Компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента МТС 89112969336, 89110133035, 89117222488, 89112964880, 89817539297, 89897520781
Описание проблемы:
Блокируется загрузка операционной системы, появляется голубое окно с сообщением — «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф 400 рублей на номер телефона 89112969336, 89110133035, 89117222488, 89112964880, 89817574914, 89817539297, 89897520781после снятия блокировки удалить все материалы содержащие элементы насилия и педофилия. В противном случае, через 12 часов все данные будут удалены с вашего ПК, а дело передано для разбирательства Управление К МВД РФ по статье 242 ч.1 УК РФ. Код разблокировки будет напечатан на фискальном чеке терминала в случае оплаты суммы равной штрафу либо превышающей ее.»
Методика удаления смс-вымогателя «Компьютер заблокирован за просмотр» для Windows XP:
- Загрузить компьютер с помощью LiveCD и подключить реестр заблокированной вирусом-вымогателем операционной системы;
- Найти в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем.
Параметр:
shell
Значение параметра должно быть:
Explorer.exe
Если значение параметра отличается, тоже исправляем.
- Выгружаем подключенный реестр;
- Заменяем изменный вирусом файл «userinit.exe» в каталоге «X:\WINDOWS\system32\» и «X:\WINDOWS\system32\dllcache\», где «X» диск, на котором установлена заблокированная операционная система, на аналогичный файл с другого компьютера, с такой же как у вас операционной системой. Например для Windows XP SP3, оригинальный файл userinit.exe можно скачать здесь;
- Перезагрузка, пробуем загрузить компьютер в обычном режиме.
Альтернативные варианты решения проблемы от пользователей:
- Удаление блокера с помощью AntiWinLocker LiveCD.
- Что делать если заблокирована клавиатура.
- Несложный и быстрый способ удаления смс-вымогателя «Компьютер заблокирован за просмотр» для Windows 7.
- Разблокировать систему нажитием на слово «является» если оно присутствует в тексте баннера.
Оставьте Ваш Отзыв:
Отзывов (107) на “Компьютер заблокирован за просмотр. Вирус просит пополнить номер абонента МТС 89112969336, 89110133035, 89117222488, 89112964880, 89817539297, 89897520781”На Windows 8 удалось запустить диспетчер и снять процесс 87.exe. После этого баннер исчез, все заработало. Банер находился в папке I:\Users\%ТекущийПользователь%\AppData\Roaming. Имя второго вредоносного файла не помню. Оба были с характерным значком толи канцелярская кнопка с длинной ножкой, то ли зонтик.
Ребят, была таже проблема, сделал как написанно, не прокатило, потом в поиске забил 87.exe, нашел 2 файла-удалил и все прошло
Набрал код 2348, баннер исчез но рабочий стол пуст, но самое главное баннер исчез! Продолжаю войну, диспетчер задач работает.
Код разблокировки 2348 работает. После запуска рабочего стола ищем файл 81.ехе, удаляем и все ок!
Уж не знаю писался ли данный способ… до конца не дочитал.
Я много чего перепробовал. Но ничего не помогало.
Потом с психу зажал ктрл+альт+дел и держал так минут 20
в течении этого времени диспетчер задач на заднем фоне просматривался с задержкой всего доли секунды, но за счет мигания можно было даже разглядеть что в нём написано.
вот там то я и увидел процесс 0..176995813859.ехе
вставил загрузочную флешку и без всяких утилит через поиск аншел все похожие файлы. удалил их — и всё заработало.
потом еще раз прошёлся антивирусником. И так же еще раз прошёлся поисковиком. Антивир ниче не дал, а вот поиск выдал еще 3 похожих файла с разными разрешениями и слегка изменённым набором цыфр.
удалил их. Теперь горя не знаю.
Зашел в Безопалсном режиме с поддержкой командной строки! ввел Explorer, далее через поиск нашол два файла 87.exe удалил и все стало норм) ибо в реестре не разобрался показалось что там все ок)
Всем привет тоже столкнулся с вирусом баннером «майкрософт секюрити обнаружил нарушение использования сети интернет. Причина: просмотр ДЕТСКОГО и ГЕЙ порно, посещения порно-сайтов. Для разблокировки виндус необходимо: Пополнить кошелёк на номер U380981161065 на сумму 850 грн. и т.далее». (красные буквы на чёрном фоне в низу слева Enter code — жёлтые буквы ) попытался его убрать ERD Commander 2005 но при запуске пишет «INF file txtsetur.sif is coppurt or missing, status 18. Setur cannot continue. Press any key to exist». и всё. Пробовал и через загрузочный диск с PornoBanner_Stop.nrg. но когда дохожу до нажатия буквы «R» пишет что отсутствует жёсткий диск. пытаюсь с его помощью перезапустить виндус то же самое. Дальше в систему пройти не могу думал с помощью avz4 или касперского но не продвигаюсь. Пол дня потерял но ничего. При загрузки или при появившемся сообщения успеваю нажать Ctrl+Alt+Del выбрать путь загрузки (носитель памяти) и всё. Подскажиьте что делаю не так и как с этим бороться. Спасибо.Очень надеюясь что подскажите.
Добрый день!
В 7 винде помогло введение в командную строку при безопасном режиме «rstrui» и все!!!!! откат к предыдущему сохранению, после проверка антивирусом.
Опробовал:
1. основной способ через реестр — не помогло
2. dr web cureit! — не помогло
3. диспетчер задач открыть было невозможно
4. способ с восстановлением системы через командную строку, Ввести команду «rstrui». — помогло! Резервная копия за 4 дня до этого =)
Спасибо сайту!!!
Номер мтс 9181076087 1000 рублей.
Просидел около часа. Оказалось всё просто.
перезагрузка. клавиша F8 сразу после включения ПК, безопасный режим с командной строкой, вводим explorer, через Total Commander зашел в автозапуск программ. выключил незнакомые. посмотрел путь. попробовал запустить некоторые. оказалось файл по адресу C:\Users\*пользователь*\AppData\Roaming\ 87.exe
удалил его. перезапустил. все заработало. теперь проверяю на вирусы.
Красавец! Спасибо! Через реестр смотрел — пути все нормальные, уже в тупик встал, а ты помог!
у меня вместе с этой фигней запускалась прога с таким же путем, но в конце вместо 87 написано «taskhosts.exe»
так вот, прикол-то в том, что все программы работали, просто не было значков на раб.столе и панельки инструментов внизу. у меня еще майкрософт секьюрити стоял. он-то и показал, что не может понять, что это за файлы и что они на компьютере делают. так вот, этот баннер (сама картинка) легко убирается кодом 2348. и теперь через диспетчер задач можно попасть и в корневые папки, и куда угодно, просто нажимая на любом элементе «открыть папку с файлом». и в поиске я нашла по окончаниям эти файлы, датированные сегодняшним и вчерашним числом, когда, в принципе, все и началось. удаляем их +- убираем из автозапуска. у меня все вновь заработало, но, на всякий случай, еще антивирь помучаю
да, и еще, она же запускается с автозапуском и поэтому до того, как баннер все замостит, у нас есть еще несколько секунд, чтоб быстро успеть нажать на значок антивируса. и баннер начинает вылетать, как только антивирус выкидывает на стол свои окна
Через 2-го пользователя спокойно зашел на комп, запустил NOD32, в результате проверки нашлись:
1) C:\Documents and Settings\123\Local Settings\Temp\huiauk4b.exe — Win32/SpyVoltar.A троянская программа — очищен удалением – изолирован;
2) C:\Documents and Settings\123\Local Settings\Temporary Internet Files\Content.IE5\UJQ9AZOD\87[1].o — Win32/LockScreen.AMD троянская программа — очищен удалением — изолирован.
У меня просили 1000 рублей и тел был указан: 9881846058.
у меня тоже taskhosts.exe был, но сам баннер назывался 87.exe.
как я понял taskhosts.exe снова скачивает баннер при удалении старого.
сразу после удаления 87.exe у меня появился 101.exe, потом снова 87.exe
долго taskhosts.exe удалить не мог, антивирус блокировал удаление и пытался его вылечить.
спасибо. всё помогло
безопасный режим правда через f10
Ситуация следующая: Картинка похожа, только МВД Украины. Винда запускается и через 10 сек. загружается банер. Диспетчер задач не запускается даже в безопасном режиме (пишет заблокировано администратором). В Shell & userinit все правильно. CureIt почистил в безопасном режиме (вроде какой-то троян «смс» нашел), все найденое удалил, прогнал еще раз(пусто) и ничего. Безопасный режим запускается и с командной строкой и с сетью. Прочесал весь диск С насчет подозрительных файлов — ничего не нашел. Загрузился с LiveUSB, отсканировал , что нашел — удилил, ничего не помогло. В биосе менял дату — ничего. Создал новую учетную запись, загрузился, но она не видит (или запрещено видеть) файлы диска С старой учетной записи, тоесть как я понимаю сканировать нет смысла. Пробовал rstrui, но что-то не могу разобратся (написано в инструкции одно, на деле такого «пути» нет или я его не вижу). Деньги они хер получат, да вот винду переустанавливать неохота. Заранее спасибо хоть за какие-то советы
По поводу «rstrui» на Win7 — если запускается безопасный режим с командной строкой, сначала выполняем первые 3 пункта отсюда: http://virus-free.ru/windows-zablokirovan-microsoft-security-essentials/. Затем Меню «Пуск» -> «Все программы» -> «Стандартные» -> «Служебные» -> «Восстановление системы». А дальше с помощью мастера выбирайте точку восстановления с датой предшествующей дню блокировки компьютера.
Все так и делал. Мастер переводил на систему, а дальше что и как??? У меня написано «Функция защиті системі отключена» Перехожу по ссілке включение и восстановление системі. Открівается окно «Систепа» ТЕПЕРЬ ЧТО???
К сожалению, вам этот способ не подойдет, т.к. «Восстановление системы» у Вас по каким-то причинам было отключено и точки восстановления не сохранялись, следовательно и «откатываться» некуда…
Вот здесь есть пошаговая инструкция по удалению блокера с помощью с AntiWinLocker LiveCD. Попробуйте этот способ.
Здравствуйте, Руслан!
Если вы смогли создать еще одну учетную запись(пользователя), то надо удалить вашу испорченную
запись и создать ее заново — так я вычистил несколько ПК.
С уважением Андрей.
Для Win7 помогло следующее… Входим в безопасный режим с поддержкой командной строки. Вводим Explorer /n ищем в папке пользователя(мои документы) файл типа 0.8636554878893208 (цифры могут быть другими) и удаляем его. После перегружаемся и входим в нормальном режиме, дальше антивирусом проверяем компьютер.
Верный способ вылечить недуг, без дисков, без Flash, без внесения правок в реестре — это встроенное в Windows средство — Система восстановления «Rstrui»:
1. F8 при загрузке Операционной системы;
2. Выбрать пункт «безопасный режим с поддержкой командной строки»;
3. Ввести команду «rstrui».
Гигант Мысли!!!
Огромное спасибо!
У меня Vista, антивирус Eset Smart , контроль учётн. записей отключен. При появление такой » бяки» порядок моих действий: клавиша F8 сразу после включения ПК, безопасный режим с командной строкой, написать-explorer и enter. Рабочий стол, запускаем сканирование антивирусом , затем восстановление системы. И всё ОК. По крайней мере на этот раз. Буду рада, если это к-н поможет:).
1000р. на номер МТС 988-181-07-44 Windows XP
До появления баннера при загрузке успеваем нажать на меню «Пуск» и ещё Ctrl+Alt+Delete, чтобы вызвать окно диспетчера задач.Эти действия не дают исчезнуть меню «Пуск» при появлении баннера, а также позволяют вызвать диспетчер задач повторным нажатием Ctrl+Alt+Delete.Для начала закрывыаем баннер путём завершения его программы в диспетчере задач. (Пользуемся клавиатурой, так как мышь не может выйти за пределы баннера). Затем удаляем программу C:\Documents and Settings\Пользователь\Application Data\87.exe. Потом Пуск-Выполнить-regedit и чистим в HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Run строчки с упоминанием 87.exe Баннер больше не появляется, но вирус ещё жив. Убиваем его утилитой Dr.Web CureIt! Счастье…
View all comments