Вирус просит отправить смс с текстом 9647115863 400 на номер 3116, 84444
Описание проблемы:
Блокируется загрузка операционной системы, появляется сообщение красные и белые буквы на черном фоне — «ВНИМАНИЕ! Ваша операционная системе заблокирована за нарушение использования сети интернет. Обнаружены следующие нарушения: Посещение сайтов порнографического содержания с элементами детской порнографии, насилия, зоофилии. Данная блокировка предпринята для устранение возможности распространения данных материалов с Вашего ПК в сети Интернет. Для разблокировки операционной системы вам необходимо оплатить 400 рублей.
Оплата с вашего мобильного телефона.
— Если Вы абонент Билайн, отправьте СМС с текстом 9647115863 400 на номер 3116. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент Мегафон, отправьте СМСс текстом 9647115863 400 на номер 84444. В ответном сообщении подтвердите ваш платёж. После оплаты, в ответном СМС придёт код доступа к системе.
— Если Вы абонент МТС, введите команду *115#. Далее выберите Связь. Билайн. номер телефона 9647115863 сумма 400 рублей.В ответном сообщении подтвердите ваш платёж.
ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ: Пополните номер абонента Билайн №9647115863 на сумму 400 рублей. На выданном чеке будет написан код доступа к системе. Введите его в форму ниже.»
Методика удаления смс-вымогателя:
- Загрузить компьютер с помощью LiveCD и подключить реестр заблокированной вирусом-вымогателем операционной системы;
- Найти в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем.
Параметр:
shell
Значение параметра должно быть:
Explorer.exe
Если значение параметра отличается, тоже исправляем.
- Выгружаем подключенный реестр;
- Находим и удаляем файлы смс вируса в системном каталоге:
«c:\windows\system32\rundll.bat»
«c:\windows\system32\nvcvc32.exe»
«c:\windows\system32\rsbtxv.exe» - Перезагрузка, пробуем загрузить компьютер в обычном режиме.