Windows заблокирован! Приложением Microsoft Security Essentials

[Kostya78]

Недавно стал жертвой данного вируса, хотя по сомнительным ссылкам не лазил.
Возможно кому-либо пригодится если выскочил вирус баннер блокирующий компьютер:



Порядок действий:

1. Перезагружаем компьютер, при загрузке нажимаем клавишу F8. Далее в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки»

2. После загрузки на экране появится окно командной строки. В окне cmd.exe пишем команду explorer.exe и нажимаем клавишу Enter - появится стандартное меню «Пуск».

3. Если не включено, то включаем отображение скрытых и системных файлов.

Цитата:

Для Windows 7:

Откройте «Панель управления» -> «Оформление и персонализация» -> «Показ скрытых файлов и папок». В открывшемся окне опускаем бегунок до пункта «Скрытые файлы и папки» -> снимаем галочки «Скрывать защищенные системные файлы» -> Выставляем переключатель в позицию «Показывать скрытые файлы, папки и диски» -> Нажмимаем кнопку «Применить» -> кнопку «Ок».

Чтобы вернуть исходные параметры отображения файлов ставим галочки «Скрывать защищенные системные файлы» и выставляем переключатель в позицию «Не показывать скрытые файлы, папки и диски».

4. Далее заходим в пункт меню "Пуск" и в строке поиска вводим команду msconfig. В появившемся окне переходим на вкладку Автозагрузка и просматриваем все процессы, подгружаемые системой.

В моем случае вирус прописался по адресу C:\Users\имя пользователя\AppData\Local\Temp\abztw5K.exe



5. Смотрим где вирус прописался в реестре. В моем случае по адресу HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



6. Далее заходим редактор реестра. Для запуска редактора реестра необходимо нажать кнопку Пуск, выбрать пункт меню "Выполнить", вводим команду regedit и нажимаем кнопку "ОК"

7. Как видно из скриншота выше вирус прописался в реестре по пути: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run в параметре ключа explorer. Мы удаляем только этот ключ в правом окне, а не всю ветку Run.



8. Затем идем в ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и удаляем все ключи с именем вируса за исключением ключа Shell, открываем и изменяем его параметры на explorer.exe





9. Открываем мой компьютер и удаляем вирус abztw5K.exe по адресу C:\Users\имя пользователя\AppData\Local\Temp\, затем из корзины тоже.

Все, вирус удален, перезагружаем компьютер в обычном режиме и радуемся.

[PaulD]

не, а 2000 можно не отправлять да?

[Kostya78]

Цитата:

Сообщение от PaulD

не, а 2000 можно не отправлять да?

лучше в прокуратуру заявление написать

[Joka]

спасибо за информацию многим может быть полезна.

[djoniknk]

а у меня не загружался в безопасном режиме (f8), вирус не давал :| . у так будет, на сайтах др.веба или кашпера есть коды разблокировки. если вашего не будет ищите с помощью введения номера телефона иди счета. два дня ждал пока подберут, подобрали :-) , утилитой почистил и все.

Добавлено через 1 минуту

Цитата:

Сообщение от PaulD

не, а 2000 можно не отправлять да?

аппетиты растут, было 500, потом 1000...

[dmitriy_send]

если в безопасном не загружается, эту процедуру можно проделать с любого live cd, или с флешки загрузится.

[Spec]

Помогает так же откат по точке восстановления. Себе так уже дважды делал т.к. в безопасном режиме тоже эта лажа вылазила. А цепануть можно на ровном месте, не обязательно по сомнительным сайтам лазить

[Kostya78]

Цитата:

Сообщение от Spec

Помогает так же откат по точке восстановления. Себе так уже дважды делал т.к. в безопасном режиме тоже эта лажа вылазила. А цепануть можно на ровном месте, не обязательно по сомнительным сайтам лазить

меня откат не устраивал, нужны были кардинальные меры

[Kostya78]

все тоже самое, но вирус с названием 0.965507909631182.exe

есть подозрения что вылез после просмотра выделенного сайта:

[malenkiy]

На самом деле вирусов подобных много, решений так же, самое простое. скачать с AVP.RU "лечилку" универсальную, она и другие вири, если они в системе есть ищет и убивает.

Цитата:

Сообщение от Spec

Помогает так же откат по точке восстановления.

не всегда и до меню надо еще добраться...

[Rko]

Есть тема такая...чтобы предотвратить подобное вымагалово проще установить данную программку 2IPStartGuard. Дело в том что вирус о котором писалось ранее проникает в систему через автозагрузки (об этом автор темы писал выше) 2IPStartGuard в свою очередь при подобной попытке вируса попасть к вам будет вас об этом информировать.Вы сможете контролировать то что вы загружаете в систему,если вы в данный момент не устанавливали никакие проги ,но что то хочет установиться вам лишь надо нажать кнопку запретить и никаких проблем.Ссылка с позволения http://svoy-nemec.narod.ru/Soft/2IPStartGuard.htm

[Norb]

Цитата:

Сообщение от Kostya78

все тоже самое, но вирус с названием 0.965507909631182.exe

есть подозрения что вылез после просмотра выделенного сайта:

есть подозрение , что по порнухе российской меньше ходить нужно

[malenkiy]

Norb, лучше ходить по американской

[Colin]

полезно иметь параллельно второй жесткий диск с виндой, в случае чего можно загрузиться с него и почистить вирус

[Гитарист]

Цитата:

Сообщение от Norb

есть подозрение , что по порнухе российской меньше ходить нужно

хаживал?))

[Norb]

хаживал, а что ? ты что ли не хаживал ? Ты что , дядя , засмущать что ли меня хотел ?

[malenkiy]

Norb, он хотел совет дать, что немецкая лучше

[Kostya78]

Подозрения подтвердились, вирус вылезает через сайт:

http: \\ bmwmanual . ru

Всякий раз когда я туда захожу вылезает один и тот же вирус с различными названиями:

abztw5K.exe
0.965507909631182.exe
uA8D9eE.exe

возможны еще варианты...

[Гитарист]

Norb, мне для соцопроса

[олег@бэхаЕ36]

Цитата:

Сообщение от Colin

полезно иметь параллельно второй жесткий диск с виндой, в случае чего можно загрузиться с него и почистить вирус

полностью поддерживаю
никогда не парился по поводу вирусов
на крайняк hard reset