Меню
Категории
Пополнить номер абонента Билайн 8-965-304-53-56 на сумму 300 рублей
12 января, 2011 Вирусы

Очередная гадость на рабочем столе сотрудника вещает следующее — “Windows блокирован”. Microsoft Security обнаружил нарушения использования сети интернет. Причина. Вы смотрели фильмы содержащие гей-порно. Для разблокировки Windows необходимо: Пополнить номер абонента Билайн 8-965-304-53-56 на сумму 300 рублей. Оплатить можно через терминал для оплаты сотовой связи. После оплаты, на выданном терминалом чеке, Вы найдёте Ваш персональный код разблокировки, который необходимо ввести ниже.”

block 1 - Пополнить номер абонента Билайн 8-965-304-53-56 на сумму 300 рублей

Естественно никакого гей-порно никто не смотрел :D. Девочка качала клипарты, пользуясь Internet Explorer 6. Его мы убили и поставили потом Firefox. Но сначала вылечили гадость.

Пишем в окошке код разблокировки: 16342131. Если не сработал, то без геморроя закрыть окно не получается. Все сочетания блокируются и окна прячутся под это чудо. Однако при особой упорности убить скотину можно. Я пробовал  Ctrl+Shift+Esc, Alt+Tab или Ctrl+Alt+Del.

Если не получается убить гада из системы, нужно загрузиться с Live CD и уже оттуда убить файл и поправить реестр подключившись к нему удаленно.

В диспетчере задач сидел процесс с именем about[1].exe. Процесс убили, окро пропало, но перезагружаться и радоваться рано. Скотина сидит в системе и после перезагрузки выскочит вместо рабочего стола.

Для окончательного удаления находим этот файл. У меня он прятался в одной из папок

C:\Documents and Settings\administrator\Local Settings\Temporary Internet Files\Content.IE5

Вирусяк лезет в реестр и заменяет один параметр.

block 2 - Пополнить номер абонента Билайн 8-965-304-53-56 на сумму 300 рублей

Далее запускаем редактор системного реестра. Пуск — Выполнить — “regedit” — И жмём Ввод. Откроется “Редактор реестра”. В редакторе реестра выберите раздел (папку), последовательно нажимая на плюсики возле папок

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Затем посмотрите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit” (см. картинку). Значением параметра Shell должно быть Explorer.exe, если это не так, измените его на Explorer.exe. Параметра Userinit C:\WINDOWS\system32\userinit.exe, (обязательно в конце запятая, почему так:? не знаю). Если после запятой есть что-то еще — убираем. Это скорее всего вирус.

Вот так. После перезагрузки все должно быть нормально. Вируса отправил антивирусникам.

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.
about[1].exe – Trojan-Ransom.Win32.Gimemo.hp
Детектирование файла будет добавлено в следующее обновление.
С уважением, Лаборатория Касперского

23 комментария
  1. Спасибо большое, помогло!!!

  2. Помогло) Благодарствую!

  3. искал белорусский сайт, нашел эту шнягу.
    все супер теперь,вылечил!
    большое спасибки :-)

  4. Спсб, огромное

  5. Огромное спасибо! Помогло)

  6. Когда такое появилось – глаза на лоб. DrWeb лицензионный (в двойне обидно за деньги) только успел окошко показать и появилась синее окно. Обнаружил, что при загрузке в безопасном режиме с поддержкой коммандной строки этого окна нет. Запустил полное сканирование DrWeb (7 часов). Ничего не нашел. Перезапустил Windows в нормальном режиме – окно не исчезло. Переглянулись с женой – не в том специалисты… Переустановили Windows. По времени, затраченному такими чайниками как мы, переустановить быстрее.
    Интересно, каким анивирусным программам доверять? Раньше стоял Norton, неприятностей не было ни разу. Хотя раз на раз…

  7. Спасибо, все работает.

    для Алексей [ Январь 20, 2011, 15:21 ]
    браузер просто нужен “нормальный”, не IE
    И совсем хорошо если в нем будут отключены скрипты или плагин по управлению ими

  8. 16342131 – работает

  9. Я поймал это и под лисой. Блокирует эта хня всё, но Win+R и далее cmd сделать уже можно. А там tasklist и taskkill. В корневой папке винды лежал файл, со странным названием HideWin.exe, после его удаления начал грузится шелл винды. Собственно после этого подргрузился и антивирус, который окончательно вычистил всю грязь.

  10. с помощью двух сайтов смог вылечить комп этот и еще http://www.gps-pc.ru!спасибо помогли!

  11. Если у вас висит баннер или заблокирован контакт пишите в асю 467981712 помогу быстро
    ———————————————
    И просьба: пишите сразу какая стоит винда и есть ли второй комп под рукой!!!

  12. вчерапоймал фигню эту – сейчас буду с ней справляться, спасибо за советы

  13. на сайте касперского нашла ключи “sory”,”sorysory” и “kakashka”. Sory мне помогло.

  14. Утром поймал эту шляпу, окно то закрыл, только после перезагрузки, пропал весь рабочий стол и меню “пуск” Но после прочтенного выше фигня излечилась, СПАСИБО БОЛЬШОЕ
    P.S.: У меня просила 470 рублей

  15. Спасибо Ctrl+Alt+Del раз 15, через диспетчер задач запустил реестр, исправил путь и убрал бяку после Userinit, а заодно и путь к файлу узнал и сразу удалил!

  16. Здраствуйте! Помогите! у меня такая проблема. Появился баннер с таким текстом: пополнить номер абонента билайн по номеру 89603165725 на сумму 400 рублей. Как это устранить??? Кто знает ПОМОГИТЕ ПОЖАЛУЙСТА!!!!

  17. Привет! у меня вылазиет эта гадость,мол пополни счет и все пройдет! но я нашел способ заходить в windows(у меня седьмая винда и она не активированна). в окне появившемся окне активации нажимаю активировать через и-нет, он открывает мне окно браузера,там лезу в загрузки и открываю папку содержащую последний(любой) скаченный файл и я могу лазать по системе!!!)) НО!!!!!!!рабочего стола нет меню пуск тоже нет,при закрытии окон-черный экран!!! как в такой ситуации быть!????способ указанный выше не проходит…ели есть варианты-буду ОЧЕНЬ признателен и благодарен!!

  18. Пополнить номер абонента Билайн: 8-965-162-20-24

    К этому номеру тоже код подашел)))))! Благодарю!

  19. Александр

    99885522 – работает

  20. СПАСИБО Александр! У меня такая же фигня была (только 500р просила),но увы все изложенные выше способы оказались неэффективны( спас только ваш код 99885522!!!!!!

  21. neferka.93@yandex.ru

    пополнить счет на номер билайн 89676717357
    на сумму 1000рублей….
    было окошко,через час где то пропало,как это понять?

  22. для активации системы необходимо пополнить номер абонента билайн 89688508035 на сумму 2500 рублей

    Помогите ни где найти не могу

Добавить комментарий




*