Windows заблокирован пополнить номер абонента

Категория: Функционал Windows / Безопасность
Добавил: access_timeОпубликовано: 17-02-2012 visibilityПросмотров: 11 527 chat_bubble_outlineКомментариев: 23

Хочу рассказать вам друзья один произошедший со мной случай на днях. Есть у меня хороший друг ещё со школы, позвал меня с женой и детьми в гости, естественно я с собой ничего не взял, даже флешки с бесплатной антивирусной программой. Пришли мы и не успели раздеться, как ко мне сразу подошёл маленький мальчик (сын моего друга) и говорит:-„Дядя, папа сказал, что вы можете наш компьютер отремонтировать”. – А что случилось? Говорю я. „Там с нас какие-то дяди деньги просят, говорят наш Windows заблокирован пополнить номер абонента, мы деньги с мамой им положили, но они нас обманули и компьютер опять не работает”. Друзья увидели замешательство на моём лице и предложили не обращать внимание на это досадное происшествие.

Windows заблокирован пополнить номер абонента

Подошёл я к компьютеру и нажал на кнопку POWER, жду появление старого знакомого, который не заставил себя долго ждать. По началу загрузки определяю что установлена Windows XP. Всё как обычно на экране монитора при входе в систему появляется предупреждение - Windows заблокирован для разблокировки вам нужно пополнить номер абонента.., означающее заражение компьютера вирусом Trojan.Winlock или Trojan-Ransom, а ещё проще- Пошлите смс. Ни одна кнопка на клавиатуре не работает, а так же ни одно сочетание клавиш.

  • Например можно попробовать до момента загрузки баннера нажать комбинацию Ctrl+Shift+Esc, очень редко везёт и вы сможете попасть в диспетчер задач, затем найти вражеский процесс и завершить его. Или в окне диспетчера задач выбрать Файл->Открыть, далее набрать explorer и Ок, таким образом вы сможете попасть в проводник, далее наведаться в папку С:\Windows->system32 и удалить все файлы оканчивающиеся на .exe и dll с датой на день заражения Windows баннером. Набрав команду msconfig, попадёте в автозагрузку-удалите оттуда всё. Команда regedit->входим в реестр, ну а далее повторяться не буду, всё очень подробно написано в нашей статье Как убрать баннер

К сожалению ничего из этого не помогло и ни в какую автозагрузку я не попал. В безопасный режим и безопасный режим с поддержкой командной строки войти тоже не удалось. Сижу думаю дальше, в голову стала закрадываться мысль- сгонять за своим чемоданом на другой конец города.

Всем своим друзьям компьютеры покупаю я, сейчас обычно системные блоки или ноутбуки идут с предустановленной Windows. После покупки я всегда делаю образ операционной системы, который располагается на НЕ системном разделе, обычно (D:) или (Е:). Тем, кто мог себе позволить программу Acronis True Image Home, (на официальном сайте цена всего 1 000 рублей на один компьютер) образ делал в виде бэкапа в данной программе, что очень удобно. Бэкап или образ всегда (если их случайно не удалят) можно развернуть в случае крайней необходимости, если ничего не поможет. Если люди приобретали Acronis, значит у них должен быть бэкап системы и вполне может оказаться загрузочный модуль этой программы на компакт-диске.


Интересуюсь у друзей, какие диски прилагались к компьютеру при покупке и какое покупалось программное обеспечение дополнительно. Нашёлся единственный неизвестный диск, который оказывается оставил я. На нём красиво и бесполезно для меня было написано -Диск восстановления Windows 7. На данном системном блоке была установлена Windows ХР, соответственно данный диск ничем помочь не мог. Почему спрашиваю у вас ХР, ведь сначала семёрка была, иначе бы я вам такой диск не сделал? А мне отвечают. Сначала была Windows 7, но на ней не запускались многие игры и мы переустановили Windows ХР.


Ну да ладно, что мы имеем: диск со средой восстановления Windows 7 и компьютер с установленной Windows ХР, заблокированной баннером вымогателем. Перезагрузил я компьютер, зашёл в BIOS, выставил загрузку с дисковода и загрузился с данного диска восстановления Windows 7 (что это за диск и как его сделать, читайте в нашей статье), будь что будет.

Нажимаем любую клавишу на клавиатуре.

Естественно поиск установленных систем ничего не дал, среда восстановления не нашла никакой Windows,

и не было никакого образа системы на дополнительном разделе.

Оставалось одно- зайти в командную строку
 и попробовать войти в проводник Windows, через известную команду notepad. Командная строка и набираем notepad. Попадаем в блокнот, здесь Файл и Открыть.
Пожалуйста перед нами проводник, уже не плохо и у нас появились небольшие шансы на успех.
В первую очередь вирус вымогатель изменяет в реестре параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe, 
Shell - explorer.exe

Что бы просмотреть их, нужно зайти в реестр заблокированной системы, сделать это можно например с диска Live CD, дающего возможность подключиться к операционной системе или идеальный вариант с помощью специальных дисков восстановления ERD Commander в Windows ХР и Microsoft Diagnostic and Recovery Toolset в Windows 7. Подробнее читайте в нашей статье- Как удалить баннер. У меня с собой такого диска не было и оставался один вариант. В этом случае можно зайти в папку С:\Windows\repair (не забывайте в Типах файлов указывать Все файлы, а то вы ничего не увидите),

там хранятся резервные копии файлов реестра, созданные при установке Windows XP, далее скопировать оттуда файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM и заменить ими повреждённые файлы реестра с такими же названиями в папке C:\Windows\System32\Config.


К сожалению многие установленные программы откажутся работать, так как состояние реестра будет такое, какое оно было на момент установки Windows ХР. У моих знакомых никаких особых программ, которые нельзя было бы в случае необходимости переустановить не было. В первую очередь я зашёл в папку C:\Windows\System32\Config и удалил оттуда повреждённые файлы реестра -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, кстати перед удалением можете их скопировать на всякий случай в любую папку.


Затем я зашёл в папку С:\Windows\repair и скопировал из неё в папку C:\Windows\System32\Config резервные файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.
 

Ещё я удалил всё из папок Temp. В Windows ХР они находятся:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp. 
Так же полностью очистил папку C:\Windows\Prefetch.
В папке С:\Windows->system32, просмотрел файлы оканчивающиеся на .exe и dll, с датой на вчерашний день, когда произошло заражение компьютера баннером вымогателем, нашёл такой всего один и удалил его.

 

Затем перезагрузился. Windows ХР загрузилась без сообщения- Windows заблокирован пополнить номер абонента, многие программы удалось запустить непосредственно из личных папок в C:\Program Files. Игры все запустились вообще без проблем.


tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (23)

  1. img
    28 марта 2014 13:56 admin
    Администратор
    Да, хорошо, я вам на почту написал.
    Цитировать replyОтветить
  2. img
    28 марта 2014 13:12 Alex Main
    Гость
    Спасибо за советы и предложения!
    Но есть несколько вопросов:
    1. Зачем мне это?
    2. Зачем Вам это?
    3. Как Вы всё успеваете? )
    P.S. Может не засорять форум этой перепиской?
    Цитировать replyОтветить
  3. img
    28 марта 2014 11:42 admin
    Администратор
    Alex, Вам нужен свой сайт, пусть вы будете писать редко, да метко, я буду ваш постоянный читатель, вы обязательно найдёте своих единомышленников.
    Зря вы не общаетесь на форумах, конечно хороших площадок мало, но наверняка они есть.
    Да, мой сайт для начинающих, но если вы захотите что-то написать у меня, то я согласен публиковать ваши мысли в виде статей, представляйтесь как хотите и пишите!
    Цитировать replyОтветить
  4. img
    28 марта 2014 10:17 Alex Main
    Гость
    У меня вообще была идея создать универсальный и быстрый способ восстановления системы. Можно было бы создать файлы для экспорта в основные разделы реестра заведомо здоровых настроек. При этом восстанавливались бы основные ассоциации файлов, такие как exe, bat, pif..., все настройки автозагрузки, оболочки и т.п. Можно так же восстановить разделы драйверов и системных служб на дефолтные, что бы исключить присутствие там вирусов, после этого драйвера можно быстро переустановить с установочных дисков или драйверпака... Настройки приложений при этом не затрагивались бы.
    Подобным образом можно восстанавливать и все основные системные файлы из оригинального дистрибутива или чистой системы с последними обновлениями, при этом заменятся зараженные системные файлы.
    Вот и все лечение. Очень быстро и эффективно! Конечно, такой способ не поддерживается разработчиками. И, к сожалению, я не довел это все до ума...
    Мне тоже нравится Ваш стиль изложения материала, но естественно, это лишь все поверхностно, т.к. для новичков... На практике квалифицированному специалисту приходиться копать гораздо глубже: ядро системы, NTFS-потоки... Вообщем проводить исследования, особенно на ответственных системах. Современные руткиты, как и антивирусные технологии имеют очень продвинутые и изощренные технологии... Я понял это во время прохождения обучения по антивирусной защите.
    Сайта у меня нет. И хоть я и имею образование в области системного администрирования, по большей части я эникейщик, т.к. моя работа с этим не связана. Компьютерные технологии для меня лишь хобби и небольшой дополнительный доход. Откровенно говоря очень не хватает общения в этом направлении. На форумах особо не пишу, но Вы меня чем-то зацепили... Может простотой ;)
    Цитировать replyОтветить
  5. img
    28 марта 2014 08:08 admin
    Администратор
    Да Alex, ты всё чётко расписал! Правильно и конечно проще всё сделать, если рядом с заражённой машиной будет другой компьютер. Можно просто взять и скопировать файл SOFTWARE из заражённого компьютера. На здоровой машине его отредактировать.
    Открываем regedit
    Левой мышкой щелкаем один раз на HKEY_LOCAL_MACHINE, затем Файл->загрузить куст, указываем файл SOFTWARE из заражённого компьютера, указываем любое имя, например "Test", заходим в HKEY_LOCAL_MACHINE и видим этот "Test", редактируем, далее Файл->выгрузить куст.

    Alex у тебя нет своего сайта? Если есть, давай поставлю на тебя ссылку, пусть пользователи читают твои статьи, наверняка они интересные!
    Цитировать replyОтветить
  6. img
    27 марта 2014 22:07 Alex Main
    Гость
    Все просто...
    После выполнения всего указанного в этой статье загружаемся в восстановленную систему. Пуск-Выполнить-regedit. Выбираем раздел HKEY_LOCAL_MACHINE. В меню Файл выбираем загрузить куст, идем в папку где мы сделали резервную копию файлов реестра (например: C:\Windows\system32\config\backup) загружаем куст SOFTWARE, проверяем и удаляем все подозрительное из разделов Run, RunOnce, Winlogon... и выгружаем куст. Еще придется проверить пользовательские кусты, файлы которых находятся в папках с профилями пользователей "Document and Setings" (для XP) или "Users" (для Win7) и называются NTUSER.DAT в них тоже есть разделы Run, RunOnce...
    После этого можно использовать тот же порядок, описанный в этой статье, для возврата исправленных файлов из бэкапа на прежнее место.
    В результате получим вылеченную без подручных средств систему с сохранением профилей пользователей и всех настроек программ.
    Ну а дальше проверка антивирусом и при необходимости восстановление измененных вирусом параметров системы с помощью какой-либо утилиты.
    Просто ли...
    Цитировать replyОтветить
  7. img
    27 марта 2014 10:19 admin
    Администратор
    Alex ты абсолютно прав, можно и кусты почистить, но это надо небольшую статейку написать, чтобы большинству пользователей было понятно.
    Ты хотя бы в комментарии приведи небольшой пример.
    Цитировать replyОтветить
  8. img
    26 марта 2014 22:52 Alex Main
    Гость
    Тут речь шла об отсутствии подручных средств. Дискуссию закрываю.
    Цитировать replyОтветить
  9. img
    26 марта 2014 22:37 admin
    Администратор
    Alex, правильно ты говоришь, можно всё проще сделать, загрузиться с диска AntiWinLocker и жахнуть всё автоматом.
    http://remontcompa.ru/288-kak-ubrat-banner-s-rabochego-stola.html
    Цитировать replyОтветить
  10. img
    26 марта 2014 21:48 Alex Main
    Гость
    Я бы дополнил. Можно после восстановления резервных файлов реестра и входа в систему загрузить в редактор реестра старые кусты, почистить их и вернуть обратно.
    Цитировать replyОтветить
  11. img
    15 февраля 2014 05:23 Артур
    Гость
    Спасибо вам большое правда работает
    Цитировать replyОтветить
  12. img
    1 октября 2013 17:04 admin
    Администратор
    Сброс пароля в Windows 7 и Windows XP
    blog.pc-lessons.ru/news/sbros-parolya-v-windows-7-i-windows-xp.html
    Цитировать replyОтветить
  13. img
    1 октября 2013 16:50 Cvbhyjdf Игорь
    Гость
    Удалил баннер, появился пароль, даже в безопасном режиме не могу войти.
    Цитировать replyОтветить
  14. img
    9 марта 2013 18:37 Настя
    Гость
    Спасибо, попробую)
    Цитировать replyОтветить
  15. img
    9 марта 2013 16:30 admin
    Администратор
    Вот эту статью попробуйте
    Как избавиться от баннера
    http://remontcompa.ru/252-kak-izbavitsya-ot-bannera.html
    Цитировать replyОтветить
  16. img
    9 марта 2013 15:08 Настя
    Гость
    Я загружаю не с установочного диска, но и раскладку поменять не могу, потому что вирус Windows заблокировал.
    Цитировать replyОтветить
  17. img
    9 марта 2013 12:40 admin
    Администратор
    Вы в нормально работающей Windows не можете раскладку клавиатуры на английскую поменять или с установочного диска компьютер загрузили.
    Цитировать replyОтветить
  18. img
    9 марта 2013 11:59 Настя
    Гость
    При использовании Shift + Alt и наоборот буквы просто большие, но язык не меняется. А при Shift +Ctrl и наоборот буква уже на английском, но с ^ .Например:^N^V^D^Y, вместо обычных NVDY. Что делать?
    Цитировать replyОтветить
  19. img
    9 марта 2013 07:09 admin
    Администратор
    Попробуйте наоборот alt-shift или Ctrl-shift
    Цитировать replyОтветить
  20. img
    9 марта 2013 01:01 Настя
    Гость
    Подскажите, что делать, если при захождении в командную строку выбран русский язык. Комбинации Shift +Alt и Shift + Ctrl не помогают, а команды надо вводить на английском.
    Цитировать replyОтветить
  21. img
    6 марта 2012 20:43 admin
    Администратор
    sui, легко говорить, взяли и написали статью, люди посмотрят и может так и сделают и спасибо вам скажут.
    Цитировать replyОтветить
  22. img
    6 марта 2012 19:20 sui
    Гость
    самый лучший способ не поймать вирус работать под Linux, например Gentoo или Slacks
    винду использую только для выведения вирусов у клиентов
    кстати вирусы просто удалить подключив диск с нормальной машине в MC
    Цитировать replyОтветить
  23. img
    21 февраля 2012 00:23 admin
    Администратор
    Андрей, к сожалению свеженаписанный вирус практически не распознаётся антивирусной программой, даже платной- эвристика очень редко помогает. Если хотите уберечься, работайте под ограниченной учётной записью, не выключайте восстановление системы, ведите себя акуратно на сомнительных сайтах и не жмите на всё попало. Плагины для браузера или flash player, а так же нужные вам программы скачивайте на сайтах разработчиков.
    Цитировать replyОтветить