» Windows заблокирован пополнить номер абонента
Информация к новости
  • Просмотров: 3 119
  • Автор: admin
  • Дата: 17-02-2012
17-02-2012

Windows заблокирован пополнить номер абонента

Категория: ---

Хочу рассказать вам друзья один произошедший со мной случай на днях. Есть у меня хороший друг ещё со школы, позвал меня с женой и детьми в гости, естественно я с собой ничего не взял, даже флешки с бесплатной антивирусной программой. Пришли мы и не успели раздеться, как ко мне сразу подошёл маленький мальчик (сын моего друга) и говорит:-„Дядя, папа сказал, что вы можете наш компьютер отремонтировать”. – А что случилось? Говорю я. „Там с нас какие-то дяди деньги просят, говорят наш Windows заблокирован пополнить номер абонента, мы деньги с мамой им положили, но они нас обманули и компьютер опять не работает”. Друзья увидели замешательство на моём лице и предложили не обращать внимание на это досадное происшествие.

Windows заблокирован пополнить номер абонента

Подошёл я к компьютеру и нажал на кнопку POWER, жду появление старого знакомого, который не заставил себя долго ждать. По началу загрузки определяю что установлена Windows XP. Всё как обычно на экране монитора при входе в систему появляется предупреждение - Windows заблокирован для разблокировки вам нужно пополнить номер абонента.., означающее заражение компьютера вирусом Trojan.Winlock или Trojan-Ransom, а ещё проще- Пошлите смс. Ни одна кнопка на клавиатуре не работает, а так же ни одно сочетание клавиш.

  • Например можно попробовать до момента загрузки баннера нажать комбинацию Ctrl+Shift+Esc, очень редко везёт и вы сможете попасть в диспетчер задач, затем найти вражеский процесс и завершить его. Или в окне диспетчера задач выбрать Файл->Открыть, далее набрать explorer и Ок, таким образом вы сможете попасть в проводник, далее наведаться в папку С:\Windows->system32 и удалить все файлы оканчивающиеся на .exe и dll с датой на день заражения Windows баннером. Набрав команду msconfig, попадёте в автозагрузку-удалите оттуда всё. Команда regedit->входим в реестр, ну а далее повторяться не буду, всё очень подробно написано в нашей статье Как убрать баннер

К сожалению ничего из этого не помогло и ни в какую автозагрузку я не попал. В безопасный режим и безопасный режим с поддержкой командной строки войти тоже не удалось. Сижу думаю дальше, в голову стала закрадываться мысль- сгонять за своим чемоданом на другой конец города.

Всем своим друзьям компьютеры покупаю я, сейчас обычно системные блоки или ноутбуки идут с предустановленной Windows. После покупки я всегда делаю образ операционной системы, который располагается на НЕ системном разделе, обычно (D:) или (Е:). Тем, кто мог себе позволить программу Acronis True Image Home, (на официальном сайте цена всего 1 000 рублей на один компьютер) образ делал в виде бэкапа в данной программе, что очень удобно. Бэкап или образ всегда (если их случайно не удалят) можно развернуть в случае крайней необходимости, если ничего не поможет. Если люди приобретали Acronis, значит у них должен быть бэкап системы и вполне может оказаться загрузочный модуль этой программы на компакт-диске.


Интересуюсь у друзей, какие диски прилагались к компьютеру при покупке и какое покупалось программное обеспечение дополнительно. Нашёлся единственный неизвестный диск, который оказывается оставил я. На нём красиво и бесполезно для меня было написано -Диск восстановления Windows 7. На данном системном блоке была установлена Windows ХР, соответственно данный диск ничем помочь не мог. Почему спрашиваю у вас ХР, ведь сначала семёрка была, иначе бы я вам такой диск не сделал? А мне отвечают. Сначала была Windows 7, но на ней не запускались многие игры и мы переустановили Windows ХР.


Ну да ладно, что мы имеем: диск со средой восстановления Windows 7 и компьютер с установленной Windows ХР, заблокированной баннером вымогателем. Перезагрузил я компьютер, зашёл в BIOS, выставил загрузку с дисковода и загрузился с данного диска восстановления Windows 7 (что это за диск и как его сделать, читайте в нашей статье), будь что будет.

Нажимаем любую клавишу на клавиатуре.

Естественно поиск установленных систем ничего не дал, среда восстановления не нашла никакой Windows,

и не было никакого образа системы на дополнительном разделе.

Оставалось одно- зайти в командную строку
 и попробовать войти в проводник Windows, через известную команду notepad. Командная строка и набираем notepad. Попадаем в блокнот, здесь Файл и Открыть.
Пожалуйста перед нами проводник, уже не плохо и у нас появились небольшие шансы на успех.
В первую очередь вирус вымогатель изменяет в реестре параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe

Что бы просмотреть их, нужно зайти в реестр заблокированной системы, сделать это можно например с диска Live CD, дающего возможность подключиться к операционной системе или идеальный вариант с помощью специальных дисков восстановления ERD Commander в Windows ХР и Microsoft Diagnostic and Recovery Toolset в Windows 7. Подробнее читайте в нашей статье- Как удалить баннер. У меня с собой такого диска не было и оставался один вариант. В этом случае можно зайти в папку С:\Windows\repair (не забывайте в Типах файлов указывать Все файлы, а то вы ничего не увидите),

там хранятся резервные копии файлов реестра, созданные при установке Windows XP, далее скопировать оттуда файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM и заменить ими повреждённые файлы реестра с такими же названиями в папке C:\Windows\System32\Config.


К сожалению многие установленные программы откажутся работать, так как состояние реестра будет такое, какое оно было на момент установки Windows ХР. У моих знакомых никаких особых программ, которые нельзя было бы в случае необходимости переустановить не было. В первую очередь я зашёл в папку C:\Windows\System32\Config и удалил оттуда повреждённые файлы реестра -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, кстати перед удалением можете их скопировать на всякий случай в любую папку.


Затем я зашёл в папку С:\Windows\repair и скопировал из неё в папку C:\Windows\System32\Config резервные файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.
 

Ещё я удалил всё из папок Temp. В Windows ХР они находятся:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp.
Так же полностью очистил папку C:\Windows\Prefetch.
В папке С:\Windows->system32, просмотрел файлы оканчивающиеся на .exe и dll, с датой на вчерашний день, когда произошло заражение компьютера баннером вымогателем, нашёл такой всего один и удалил его.

 

Затем перезагрузился. Windows ХР загрузилась без сообщения- Windows заблокирован пополнить номер абонента, многие программы удалось запустить непосредственно из личных папок в C:\Program Files. Игры все запустились вообще без проблем.

Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!
<
admin

21 февраля 2012 00:23

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Андрей, к сожалению свеженаписанный вирус практически не распознаётся антивирусной программой, даже платной- эвристика очень редко помогает. Если хотите уберечься, работайте под ограниченной учётной записью, не выключайте восстановление системы, ведите себя акуратно на сомнительных сайтах и не жмите на всё попало. Плагины для браузера или flash player, а так же нужные вам программы скачивайте на сайтах разработчиков.
<
sui

6 марта 2012 19:20

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
самый лучший способ не поймать вирус работать под Linux, например Gentoo или Slacks
винду использую только для выведения вирусов у клиентов
кстати вирусы просто удалить подключив диск с нормальной машине в MC
<
admin

6 марта 2012 20:43

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
sui, легко говорить, взяли и написали статью, люди посмотрят и может так и сделают и спасибо вам скажут.
<
Настя

9 марта 2013 01:01

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Подскажите, что делать, если при захождении в командную строку выбран русский язык. Комбинации Shift +Alt и Shift + Ctrl не помогают, а команды надо вводить на английском.
<
admin

9 марта 2013 07:09

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Попробуйте наоборот alt-shift или Ctrl-shift
<
Настя

9 марта 2013 11:59

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
При использовании Shift + Alt и наоборот буквы просто большие, но язык не меняется. А при Shift +Ctrl и наоборот буква уже на английском, но с ^ .Например:^N^V^D^Y, вместо обычных NVDY. Что делать?
<
admin

9 марта 2013 12:40

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Вы в нормально работающей Windows не можете раскладку клавиатуры на английскую поменять или с установочного диска компьютер загрузили.
<
Настя

9 марта 2013 15:08

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Я загружаю не с установочного диска, но и раскладку поменять не могу, потому что вирус Windows заблокировал.
<
admin

9 марта 2013 16:30

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Вот эту статью попробуйте
Как избавиться от баннера
http://remontcompa.ru/252-kak-izbavitsya-ot-bannera.html
<
Настя

9 марта 2013 18:37

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо, попробую)
<
Cvbhyjdf Игорь

1 октября 2013 16:50

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Удалил баннер, появился пароль, даже в безопасном режиме не могу войти.
<
admin

1 октября 2013 17:04

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Сброс пароля в Windows 7 и Windows XP
blog.pc-lessons.ru/news/sbros-parolya-v-windows-7-i-windows-xp.html
<
Артур

15 февраля 2014 05:23

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо вам большое правда работает
<
Alex Main

26 марта 2014 21:48

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Я бы дополнил. Можно после восстановления резервных файлов реестра и входа в систему загрузить в редактор реестра старые кусты, почистить их и вернуть обратно.
<
admin

26 марта 2014 22:37

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Alex, правильно ты говоришь, можно всё проще сделать, загрузиться с диска AntiWinLocker и жахнуть всё автоматом.
http://remontcompa.ru/288-kak-ubrat-banner-s-rabochego-stola.html
<
Alex Main

26 марта 2014 22:52

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Тут речь шла об отсутствии подручных средств. Дискуссию закрываю.
<
admin

27 марта 2014 10:19

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Alex ты абсолютно прав, можно и кусты почистить, но это надо небольшую статейку написать, чтобы большинству пользователей было понятно.
Ты хотя бы в комментарии приведи небольшой пример.
<
Alex Main

27 марта 2014 22:07

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Все просто...
После выполнения всего указанного в этой статье загружаемся в восстановленную систему. Пуск-Выполнить-regedit. Выбираем раздел HKEY_LOCAL_MACHINE. В меню Файл выбираем загрузить куст, идем в папку где мы сделали резервную копию файлов реестра (например: C:\Windows\system32\config\backup) загружаем куст SOFTWARE, проверяем и удаляем все подозрительное из разделов Run, RunOnce, Winlogon... и выгружаем куст. Еще придется проверить пользовательские кусты, файлы которых находятся в папках с профилями пользователей "Document and Setings" (для XP) или "Users" (для Win7) и называются NTUSER.DAT в них тоже есть разделы Run, RunOnce...
После этого можно использовать тот же порядок, описанный в этой статье, для возврата исправленных файлов из бэкапа на прежнее место.
В результате получим вылеченную без подручных средств систему с сохранением профилей пользователей и всех настроек программ.
Ну а дальше проверка антивирусом и при необходимости восстановление измененных вирусом параметров системы с помощью какой-либо утилиты.
Просто ли...
<
admin

28 марта 2014 08:08

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Да Alex, ты всё чётко расписал! Правильно и конечно проще всё сделать, если рядом с заражённой машиной будет другой компьютер. Можно просто взять и скопировать файл SOFTWARE из заражённого компьютера. На здоровой машине его отредактировать.
Открываем regedit
Левой мышкой щелкаем один раз на HKEY_LOCAL_MACHINE, затем Файл->загрузить куст, указываем файл SOFTWARE из заражённого компьютера, указываем любое имя, например "Test", заходим в HKEY_LOCAL_MACHINE и видим этот "Test", редактируем, далее Файл->выгрузить куст.

Alex у тебя нет своего сайта? Если есть, давай поставлю на тебя ссылку, пусть пользователи читают твои статьи, наверняка они интересные!
<
Alex Main

28 марта 2014 10:17

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
У меня вообще была идея создать универсальный и быстрый способ восстановления системы. Можно было бы создать файлы для экспорта в основные разделы реестра заведомо здоровых настроек. При этом восстанавливались бы основные ассоциации файлов, такие как exe, bat, pif..., все настройки автозагрузки, оболочки и т.п. Можно так же восстановить разделы драйверов и системных служб на дефолтные, что бы исключить присутствие там вирусов, после этого драйвера можно быстро переустановить с установочных дисков или драйверпака... Настройки приложений при этом не затрагивались бы.
Подобным образом можно восстанавливать и все основные системные файлы из оригинального дистрибутива или чистой системы с последними обновлениями, при этом заменятся зараженные системные файлы.
Вот и все лечение. Очень быстро и эффективно! Конечно, такой способ не поддерживается разработчиками. И, к сожалению, я не довел это все до ума...
Мне тоже нравится Ваш стиль изложения материала, но естественно, это лишь все поверхностно, т.к. для новичков... На практике квалифицированному специалисту приходиться копать гораздо глубже: ядро системы, NTFS-потоки... Вообщем проводить исследования, особенно на ответственных системах. Современные руткиты, как и антивирусные технологии имеют очень продвинутые и изощренные технологии... Я понял это во время прохождения обучения по антивирусной защите.
Сайта у меня нет. И хоть я и имею образование в области системного администрирования, по большей части я эникейщик, т.к. моя работа с этим не связана. Компьютерные технологии для меня лишь хобби и небольшой дополнительный доход. Откровенно говоря очень не хватает общения в этом направлении. На форумах особо не пишу, но Вы меня чем-то зацепили... Может простотой ;)
<
admin

28 марта 2014 11:42

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Alex, Вам нужен свой сайт, пусть вы будете писать редко, да метко, я буду ваш постоянный читатель, вы обязательно найдёте своих единомышленников.
Зря вы не общаетесь на форумах, конечно хороших площадок мало, но наверняка они есть.
Да, мой сайт для начинающих, но если вы захотите что-то написать у меня, то я согласен публиковать ваши мысли в виде статей, представляйтесь как хотите и пишите!
<
Alex Main

28 марта 2014 13:12

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо за советы и предложения!
Но есть несколько вопросов:
1. Зачем мне это?
2. Зачем Вам это?
3. Как Вы всё успеваете? )
P.S. Может не засорять форум этой перепиской?
<
admin

28 марта 2014 13:56

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 991
  • Комментариев: 28798
Да, хорошо, я вам на почту написал.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Вопрос:
Сколько будет 2+3=?
Ответ:*
НАВИГАЦИЯ

 

 

 

^
Копирование материалов сайта разрешается только с гиперссылкой на источник