Показано с 1 по 15 из 15.

Заблокирован WINDOWS, помогите разблокировать (заявка № 120569)

  1. #1
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44

    Thumbs up Заблокирован WINDOWS, помогите разблокировать

    При загрузке Windows (в данном случае была установлена ОС Windows XP) выходит поверх экрана синее окошко с очень интересным текстом:

    Windows заблокирован!

    Microsoft Security обнаружил нарушения использования сети интернет.
    Приччина: вы смотрели фильмы содержащие гей-порно.

    Для разблокирования необходимо:
    Пополнить номер абонента MTS: 8-987-951-44-87 на сумму 500 рублей.
    Оплатить можно через терминал для оплаты сотовой связи.
    После оплаты, на выданном терминальном чеке, Вы найдете Ваш
    персональный код разблокировки, который необходимо ввести ниже.

    (цифы в виде кнопок) 0 1 2 3 4 5 6 7 8 9 (кнопка: ОЧИСТИТЬ)
    ВАШ КОДтут поле для ввода) (кнопка: ВХОД В СИСТЕМУ)

    Если в течении 12 часов с момента появления данного сообщения, не будет введен код,
    все данные, включая WINDOWS и BIOS будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка
    переустановить систему приведет к нарушениям работы компьютера.
    __________________________________________________ ________________________
    Окно это стоит поверх фона рабочего стола и ничего невозможно с ним сделать

    Не получается прекрепить файл virusinfo_cure.zip он у меня 2.5Мб а максимум можно прекрепить 1мб
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Welcome to VirusInfo. Enjoy your stay here...

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Попробуйте код: 16342131

    В каком-нибудь из безопасных режимов загружается?

  5. #4
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44
    Код не помог ((

    В безопасных режимах загружается, но все повторяется как и с обычной загрузкой, рабочий стол заблокирован, даже курсор за пределы банера нельзя вывести.

    При загрузке в безопасном режиме с подержкой командной строки происходит обычная загрузка.

    У меня получилось загрузить Windows под другим пользователем.
    Открыл реестр, но ничего редактировать немогу т.к. видимо нет прав администратора.

    Нашел загадочную строку
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\Cont extMenuHandlers\XXX Groove GFS Context Menu Handler XXX

    далее очень часто в реестре встречается этот XX Groove GFS Context Menu Handler XXX

    но сделать с ним ничего не могу, реестр не редактируется, файл c:\program files\microsoft office\office14\grooveex.dll тоже удалить немогу....

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Алексей1982 Посмотреть сообщение
    При загрузке в безопасном режиме с подержкой командной строки происходит обычная загрузка
    Запустите в этом режиме (под проблемной учеткой) explorer.exe и у Вас будет возможность выполнить правила
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44
    Цитата Сообщение от thyrex Посмотреть сообщение
    Запустите в этом режиме (под проблемной учеткой) explorer.exe и у Вас будет возможность выполнить правила
    Увы, в этом режиме не одна учетка не загружается, пишет что неправельный логин/пороль

    Добавлено через 4 часа 18 минут

    Цитата Сообщение от thyrex Посмотреть сообщение
    Запустите в этом режиме (под проблемной учеткой) explorer.exe и у Вас будет возможность выполнить правила
    О каких правилах идет речь?

    Добавлено через 1 час 57 минут

    Закачал лог http://files.mail.ru/DUKZ1L virusinfo_cure.zip который не смог прекрепить на форуме из за его большого размера. Теперь все три лога доступны для анализа.
    Очень жду совета по решению моей проблемы ...
    Последний раз редактировалось Алексей1982; 24.05.2012 в 17:38. Причина: Добавлено

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи из чистой учетки бесполезны. Поступим по-другому

    I этап (выполняется на чистой от вирусов машине)

    1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
    2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

    II этап (выполняется на заблокированной машине)

    1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
    2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
    – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
    – выберите необходимый язык из списка
    – нажмите 1, чтобы принять лицензионное соглашение
    – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
    3. Запустите Kaspersky Registry Editor
    4. Откроется редактор реестра
    – выберите нужную систему (та, которая заблокирована), если у Вас их несколько
    – посмотрите в реестре:
    ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр userinit
    параметр shell
    Значения этих параметров напишите в своем сообщении

    Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\ Run в отдельные файлы, заархивируйте и прикрепите к сообщению
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44
    Параметры userinit и shell стандартные :
    C:\WINDOWS\system32\userinit.exe,
    Explorer.exe

    Прикрепил файл с двумя ветками реестра.
    Обнаружил запись в реестре на файл C:\Documents and Settings\Supertuning4\ms.exe .... видимо в нём вся проблема

    Жду ваших указаний ))
    Вложения Вложения
    • Тип файла: rar reg.rar (1,014 байт, 2 просмотров)

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    1. Переименуйте C:\\Documents and Settings\\Supertuning4\\ms.exe в C:\\Documents and Settings\\Supertuning4\\ms.bak.
    2. Попробуйте загрузиться и выполните правила (раздел диагностика п.1-3)


  12. Это понравилось:


  13. #10
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44
    Переименовал файл и учетка нормально запустилась!!!

    Логи из проблемной учетки разместил тут http://files.mail.ru/8DD5E1 т.к. из за большого размера их нельзя прикрепить к сообщению

  14. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Supertuning4\ms.bak','');
     DeleteFile('C:\Documents and Settings\Supertuning4\ms.exe');
     DeleteFile('C:\Documents and Settings\Supertuning4\ms.bak');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S6819552');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S669555');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S39145199');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S7740104');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S42109140');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1443468');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S15516098');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S17510343');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S811750');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S62167162');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S714391');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S31164198');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S14717137');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S13930173');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S119140105');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S137130144');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S143779');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Shell');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте лог полного сканирования MBAM.


  15. Это понравилось:


  16. #12
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44
    Лог MBAM приложил, файл quarantine.zip тоже загрузил
    Вложения Вложения

  17. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Проблемы какие-нибудь остались?


  18. #14
    Junior Member Репутация
    Регистрация
    22.05.2012
    Сообщений
    8
    Вес репутации
    44
    Цитата Сообщение от Techno Посмотреть сообщение
    Проблемы какие-нибудь остались?
    Проблем никаких нет, всё работает как обычно, огромное спасибо за помощь!!

  19. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\supertuning4\\ms.bak - Trojan.Win32.Buzus.lqcv ( DrWEB: Trojan.Winlock.6049, BitDefender: Trojan.Generic.KDV.630478, NOD32: Win32/LockScreen.AKW trojan, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Алексей1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заблокирован windows!!! Помогите пожалуйста!
      От antoncrb в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2012, 21:30
    2. Помогите! Появился баннер Windows заблокирован
      От kate-nicko в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.01.2012, 22:40
    3. Как разблокировать Windows?
      От radibor в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 05.12.2011, 21:37
    4. Помогите разблокировать компьютер!
      От lineel2005 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 29.06.2011, 01:06
    5. Ответов: 2
      Последнее сообщение: 17.07.2009, 05:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01086 seconds with 18 queries