Ваш компьютер заблокирован за просмотр, копирование и тиражирование
видеоматериалов содержащих элементы педофилии и насилия над детьми. Для
снятия блокировки Вам необходимо оплатить штраф в размере 1000 рублей на
номер телефона МТС 8-988-184-79-80
Признаки заражения
Появление на рабочем столе изображенного на скриншоте баннера является
прямым признаком присутствия в системе троянской программы типа
Trojan.Winlock.3300 ЭТОТ ВИД БАННЕРА,КОДА РАЗБЛОКИРОВКИ НЕ ИМЕЕТ!!!
(также известен как Trojan.Winlock.3278 и несколько подобных).
Кроме того, эти угрозы блокируют системный диспетчер задач, а также
исключают возможность загрузки операционной системы в безопасном режиме
(Safe mode).
Действие в системе
При заражении системы троянские программы извлекают из себя вредоносные файлы и подменяют ими системные файлы:
Оригинальные файлы в большинстве случаев удаляются из системы. Как
правило, троянские программы этого типа не предполагают разблокировки
(реакция на ввод верного кода разблокировки вообще отсутствует в коде
вредоносной программы), однако есть исключения — в этом случае
оригинальные файлы могут сохраняться в директории C:\Windows\System32 со
случайным именем, зачастую это 22CC6C32.exe.
Затем две копии троянца размещаются в папке C:\Documents and
Settings\All Users\Application Data\. Как правило, это два файла, один
из которых называется userinit.exe, а второй 22CC6C32.exe (для
Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или
lvFPZ9jtDNX.exe). Также троянец модифицирует ключ реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon, задавая в параметр Shell="C:\Documents and
Settings\All Users\Application Data\22CC6C32.exe".
Лечение
В качестве примера лечения рассмотрим сложный случай, когда оригиналы
файлов taskmgr.exe и userinit.exe удалены с компьютера. Для
восстановления работоспособности системы необходимо выполнить следующие
действия:
С помощью любого исправного ПК создайте загрузочный USB-накопитель
Dr.Web LiveUSB и скопируйте на него файлы userinit.exe и taskmgr.exe,
соответствующие вашей ОС. Скачать их можно по ссылке http://wiki.drweb.com/index.php/Системные_файлы.
Инструкция по созданию Dr.Web LiveUSB: http://support.drweb.com/show_faq?faqid=43673026&lng=ru.
Полное руководство по файловому менеджеру Midnight Commander можно прочесть здесь: https://www.midnight-commander.org/wiki/ru/doc
Загрузите зараженный ПК с Dr.Web LiveUSB.
Проверьте ПК на вирусы с помощью сканера Dr.Web.
Если сканер обнаружил вредоносные файлы, к ним необходимо применить
действие Удалить. Если это были файлы userinit.exe и taskmgr.exe, с
помощью Midnight Commander восстановите их с загрузочного
USB-накопителя. Для этого скопируйте (клавиша F5) файлы userinit.exe и
taskmgr.exe с USB-накопителя в папку /win/C/Windows/System32/.
Если вредоносные файлы не обнаружены, необходимо собрать данные о
системе и отправить их в службу технической поддержки. Для этого
нажмите на значок паука в левом нижнем углу экрана (на месте кнопки
Пуск) и в открывшемся меню выберите Сообщить об ошибке / Report Bug.
Скрипт автоматически соберет все нужные данные и сохранит их в
архив с именем вида
bugreport_e896cd7c3c073cc68d6922c9e74fc277_1315567503.tar.gz в папке
/tmp/. При наличии соединения с Интернетом есть возможность
незамедлительно отправить отчет в службу поддержки. Если письмо
отправится успешно (никаких ошибок не появится) — создайте обращение в
службу технической поддержки (https://support.drweb.com/new/free_unlocker/?lng=ru) и укажите в нем дату, время отправки письма и свой электронный адрес, после чего ожидайте ответа.
Если доступ к сети по какой-либо причине отсутствует, сохраните
файл отчета на сменный носитель, а затем прикрепите к обращению в службу
технической поддержки через специальную форму.
В случае обращения в техническую поддержку дальнейшие действия
необходимо выполнять только под руководством специалистов.
Выполните перезагрузку, загрузив ПК с жесткого диска.
После загрузки отобразится пустой рабочий стол без меню Пуск и
значков. Нажмите комбинацию клавиш Ctrl+Alt+Del, и в открывшемся окне
Диспетчера задач выберите Файл -> Новая задача.
В открывшуюся строку введите regedit и нажмите Enter.
Откройте ветвь реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Измените значение ключа Shell на explorer.exe, удалив все, что там содержалось.
Перезагрузите ПК. Если все сделано правильно — система должна загрузиться в штатном режиме без баннера.
Если лечение не помогло
Если все действия по удалению троянца выполнены верно, но после
перезагрузки снова появился баннер, необходимо обратиться в службу
технической поддержки Dr.Web — возможно, ПК заражен новой, еще не
детектируемой версией троянской программы, бороться с которой можно
только силами квалифицированных специалистов.
