DataLife Engine / Windows заблокирован пополнить номер абонента

Windows заблокирован пополнить номер абонента



Хочу рассказать вам друзья один произошедший со мной случай на днях. Есть у меня хороший друг ещё со школы, позвал меня с женой и детьми в гости, естественно я с собой ничего не взял, даже флешки с бесплатной антивирусной программой. Пришли мы и не успели раздеться, как ко мне сразу подошёл маленький мальчик (сын моего друга) и говорит:-„Дядя, папа сказал, что вы можете наш компьютер отремонтировать”. – А что случилось? Говорю я. „Там с нас какие-то дяди деньги просят, говорят наш Windows заблокирован пополнить номер абонента, мы деньги с мамой им положили, но они нас обманули и компьютер опять не работает”. Друзья увидели замешательство на моём лице и предложили не обращать внимание на это досадное происшествие.

Windows заблокирован пополнить номер абонента

Подошёл я к компьютеру и нажал на кнопку POWER, жду появление старого знакомого, который не заставил себя долго ждать. По началу загрузки определяю что установлена Windows XP. Всё как обычно на экране монитора при входе в систему появляется предупреждение - Windows заблокирован для разблокировки вам нужно пополнить номер абонента.., означающее заражение компьютера вирусом Trojan.Winlock или Trojan-Ransom, а ещё проще- Пошлите смс. Ни одна кнопка на клавиатуре не работает, а так же ни одно сочетание клавиш.

К сожалению ничего из этого не помогло и ни в какую автозагрузку я не попал. В безопасный режим и безопасный режим с поддержкой командной строки войти тоже не удалось. Сижу думаю дальше, в голову стала закрадываться мысль- сгонять за своим чемоданом на другой конец города.

Всем своим друзьям компьютеры покупаю я, сейчас обычно системные блоки или ноутбуки идут с предустановленной Windows. После покупки я всегда делаю образ операционной системы, который располагается на НЕ системном разделе, обычно (D:) или (Е:). Тем, кто мог себе позволить программу Acronis True Image Home, (на официальном сайте цена всего 1 000 рублей на один компьютер) образ делал в виде бэкапа в данной программе, что очень удобно. Бэкап или образ всегда (если их случайно не удалят) можно развернуть в случае крайней необходимости, если ничего не поможет. Если люди приобретали Acronis, значит у них должен быть бэкап системы и вполне может оказаться загрузочный модуль этой программы на компакт-диске.


Интересуюсь у друзей, какие диски прилагались к компьютеру при покупке и какое покупалось программное обеспечение дополнительно. Нашёлся единственный неизвестный диск, который оказывается оставил я. На нём красиво и бесполезно для меня было написано -Диск восстановления Windows 7. На данном системном блоке была установлена Windows ХР, соответственно данный диск ничем помочь не мог. Почему спрашиваю у вас ХР, ведь сначала семёрка была, иначе бы я вам такой диск не сделал? А мне отвечают. Сначала была Windows 7, но на ней не запускались многие игры и мы переустановили Windows ХР.


Ну да ладно, что мы имеем: диск со средой восстановления Windows 7 и компьютер с установленной Windows ХР, заблокированной баннером вымогателем. Перезагрузил я компьютер, зашёл в BIOS, выставил загрузку с дисковода и загрузился с данного диска восстановления Windows 7 (что это за диск и как его сделать, читайте в нашей статье), будь что будет.



Нажимаем любую клавишу на клавиатуре.

Естественно поиск установленных систем ничего не дал, среда восстановления не нашла никакой Windows,

и не было никакого образа системы на дополнительном разделе.

Оставалось одно- зайти в командную строку
 и попробовать войти в проводник Windows, через известную команду notepad. Командная строка и набираем notepad. Попадаем в блокнот, здесь Файл и Открыть.
Пожалуйста перед нами проводник, уже не плохо и у нас появились небольшие шансы на успех.
В первую очередь вирус вымогатель изменяет в реестре параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe, 
Shell - explorer.exe

Что бы просмотреть их, нужно зайти в реестр заблокированной системы, сделать это можно например с диска Live CD, дающего возможность подключиться к операционной системе или идеальный вариант с помощью специальных дисков восстановления ERD Commander в Windows ХР и Microsoft Diagnostic and Recovery Toolset в Windows 7. Подробнее читайте в нашей статье- Как удалить баннер. У меня с собой такого диска не было и оставался один вариант. В этом случае можно зайти в папку С:\Windows\repair (не забывайте в Типах файлов указывать Все файлы, а то вы ничего не увидите),

там хранятся резервные копии файлов реестра, созданные при установке Windows XP, далее скопировать оттуда файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM и заменить ими повреждённые файлы реестра с такими же названиями в папке C:\Windows\System32\Config.


К сожалению многие установленные программы откажутся работать, так как состояние реестра будет такое, какое оно было на момент установки Windows ХР. У моих знакомых никаких особых программ, которые нельзя было бы в случае необходимости переустановить не было. В первую очередь я зашёл в папку C:\Windows\System32\Config и удалил оттуда повреждённые файлы реестра -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, кстати перед удалением можете их скопировать на всякий случай в любую папку.




Затем я зашёл в папку С:\Windows\repair и скопировал из неё в папку C:\Windows\System32\Config резервные файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.
 

Ещё я удалил всё из папок Temp. В Windows ХР они находятся:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp. 
Так же полностью очистил папку C:\Windows\Prefetch.
В папке С:\Windows->system32, просмотрел файлы оканчивающиеся на .exe и dll, с датой на вчерашний день, когда произошло заражение компьютера баннером вымогателем, нашёл такой всего один и удалил его.

 

Затем перезагрузился. Windows ХР загрузилась без сообщения- Windows заблокирован пополнить номер абонента, многие программы удалось запустить непосредственно из личных папок в C:\Program Files. Игры все запустились вообще без проблем.

17-02-2012
Вернуться назад