режиме (под проблемной учеткой) explorer.exe и у Вас будет возможность выполнить правила
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17
    Цитата Сообщение от thyrex Посмотреть сообщение
    Запустите в этом режиме (под проблемной учеткой) explorer.exe и у Вас будет возможность выполнить правила
    Увы, в этом режиме не одна учетка не загружается, пишет что неправельный логин/пороль

    Добавлено через 4 часа 18 минут

    Цитата Сообщение от thyrex Посмотреть сообщение
    Запустите в этом режиме (под проблемной учеткой) explorer.exe и у Вас будет возможность выполнить правила
    О каких правилах идет речь?

    Добавлено через 1 час 57 минут

    Закачал лог http://files.mail.ru/DUKZ1L virusinfo_cure.zip который не смог прекрепить на форуме из за его большого размера. Теперь все три лога доступны для анализа.
    Очень жду совета по решению моей проблемы ...
    Последний раз редактировалось Алексей1982; 24.05.2012 в 17:38. Причина: Добавлено

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Логи из чистой учетки бесполезны. Поступим по-другому

    I этап (выполняется на чистой от вирусов машине)

    1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
    2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

    II этап (выполняется на заблокированной машине)

    1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
    2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
    – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
    – выберите необходимый язык из списка
    – нажмите 1, чтобы принять лицензионное соглашение
    – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
    3. Запустите Kaspersky Registry Editor
    4. Откроется редактор реестра
    – выберите нужную систему (та, которая заблокирована), если у Вас их несколько
    – посмотрите в реестре:
    ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit
    параметр shell
    Значения этих параметров напишите в своем сообщении

    Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run в отдельные файлы, заархивируйте и прикрепите к сообщению
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. thyrex получил(а) 2 благодарностей за это сообщение от


  10. #8
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17
    Параметры userinit и shell стандартные :
    C:\WINDOWS\system32\userinit.exe,
    Explorer.exe

    Прикрепил файл с двумя ветками реестра.
    Обнаружил запись в реестре на файл C:\Documents and Settings\Supertuning4\ms.exe .... видимо в нём вся проблема

    Жду ваших указаний ))
    Вложения Вложения
    • Тип файла: rar reg.rar (1,014 байт, 2 просмотров)

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    1. Переименуйте C:\\Documents and Settings\\Supertuning4\\ms.exe в C:\\Documents and Settings\\Supertuning4\\ms.bak.
    2. Попробуйте загрузиться и выполните правила (раздел диагностика п.1-3)


  12. Techno получил(а) благодарность за это сообщение от


  13. #10
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17
    Переименовал файл и учетка нормально запустилась!!!

    Логи из проблемной учетки разместил тут http://files.mail.ru/8DD5E1 т.к. из за большого размера их нельзя прикрепить к сообщению

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Supertuning4\ms.bak','');
     DeleteFile('C:\Documents and Settings\Supertuning4\ms.exe');
     DeleteFile('C:\Documents and Settings\Supertuning4\ms.bak');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S6819552');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S669555');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S39145199');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S7740104');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S42109140');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1443468');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S15516098');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S17510343');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S811750');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S62167162');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S714391');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S31164198');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S14717137');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S13930173');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S119140105');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S137130144');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S143779');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте лог полного сканирования MBAM.


  15. Techno получил(а) 2 благодарностей за это сообщение от


  16. #12
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17
    Лог MBAM приложил, файл quarantine.zip тоже загрузил
    Вложения Вложения

  17. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Проблемы какие-нибудь остались?


  18. #14
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    17
    Цитата Сообщение от Techno Посмотреть сообщение
    Проблемы какие-нибудь остались?
    Проблем никаких нет, всё работает как обычно, огромное спасибо за помощь!!

  19. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\supertuning4\\ms.bak - Trojan.Win32.Buzus.lqcv ( DrWEB: Trojan.Winlock.6049, BitDefender: Trojan.Generic.KDV.630478, NOD32: Win32/LockScreen.AKW trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Алексей1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Заблокирован windows!!! Помогите пожалуйста!
      От antoncrb в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2012, 21:30
    2. Помогите! Появился баннер Windows заблокирован
      От kate-nicko в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.01.2012, 22:40
    3. Как разблокировать Windows?
      От radibor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.12.2011, 21:37
    4. Помогите разблокировать компьютер!
      От lineel2005 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.06.2011, 01:06
    5. Ответов: 2
      Последнее сообщение: 17.07.2009, 05:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01580 seconds with 23 queries