| mp3xa | Дата: Понедельник, 11/09/12, 19:48 | Сообщение # 1 |
 Admin
Группа: Администраторы
Сообщений: 310
Награды: 0
Репутация: 0
Статус: Оффлайн
| Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере XXX рублей на номер телефона XXXXXXXXXXXXX. В случае оплаты равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижнем части окна и нажать кнопку «Разблокировать». и т.д.
Удалить баннер:
Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы.
- Загрузиться с любого загрузочного диска скачать LIVE CD. Как записать образ на диск читайте здесь
- Проверить нет ли на рабочем столе файла test.exe Если есть - удалить
- Зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe
- Зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Значение параметра Shell исправить на значение explorer.exe
- Значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)
- В реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки
Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:
- Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место (делаем резервную копию)
- Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
- Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe или находим userinit.exe.exe и переименовываем в userinit.exe
- Перезагружаем компьютер
|
| |
| |
