Как избавиться от блокировщика Windows

Вчера ко мне обратился одноклассник с просьбой посмотреть его компьютер, т.к. он блокирован каким то вредоносом.

Вот что я увидела на его мониторе черный экран с бело-сине-красным текстом, текст следующего содержания:

Ваша операционная система блокирована за нарушение использование сети интернет. Бла-бла-бла.

Для разблокировки операционной системы Вам необходимо платить 600 рублей.

ОПЛАТА С ВАШЕГО МОБИЛЬНОГО:

- Если Вы абонент Билайн отправьте СМС с текстом: 79626007737 600 на номер 3116
В соответствии с сообщением подтвердите платеж. После оплаты, в ответной СМС придет код доступа к системе.

- Если Вы абонент Мегафон отправьте СМС с текстом: 9602546722 600 на номер 8444
В соответствии с сообщением подтвердите платеж. После оплаты, в ответной СМС придет код доступа к системе.

- Если Вы абонент МТС введите команду *115# вы берете Связь Билайн, номер телефона сумма 600 рублей.
В соответствии с сообщением подтвердите платеж. После оплаты, в ответной СМС придет код доступа к системе.

ОПЛАТА ЧЕРЕЗ ТЕРМИНАЛ ДЛЯ ОПЛАТЫ СОТОВОЙ СВЯЗИ:

Пополнить номер абонента Билайн № 89650161447 на сумму 600 рублей. На выданном чеке, будет написан код доступа к системе. Введите в форму ниже.

Конечно же это вирус-вымогатель, который блокирует Windows, а так же очередной развод и платить деньги злоумышленникам это верх глупости.

Расскажу как я избавилась от него:

Шаг первый. Грузимся с Live CD Dr.Web скачать можно здесь

Как работать с Live CD Dr.Web описано здесь

Dr.Web нашел одного троянца Winlock 2739, удалил, перезагрузилась, но баннер все равно висит.

Шаг второй. Заходим в безопасном режиме. Успеваю вызвать Диспетчер задач (нажать Ctrl+Alt+Del) и вижу задачу, которая сразу появляется в окне диспетчера Swscj. Снимаю задачу.

Пытаюсь найти данный файл через Total Commander – не находит.

Шаг третий. Пуск – Выполнить - наберите команду regedit.exe. С помощью этой команды будет запущен Редактор Реестра/Системный Реестр.

В открывшемся окне Редактора Реестра необходимо найти и заменить значение Shell в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на explorer.exe

Слева в Редакторе Реестра найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;

Справа отобразятся все параметры ключа Winlogon;

Найдите параметр Shell щелкните дважды по нему левой кнопкой мыши, в открывшемся окне в строке Значение удалите все указанные там значения (если они есть) и введите значение explorer.exe.Если в параметре Shell отсутствует какое-либо значение, то необходимо ввести значение explorer.exe.

Если в параметре Shell находятся значения: Explorer.exe и user32.exe, то необходимо удалить только значение user32.exe, а значение explorer.exe оставить.

Если в параметре Shell находится много разных значений, то удалите их и введите значение explorer.exe.

Обязательно введите для параметра Shell значение explorer.exe, иначе после ввода пароля для входа в систему некоторые компоненты системы могут работать некорректно.

На зараженном компьютере вредонос прописался так: Explorer.exe%windir%rundll.bat

Шаг четвертый. После проделанных действий перезагрузите компьютер в Обычном Режиме.

После перезагрузки компьютера выполните следующие действия:

• откройте папку C:\WINDOWS\SYSTEM32\;


• найдите файл USER32.EXE;


• переименуйте файл USER32.EXE в файл USER33.EXE;


• перезагрузите компьютер;


• после перезагрузки удалите ранее переименованный файл USER33.EXE из папки C:\WINDOWS\SYSTEM32\;

нажмите кнопку Пуск:

• если вы используете ОС Windows Vista, то введите в поле поиска regedit и нажмите Enter.


• если вы используете OC Windows XP, то выберите меню Выполнить, введите в поле regedit и нажмите кнопку OK.


• раскройте ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System;


• слева удалите ключ реестра DisableTaskMgr (щелкните по нему правой кнопкой мыши и в появившемся меню выберите пункт Удалить);


• если к компьютеру подключены какие-либо сменные носители, то найдите и удалите файл MD.EXE с этих носителей.