Home » Лечим вирусы » Ваш компьютер заблокирован за просмотр копирование и тиражирование. Как вылечить этот вирус. (Решение)

Рассмотрим как вылечить эту заразу.

Принесли мне недавно ноутбук с вот такой веселой картинкой.

Ваш компьютер заблокирован как удалить вирус

Далее рассмотрим как вылечить…

Текст на баннере примерно такой:»

«Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона MTC 89112962428 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет  напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку  «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.»

Попытка справиться обычными методами ничего не даст.  Загрузка в безопасном режиме и  заход под другим пользователем ничего не дадут, искать коды для разблокировки не советую, только потеряете время.

Раз средствами ос добраться не получилось, нам потребуется какой-либо LiveCD, умеющий работать с файлами и реестром на локальной машине. Я для этих целей использую Erd Commander (скачать можно здесь). Дальше буду писать с учетом использования Erd, использование других LiveCD принципиальных отличий не внесет.

1. Грузимся с загрузочного диска Erd Commander.

2. Заходим в «Explorer», затем c:\Documents and settings\имя вашего пользователя\Рабочий стол\ и удаляем файл «test.exe», если он есть. Если нет – идеи дальше.

3. Заходим c:\WINDOWS\system32\ находим файл «userinit.exe«  и безжалостно его удаляем, затем находим  там же файл «03014D3F.exe» и переименовываем его в «userinit.exe«.

4.  Заходим в c:\Documents and settings\Documents and settings\All Users\Application Data и удаляем там файл «22CC6C32.exe«.

Теперь вируса больше нет, осталось подчистить за ним следы в реестре.

5. Заходи в Erd в «Administrative Tools» и запускаем там редактор реестра RegEdit.

6.  Переидем в ветку  «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon», в этой ветке необходимо проверить два параметра – “Shell” и “Userinit”. В параметре «Shell» должно быть записано «Explorer.exe», а в параметре «Userinit»«C:\WINDOWS\system32\userinit.exe,» (обязательно с запятой на конце!!!).

7. В моем случае вирус видоизменил файл файл c:\WINDOWS\system32\taskmgr.exe. После пролечивания указанным методом системы, перезагрузки компьютера и запуска диспетчера задач злополучный баннер появился снова. Лечится заменой зараженного файла на аналогичный с живого компьютера. Советую сделать это сразу, лшним не будет. На всяки случай работающие файлы userinit.exe и taskmgr.exe выкладываю здесь.

8. Перезагружаемся и все должно заработать как прежде ;)

Важно: чтобы удалить вирус, нужно выполнить все пункты инструкции, невыполнение скорее всего приведет появлению баннера снова.

Вот вроде и все. Если что то не получается или есть вопросы, не стесняйтесь спрашивайте в комментариях, будем вместе разбираться.

Если вы хотите оказать финансовую благодарность вот номер яндекс-кошелька 41001727128880

189 комментариев

  1. Кристина:

    Вчера поймала такое чудо. Перепугалась очень… ибо пол года назад всю систему сносиить пришлось из-за похожего… Нажала заветные ctrl-alt-delete и перезагрузила. На удивление, после перезагрузки окошка не было. Быстренько проверила весь комп на вирусы, нашла его и удалила ^_^

    • admin:

      Вам повезло, бывает и так)))

    • Влад:

      Здравствуйте, скажите пожалуйста: Я запускаю через CD диск и через прогу ERD свой компьютер. И выдает: A problemm has been detected and windows has been shut down to prevent damage to your computer.It this is the ferst time you ve seen this stop error screen restart your computer. It this screen appears again, follow these steps:
      Check for viruses on your computer. Remove any newly installed hard drivers or hard drive controllers. Check your hard drive to make sure it is properly configured and terminated.
      Run CHKOSK /F to check for hard drive corruption, and then restart your computer.
      Скажите моему компу грубо говоря пи*дец или его еще можно вылечить?

    • Alex:

      Сделайте загрузочный диск Kaspersky Rescue Disk 10, загрузитесь, проверьте, удалите трояна и будет Вам счастье!!!!

  2. Регина:

    А мне не повезло…я только что на нетбук поймала…

  3. Игорь:

    Вот поймал, на XP медиацентр-все эти способы перепробовал кроме 7-го. Не помогло. А изменение в реестре по вашей схеме не повредит этой версии windows?

    • admin:

      Нет не повредит, эти изменения в реестре – возвращение операционной системы в рабочее состояние. Это не способы, а пункты которые надо выполнить один за другим, если пропустите хоть один – результата скорее всего не получите.

  4. Мария:

    Я девушка, и хоть и не блондинка, но в компах не шарю, однако по Ваему методу все получилось, и много времени и сил не заняло!))
    Спасибо!!!!

  5. Спасибо! Реально стоящая статья. Помогла.

  6. Сергей:

    Попытался вылечить компьютер Вашим способом, но уже при загрузке с диска возникло неприятное окно с крестиком:

    Failed to install network adapter – check WINBOM

    В итоге система просто не увидела диск С и ни одним из описанных способов чистить я не смог. Подскажите, в чем ошибка и как в итоге почистить машину?

    • admin:

      В Erd Commander есть некоторые сетевые фунции, но в данном случае они не нужны. Попробуйте на этапе поиска сетевых подключении закрыть диалоговое окно. Диск системы не увидела по другой причине. Какая у вас ОС?

      • Сергей:

        Операционная система Windows XP

        • Сергей:

          Очень хотелось бы починить комп без переустановки XP, много важной инфы( Как заставить его увидеть диск с?

          • admin:

            Поиграйтесь с режимами Ide в Биосе попробуйте выставить режим Compatible

          • Сергей:

            Пытаюсь найти на ноуте эти режимы…они могут называться по-иному? Есть SystemIDs, но это не то…

          • admin:

            Там должно быть что то про режимы контроллера диска…. а это ноут или настольный комп??? и какой диск – sata или ide???? если sata, то надо ставить режим Sata compatible

  7. Катерина:

    Скачала по приложенной ссылке программку, записала ее на диск, а теперь не могу понять как мне на зараженном компе его запустить, как зайти в комп и запустить диск? (((((

  8. admin:

    Необходимо загрузить компьютер с этого диска.
    Возможные варианты проблем:
    1)вы записали на диск сам файл образа, а не файлы внутри него. Необходимо из Nero или любой другой программы по записи дисков выбрать что то типа «Записать образ на диск».
    2)В биосе вашего компьютера стоит загруска с жесткого диска, а должна стоять загрузка с CD. Зайдите в биос (del либо F2 при загрузке) и посмотрите там закладку Boot. В ней в качестве первого загружаемого диска надо выбрать CD

  9. Катерина:

    Боже, огромное спасибо!!!!!! Я уже с компом хотела прощаться ((( СПАСИБО :) ))))

  10. Алина:

    Доброго времени суток )))
    Сделала все по вашей инструкции. Баннер пропал, но на рабочем столе не появилось ни одного ярлычка и нет панели.
    как это можно исправить?

    • admin:

      Все на самом деле на месте. Проверить можно так – запустить диспетчер задач (ctrl+shift+esc) в нем нажать «файл – новая задача» и в появившуюся строку вписать «explorer» и нажать ОК. У вас что то не то с переменной shell перепроверьте внимательно пункт 6

  11. Ирина:

    Добрый день! Все сделала до пункта 5, зашла в ERD но не нашла файла (или папки?)administrative tools. Что делать?

  12. Сергей:

    Насчет неправильной работы и операционной системы ответил в ветви дискуссии выше. Помогите, пожалуйста!

    • admin:

      Да про ОС видел. Попробуйте скача Hiren’s /admin-medicine/hirens-bootcd/
      По списку пунктов он может все до 4го… после 4го у вас будет грузиться пустой рабочий стол – там зайдете ctrl+shift+esc загрузится диспетчер задач в нем наберете regedit и почистите реестр

  13. Ирина:

    Большое спасибо, все получилось. Единственная проблема – при загрузке Windows – пустой рабочий стол. Каждый раз что ли включать диспетчер задач? Переменную shell проверяла…

    • admin:

      Нет, это была временная мера. Вот здесь в реестре HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon прописывается что у вас будет загружатсья при старте операционной системы. У вас там сейчас ссылка на несуществующий файл вируса, а должна быть ссылка на эксплорер. Поэтому вы и видите пустой рабочий стол. Зайдите Пуск-выполнить- напишите regedit – ок – найдите эту ветку реестра и поправьте. Если что то не получится я могу помочь удаленно.

  14. Ирина:

    Именно так и делала, но все равно при загрузке пустой рабочий стол. Может быть, explorer.exe нужно скачать и заменить вручную?

  15. Ирина:

    А еще вчера скачала по Вашей ссылке работающие файлы userinit.exe и taskmgr.exe, а сегодня dr.Web уверяет, что это трояны. Удалять?

    • admin:

      Как правило переименование 03014D3F.exe восстанавливает userinit.exe. Ну а такскменеджер у вас полюбому живой. Доктор веб ругается что вы скачиваете екзешники из сети, которые подозрительно напиоминают системные файлы. В этих файлах вирусов нет – гарантирую! По вашей проблеме – надо поковыряться в реестре. Пришлите мне на почту [email protected] номер вашей аськи или скайпа попробую помочь по удаленке.

  16. Ирина:

    почему-то письмо не отправилось, вроде адрес точно скопировала?

  17. Eire:

    Добрый вечер!
    Пыталась воспользоваться вашим советом: скачала образ, записала на диск;
    загрузка с СD начинается пишет кучу всего, затем «mouse driver installed successfully» и «A:\>» и останавливается.
    тоесть он дискетку требует? или я что-то не так записала?

  18. admin:

    Вы сделали «записать образ на диск» из неро??? или просто файл образа на диск записали??? Я такое первый раз вижу. Может он у вас с дисковода грузится?

  19. Кристина:

    как запустить загрузочную флешку? пишет при загрузке «remove disks or other media. press any key to restart»

  20. Люба:

    Здравствуйте!
    Огроменное Вам спасибо за инструкцию!!! Вы меня просто спасли!!! – срочно сдавать статью через несколько дней на 50 стр, а тут вирус-баннер приключился.
    От себя на всякий случай хочу добавить, что вместо Erd Comm делала через Kaspersky WindowsUnlocker (было легче записать на флешку, у меня нетбук).
    И вопрос: а как узнать, что поврежден именно taskmgr.exe , а не другой файл? Это выдала проверка на вирусы? На всякий случай я его поменяла на выложенный Вами.

    • admin:

      Ну тут все просто – если при запуске диспетчера задач снова появился баннер или не появился сам таскменеджер или произошло что то странное – файл однозначно битый))))

  21. фишка с заменой таскменеджера и юзеринит помогло)))
    откат через ерд, к мою удивлению, не помог

  22. Маша:

    Не заходит в реестр, пишет: «regedit.exe and regedt32.exe have been configured to not run under MCDaRt/ Please use ErdRegedit.exe instead»

  23. Маша:

    все разобралась)

  24. iliya:

    Классно все описано ! Но Вопрос , я запускаю LIVE CD и выбираю Windows XP Mini , иду в Регистер regedit, чтоб поправить Shell , но он показывает параметры регистра этого мини ХР , а не зараженной 7. Как мне добраться до регистра 7 ?
    Такого файла у меня не было 03014D3F.exe, я с оригинала залил userinit.exe и taskmgr.exe
    Папка пустая c:\Users\Documents and settings\All Users\Application Data и удаляем там файл «22CC6C32.exe«.
    Все равно даже с заменой зараза не пропала .

  25. admin:

    До реестра локальной машины позволяет добрать ERD а не XPliveCD

  26. hars:

    Если комп перезагрузить, то BIOS полетит???

    • admin:

      )))))))) Нет … не верьте всему что написано в баннере. БИОС поломать впринипе сложно. Перезагружайте не бойтесь!

  27. Айрат:

    спасибо помогло)тока я 7 пункт не сделал,в остальном все работает,а в биосе надо все вернуть на место?

    • admin:

      Ну да неплохо бы вернуть, чтоб он у вас постоянно не запускался с диска. ПС если меняли режим работы IDE и сейчас вернете обратно, после чего комп перестанет грузиться….значит надо вернуть обратно!

  28. gvan:

    Сделал все как описано. Только файла c:\WINDOWS\system323014D3F.exe не нашел, а userinit.exe был датирован 2008 года…
    Но это не важно, важно то, что после перезагрузки банер изчез, а система стала вести себя следующим образом: загружается, выбор пользователя, выбираю, «Загрузка личных параметров…», мельком проскакивает рабочий стол и «Сохранение параметров…» и «Закрытие сетевых подключений». Т.е. система не успев зайти в пользователя, сразу же из него выходит и появляется опять выбор пользователя… :(
    Что делать?

  29. admin:

    Проблема точно в Юзерините!!!… ищите 03014D3F.exe или что то в этом духе, попробуйте подложить работоспособный файл. Возможно файл называется не 03014D3F.exe а как то еще. Зайдите erd командером и сделайте поиск файлов *.exe (тоесть всех экзешников) на дату когда вы подцепили вирус…. и ищите файлы с подозрительным названием. Ваш такущий юзеринит переименуйте пока и поэкспериментируйте!!

  30. Екатерина:

    Спасибо огромное!!!!!

  31. Алексей:

    Для тех у кого баннер (синего цвета) компьютер заблокирован за тиражирование и …пополнить счет МТС на 500 рублей 89119760293 и 89111349817 (номера меняются)
    Диспетчер задач откл.
    В безопасном режиме та же история
    Кода на данный баннер нет!
    Что нужно сделать:
    Загрузив компьютер, нажимаем CTRL +ALT+DEL появляется окно Безопасность Windows
    В нем жмем на СМЕНА ПАРОЛЯ, посредствам мыши передвигаем данное окно в любую сторону (главное чтобы оно не было по середине) и жмем отмена
    Затем жмем ДИСПЕТЧЕР ЗАДАЧ и он должен появиться (возможно не с первого раза, мне потребовалось 3 попытки)
    Далее заходим во вкладку ПРОЦЕССЫ и ищем в первом столбце строку USERINIT.exe найдя его, жмем по нему правой кнопкой мыши и выбираем ЗАВЕРШИТЬ ПРОЦЕСС (данное действие убирает баннер с рабочего стола, но это еще не все!!!)
    Восстановление нормального рабочего стола: вызвав диспетчер задач, во вкладке ПРИЛОЖЕНИЯ жмем кнопку НОВАЯ ЗАДАЧА в появившемся окне набираем regedit и жмем ОК появится окно реестра (все манипуляции в нем только по инструкции) заходим в
    \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\CurrentVersion\Winlogon (это путь к нужной нам ветке реестра, найти его разворачивая дерево в левой части окна ). Когда вы все нашли переходите в правую часть окна и ищете SHELL и USERINIT.
    Щелкнув по ним правой мышкой и выбрав изменить должны увидеть надпись в поле ЗНАЧЕНИЕ для SHELL это EXPLORER.exe а для USERINIT C:\WINDOWS\system32\userinit.exe, (запятая обязательна).
    Если значения другие то вписываем выше упомянутые. Затем в ДИСПЕТЧЕРЕ ЗАДАЧ снова жмем НОВАЯ ЗАДАЧА и вписываем EXPLORER и жмем ОК (все выш рабочий стол должен восстановиться). Но вирус еще не удален!
    Для его удаления нужно просканировать все антивирусом (желательно с обновленными базами) ежели он ничего не нашел качайте др. антивирус(у меня Касперский 6.0 все замечательно вычистил ).
    Мой баннер заразил файл USERINIT, поменял значение в реестре SHELL и 2 тела вируса обнаружились в C:\Documents and Settings\All Users\Application Data
    и в C:\System Volume Information\_restore{4094E287-1550-4D80-9747-4516D12FBA9F}\RP595.

    • admin:

      Спасибо, весьма полезная инфа

    • Stanislaff:

      Извините, но то, что вы писали (Загрузив компьютер, нажимаем CTRL +ALT+DEL появляется окно Безопасность Windows
      В нем жмем на СМЕНА ПАРОЛЯ, посредствам мыши передвигаем данное окно в любую сторону (главное чтобы оно не было по середине) и жмем отмена) совершенно ничего не меняет. Компьютер показывает что пытается загрузить что то, но никаких действий, кроме появления часиков у стрелки, не возникает…
      Можете объяснить данное действие?

      • admin:

        Попробуйте пару раз повторить это действие. Алексей писал, что у него вышло только с третьего раза. Если не выходит – скачайте ERD и действуйте аналогично инструкции в этом посте. Ищите вирусы, смотрите юзеринит и реестр. Надеюсь у вас получится. Если что пишите в почту [email protected] будем разбираться вместе.

  32. Влада:

    Я на ноутбук поймала…проблема в том,что он без дисковода,как быть?

    • admin:

      Для таких случаев у меня всегда с собой есть usb cd-rom. У вас я думаю его нет. Можно сделать загрузочную USB флешку. У меня на этот случай статьи пока нет. Поищите в интернете. Там ничего сложного.

  33. Влада:

    помогите пожалуйста

  34. Жора:

    Приветствую!
    Сразу прошу сильно не пинать за компьютерную неграмотность, ибо я среднестатистический представитель чайников.
    Подцепил трояна из той серии, что описал Алексей: синий баннер, в котором говорится, что я конченый извращенец и что гореть мне в аду, но есть возможность получить индульгенцию, положив 500р. на номер +79879234924.
    Загрузить систему в безопасном режиме не удалось: при нажатии F8 появлялось синее окно, где спрашивалось с какого диска загружаться. После нажатия ввода или отмены шла стандартная процедура загрузки системы, которая заканчивалась все тем же баннером.
    Погуглив маленько, на сайте доктора веба скачал универсальную лечилку, и там же нашел список кодов для ввода в баннере. Подошел код 99885522. После ввода баннер пропал. Рабочий стол пустой, а на нем окно проводника. Пользуясь моментом, запустил эту универсальную лечилку; она нашла и удалила три зараженных файла, любезно предложила перезагрузиться, что я и сделал. Но после перезагрузки опять выскочила эта хрень.
    Командную строку я вызвать не могу т.к. панели «Пуск» нет. При попытке вызвать диспетчер задач, выскакивает табличка: «диспетчер задач отключен администратором».
    Скачал здесь userinit.exe и taskmgr.exe и скопировал их в sustem32, заменив старые, но и это не дало никакого результата. Кстати, файла 03014D3F.exe в этой папке у меня нет.
    Так же скачал Erd Commander, и всё распакованное записал через неро на диск. Перегрузился; нажав F8 указал на CD-рум, но после загрузки опять высветился баннер.
    Люди добрые, научите бездаря, как эту заразу побороть.

    • admin:

      Надо долечить реестр и разблокировать диспетчер задач. Для этого надо правильно записать ERD. Из неро надо сделать «запись образа на диск» – так и никак иначе!!!

  35. Жора:

    Не сочтите за труд,- объясните, как с помощью неро сделать запись образа.

    • admin:

      Побродите там по меню. Нужно найти пункт «Записать образ на диск» У меня он во вкладке с копированием дисков. Выбираете скачанный архив (в формате iso) и пишете….

  36. Жора:

    Благодарю за подробные и терпеливые разъяснения. С записью образа разобрался,-все работает и комп грузится с диска. Но вот с дальнейшими действиями опять не все гладко. После загрузки на рабочем столе два значка: «мой компьтер» и еще какой-то, но они не открываются, и зайти на диск С я не могу. Вопрос: нужно ли мне выполнять пункты 1-4 Вашей инструкции, если докторвебовская лечилка уже изничтожила трояна, и после этого я переписывал файлы userinit.exe и taskmgr.exe в папке sustem32?

    С чисткой следов в реестре тоже не все гладко. Пройдя по пути, указанному в пункте 6, отыскал указанные параметры. В параметре userinit все так, как Вы писали с точностью до запятой, а вот в параметре Shell длинная строка, конец которой я даже прочитать не могу (экрана не хватает), и она никак не редактируется.
    Ваш диагноз, Профессор?!
    Pы.Sы. Диагноз не мне, а компу (то, что я-тупак, я и сам знаю).

  37. admin:

    Недопонял – диск ERD грузится, но не работает???? А какая операционная система? И что с ней баннер исчез?? что-нибудь открывается?

    В Shell должно быть написано Explorer.exe и этого надо добиться любыми путями иначе компьютер не сможет нормально работать.

  38. Жора:

    Диск грузится. Значки на рабочем столе не работают, но зато работает панель пуска в нижнем левом углу, поэтому я могу добраться до параметра Shell, но не могу там ничего отредактировать. Вот такая засада.
    Операционка-XP. Баннер не исчез, но я нарыл на докторвебовском сайте список кодов, и один подошел. После ввода банер исчезает, и появляется окно проводника. Через него я могу запускать все программы и функции, значки которых были на рабочем столе, и все работает нормально. Но панель пуска и диспетчер задач по прежнему недоступны, а это, как Вы сами понимаете, сильно осложняет процесс пользования компом.

  39. Жора:

    Админчик! Яхонтовый мой! Все получилось. Оказывается все там редактируется, только не на прямую, как я, пустоголовый, хотел, а надо сначала кликнуть правой кнопкой.
    Спасибо тебе огроменное. Если бы не твои доходчивые разъяснения, пришлось бы систему сносить.
    Автор вируса 500 гульденов просил: так вот хер ему. Я лучше отдам тому, кто не пожалел своего времени на доброе дело. Напиши номер почты

  40. admin:

    ))))) жжете!!! То есть сейчас весь функционал восстановился? Проверьте чтоб работал диспетчер задач, панель управления и возможность отображения скрытых папок.

    Пс никаких вознаграждений не надо. Вот на всякий случай почта [email protected]. А вы не настолько безнадежны в компьютерах как сами об этом думаете!!

  41. Жора:

    А-а-а-а-а. Все пропало, шеф,-диспетчер задач не работает (по прежнему пишет, что отключен администратором). А я уже возомнил, что во мне проснулись доселе неизвестные хакерские способности. За скрытые файлы ничего сказать не могу, ибо я и открытые-то нахожу с трудом. А в остальном все работает как и прежде.
    Че делать?

  42. Helg:

    Тело зверя лежит, помимо указанных мест, в папке \system32\dllcache\ в виде измененных taskmgr.exe и userinit.exe

  43. valvid:

    Привет Админ. Через ULTRAISO создал образ загрузочного диска(флешка) программы. В boot menu система нашла флешку.Запускаю загрузку через флешку-вылазит опять баннер.

    Что может быть ?

  44. виктор:

    помогите , словил вирус но с помощью форума нашел код и баннер удалился но сейчас пустой рабочий стол иничего сделать не возможно как буть пуска нет

    • admin:

      проблема скорее всего в реестре в параметре shell чтобы это проверить попробуйте сделать так – ctrl+shift+esc, откроется диспетчер задач там нажимаете файл-новая задача и пишете explorer. Если после этого появится рабочий стол со всеми ярлыками, проблема точно в реестре, заходите в regedit и правьте параметр shell

  45. HolyDark:

    Сам занимаюсь лечением, провал стары методы не помогло… Сегодня по вашей схеме «поднял» 6 системников, только есть одно но: один оказался старенький и erd commander не увидел систему, соответственно реестр править не дал.. Загрузил со старого зверька liveCD и просто просмотром указанных веток реестра, нашел файл этой хрени… удалил вручную и система стартонула, дальше дело техники…
    ОГРОМНОЕ спасибо!!!

  46. vitalik:

    помогите. сижу с тел. баннер удалил через касперского лайф сд но не могу добраться до реестра комп загружается и выходит в пользователя. скачал вашу прогу но не догоняю как ее на флешку записать.

  47. natali:

    спасибо за инструкцию, очень помогла! все получилось :)

  48. alex:

    Добрый день. Третий раз ловлю баннер. Скажите, почему антивирус (NOD32, DrWeb) не блокируют эту заразу, если о ней всё известно? Спасибо!

    • admin:

      ее достаточно сложно поймать. Получается что вы со своими админскими правами запускаете экзешник, равносильно запуску обычно программы. Антивирусу в данном случае тяжело этому что то противопоставить. Рецепт один – аккуратнее кликайте по подозрительным ссылкам!

  49. самакат:

    добрый вечер. поймал такой баннер на нетбук, пробывал выполнить выше указанные действия, но не помогло. при нажатии CTRL+ALT+DEL баннер в лихорадке начинает биться ))) моргать с синего на белый цвет и в итоге становится и ни каких продолжений. подскажите , что делать ?

    • admin:

      Сражаться с этим окошком из под Windows практически бесполезно. Найдите способ залезть внутрь каким нибудь софтом. Той же ЕРД, только в вашем случае нужно сделать загрузочную флешку (если сидирома нет).

  50. андрей:

    спс тебе огромное!!! из всех наверное способов 20-ти помог только твой!!! респект и уважуха тебе!!! c:\WINDOWS\system32\taskmgr.exe. этот файл обязательно надо поменять!!!

  51. none:

    У меня проблемка, привод на ноуте не рубит, а в биосе нет пункта для загрузки с флэшки…

  52. lain:

    После поэтапного проделывания банер исчез но с ним и исчезло меню пуск и все на рабочем столе

  53. Мага:

    Важно: чтобы удалить вирус, нужно выполнить все пункты инструкции, невыполнение скорее всего привдет появлению баннера снова.

    Эй Админ ошибка в тексте привдет!!!

  54. Ангелина:

    Спасибо) всё получилось и сразу!
    ЗЫ: в «Shell» – «C:\WINDOWS\explorer.exe»

  55. big-fut:

    Помогите пожалуйста удалить экранный баннер вымогатель, который просит пополнить счет в терминале, абонент webmoney номер:R115421261263. Все выше указанные способы не помогли. ПОЖАЛУЙСТА!

    • admin:

      Эммм вполне возможно что то не так сделали. Опишите какие действия выполняли и что при этом происходило. Нужно больше информации.

  56. Павел:

    Тоже словил такой банер, способы выше не помогаю, ниже всё по порядку.
    Ос Win XP 3sp
    Сделал LiveCD загрузился, Не каких выше указанных файлов ( 22CC6C32.exe, test.exe) и им подобных я не нашёл (хорошо смотрел), в реестре всё как надо т.е изначально всё так как вы предлагаете поправить, дальше заменил userinit.exe и taskmgr.exe на новые с другой системы, так же заменил их резервные копии в другой папке, файла 03014D3F.exe у меня НЕТ (и нет даже не чё на него похожего т.е ехе с цифрами) Ну собственно проделав все эти операции я на том же месте с которого начал, банер не куда не делся. Ещё интересный факт почему то нельзя запустить сканер(от Dr.Web) сразу вылетает синий экран ошибка stop 0.000024 , как проверить комп на вирусы с лайвСД подскажите, вручную я эти файлы не найду не как.

  57. Артём:

    Блин подскажите пожалуйста ничего не получается
    этот вирус абсолютно всё блокирует
    новый виндовс на флешке вставляю на автозапуске – он блокирует точнее вообще 0 внимания
    тоже самое и на эту программу
    то есть не реестр не биос я не могу открыть
    включаю ноут дальше лого Асус и потом сразу окно с вымогателем
    что делать ??

  58. Артем:

    у меня тоже нет файлов 22CC6C32.exe и 03014D3F.exe
    тогда как быть

  59. Настя:

    Добрый вечер!
    Подскажите, пожалуйста, в моей борьбе с этой напастью я смогла найти на докторевебе код разблокировки, вхожу в систему – пользуюсь компьютером прекрасно и полноценно (пишу с него), но при каждом входе/перезагрузке банер всё равно появляется.. (( Файл 22CC6C32.exe удалила, test.exe – не было, в реестрах Shell и Userinit всё написано корректно, на всякий случай удалила имеющийся Sell и создала заново с аналогичными параметрами, скачала Ваши файлы taskmgr+userinit, но проблема в том, что не могу их заменить в папке System32 – пишет, что «Нет доступа к целевой папке» «Вам необходимо разрешение на выполнение этой операции».. Почему он выдаёт такое? Я единственный пользователь этого компьютера.. Помогите, пожалуйста! как это сделать?

    • admin:

      По поводу замены файлов – попробуйте их подложить загрузившись с Hiren’s boot cd. Посмотрите список автозагрузки (зайдите пуск-выполнить-напишите msconfig и нажмите ok) Поищите там подозрительные объекты, впринципе можете все поотключать.

  60. Лерка:

    Доброго времени суток!!! буквально на дня подхватила вирус, но он того же содержания только окошко сине-белого цвета и оно не позволяет водить мышкой за пределы этого окна!!! диспетчер задач ни при каких попытках высвечиваться не хочет! безопасные режимы не помогают. купила сд диски и создала на них образы, как вы и говорили, но при загрузки через три секунды высвечивается синий экран с «A problem has been detected and windows has been shut down to prevent damage to your computer»… у меня виндуос 7… что в такой ситуации делать…??? зарание спасибо

    • admin:

      В этой ситуации из под самой операционной системы ничего не сделать и не пытайтесь.
      Сообщение «A problem has been detected and windows has been shut down to prevent damage to your computer» говорит о том что вы все равно загружаетесь не с диска а с операционной системы. Возможно моя версия Hiren’s live cd не подойдет для Windows 7 постараюсь скоро выложить новую. Попробуйте загрузиться с диска Hiren’s live cd и там выбрать mini xp и из под этой оболочки почстить файлы по моей инструкции.

  61. Евгений:

    Недавно сам попался на эту хрень… Хорошо програмист штатный был, помог. Мучился правда долго, даже домой вовремя не пошел, победить хотел.
    Выход нашел следующий: с сайта DR.WEB, скачал антивирусник предназначен специально для таких троянов, загрузил на CD, вставил в зараженый компьютер, антивирус все проверил и удалил ненужный файл (правда проверял около двух часов). После перезагрузки все работает как часы!!!

  62. Степок:

    поймал такую же фигню.Объясните пожалуйста чайнику:
    1)Как можно скачать Erd Commander если комп не фунциклирует?
    2)Всё хорошо,кривым х… скачали,дальше вставляем в дисковод пострадавшего и видим…?Что мы там видим?
    3)И вообще что должно быть на экране,куда мыша наводить и прочее?Или это нужно делать с какого то другого компа?
    Убедительная просьба разъяснить по подробнее!

    • admin:

      Зачастую в лечении компьютера не обойтись без другого рабочего. Ищите где хотите: на работе или у друзей. Чтобы что то было на экране нужно в биосе включить загрузку с CD диска. Как это сделать написано в инструкции к материнской плате.

  63. Степок:

    Уважаемый алмин,у меня них…фига не выходит!Что делать?

  64. tolyan:

    Хотел передать этим уродам спасибо…..Давно хотел поменять win-ду. Зашел с другой оболочки, пересохранил нужные файлы. 40 минут делов.Стоял zver. Поставил chip xp. классная сборка. Много нужных программ.Я доволен.Вся эта возня с sys32 и реестром дольше будет……..И вообще советую раз в полгода обнуляться

  65. tolyan:

    Хотя инфа конечно полезная…. мало-ли что

  66. den:

    А я все сделал, но у меня не хочет в систему входить. Тоесть я запускаю win, выбираю пользователя Admin или User и идет загрузка параметров и сразу же завершение сеанса, где я мог накосячить?

  67. Катерина:

    Подскажите пожалуйста для версии windov 7.7 максимальная, пожалуйста!!!

  68. shake_one:

    5 шаг самый частый с ним люой банер удалить можно,а так можно искать по коду смс на комер в сайтах антивирусных компаний)

    Не помню как прога называется для востановления системы,и разблокировки диспетчера задач.

  69. Damirka:

    А как установить прогу если комп то заблокировался полностью?

  70. Damirka:

    или можно установить на мой второй комп этот доктор вэб и потом вставить в него тот зараженный жесткий диск. Или как?

  71. Damirka:

    и что такое биос!

  72. Alex:

    Загрузился с загрузочного диска в безопасном режиме, изменив в биосе загружаться первоначально с CD, вошёл в своего юзера и в реестре в автозагрузке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run убил два экзешника 124kkk29347.exe

  73. Dima:

    А что если при загрузке Erd Commander вылетает синий экран с белым текстом (пробовал загрузиться и с других загрузочных дисков – такая же картина)? Заранее спасибо!

  74. Lex309:

    Здравствуйте!
    Win7. Была похожая проблема. Не было под рукой ни флешки, ни диска. Нашел решение:
    1) Запустил комп в безопасном режиме с поддержкой командной строки.
    2) Запустил реестр (в командной строке – regedit)
    3) В реестре через кнопку «импорт» зашел на диск С: и запустил Тотал командер
    4) В тотале зашел в автозагрузку, там нашел файл xxx-porno.exe по пути C:\Users\Admin\Appdata\local\opera\opera\temporary_downloads\xxx_porno.exe
    5)Убил файл – система запустилась, проверил на вирусы – чисто

    Как-то так…

  75. Леня:

    Большое спасибо, admin. Сделал как написано и все нормализовалось)

  76. Ильназ:

    здрав! Я не могу понять как вапще это находить? HKEY_LOCAL_MACHINE это я нашел, как дальше другое находить? Как найти шелл? Помогите!

  77. Дима:

    после того, как выскочил этот баннер, я незнал, что делать, и просто перезагрузил компьютер, но больше этого баннера я не видел, как впрочем и всего что было на компьютере…подскажите, что делать пожалуйста.. оч надо.. на компе важная информация.. буду очень благодарен..

  78. апро:

    здравствуйте,после удаления userinit.exe ,входит в систему и сразу перезагружается

  79. таня:

    спасибо вам большое) знала, что нужно над реестром поколдовать, а вот что именно делать – нет) сайт реально помог!

  80. Алина:

    ребята, помогите,пожалуйста!!!
    выполняла по вашей инструкции все, но поторопилась на этом этапе:

    3. Заходим c:\WINDOWS\system32\ находим файл «userinit.exe« и безжалостно его удаляем, затем находим там же файл «03014D3F.exe» и переименовываем его в «userinit.exe«.

    «userinit.exe« я,как вы и сказали, удалила, не проверив в начале наличие файла «03014D3F.exe» или каких-либо других подозрительных в этой папке. в итоге: файл я удалила, а вот тот, который необходимо переименовать, там не оказалось. подозрительных файлов нет (по дате не совпадают совершенно). поиск по разрешению *.exe тоже не дал результатов.
    как быть?! что теперь, если я удалила userinit.exe?
    как его восстановить или что делать в данной ситуации?

  81. Irina Mcnulty:

    что делать если появился такой баннер,но нет возможности удалить его с помощью программы с диска?(дисковод не работает.так же не читается флешка при включении

    • admin:

      без вспомогательных устройств будет сложно…. откручивайте жесткий диск и подключайте его к другому компьютеру

  82. Михайлович:

    Вчера и я поцепил эту хрень.
    Перезагрузка ничего не дала. В безопасном режиме тоже. В общем, приехали… Побежал ко второму компьютеру изучать в интернете проблему. Методы борьбы самые разные, но к моему случаю их трудно применить. К тому же при необходимости лезть в реестр и что-то там делать я как последний чайник впадаю в ступор.
    Как я решил проблему. Сначала, начитавшись советов, скачал на втором компе бесплатный антивирусник CureIT (dr.Web). Он хорош тем, что не требует установки.
    Запускаю комп., сразу после исчезновения заставки материнской платы часто нажимаю на F8, выбираю загрузку в безопасном режиме с командной строкой. Появляется командная строка в собственном окне. Это окно я свертываю (квадратиком), но не закрываю (крестиком). Далее клавишами Ctrl+Alt+Del запускаю диспетчер задач. Вкладка «приложения». Внизу выбираю «новая задача». Открывается строка ввода, куда следует ввести еxplorer.exe и в итоге появляется рабочий стол, как в обычном безопасном режиме.
    Копирую с флешки CureIT на рабочий стол, запускаю его, провожу быструю проверку, которая нашла один вирус с замысловатым цифровым названием и попросила восстановить еще какой-то файлик, который вирусы могли изменить. Я послушался.
    Перезагружаюсь и… ничего не получилось!
    Снова в безопасный режим с командной строкой. Действуя аналогично, запускаю вначале быструю, а следом полную проверку. Прождав 4 часа, убедился, что проблема осталась. Но по крайней мере, все вирусы были убиты, и если табличку как-то удастся убрать, они не смогут ее тут же восстановить! Кроме того, процедура была полезной: антивирусник нашел еще кучу каких-то Троянов на других дисках, куда обычно лень лезть с проверками.
    Второй этап отложил на следующий день. Вышел протоптанной дорожкой на рабочий стол, и только тут обратил внимание на постоянно мешавшее работе информационное окно, которое объясняло, что такое «безопасный режим» и связанные с этим вопросы. Там я увидел раздельчик «восстановление системы», где под рисунком какого-то широкого окна увидел приглашение войти в программу восстановления. Вошел. Там было сообщение, что система автоматически создала точку восстановления всего за несколько дней до инцидента. Эта дата меня вполне устроила, поскольку после нее я ничего серьезного, что было бы жаль потерять, на компьютер не устанавливал. Нажал как обычно несколько раз кнопки «next». Мне было предложено создать какую-то резервную дискетку паролей системы, но у меня нет дисковода на компьютере, поэтому я проигнорировал этот пункт. Последнее нажатие, кажется на «Finish», затем система перезагружается и происходит чудо – все ОК! Все потери ограничились исчезнувшим с рабочего стола CureIT, что вполне понятно и приемлемо.

    • admin:

      восстановление системы полезная вещь, но как правило опция включена на процентах 40 всех компьютеров

  83. Alex:

    словил в Беларуссии, соответственно угрожает УК РБ, все пункты выполнил – баннер без изменений, записи реестра востанавливаются сами на какой-то сmd.exe, видимо новая версия… что посоветуете? Windows XP

    • admin:

      рыть реестр дальше и посмотреть поиском какие файлы создавались на компьютере за последнее время

  84. Alex:

    я даже поудалял все записи в реестре насчет этого cmd (по поиску) – ничего

  85. Михайлович:

    2 июня из любопытства решил снова посетить сайт (название упоминать не буду…), который в прошлый раз заблокировал мой компьютер. Хотелось посмотреть на врага в лицо. Думал только зайти и осмотреться, ничего не нажимая. Не тут-то было! Достаточно было самого факта захода, и мой комп. снова заблокирован! Вот это адреналин! О чем я думал? А куда смотрел Касперский?
    Пришлось снова, как описано выше, зайти в безопасный режим с командной строкой. Опять скачал на рабочий стол CureIT (хотя, думаю, можно было обойтись уже установленным Касперским). Произвел быструю проверку, которая обнаружила вирус: C:\Users\Mikhalych\AppData\Local\Temp.7353320410393417.exe -инфицирован Trojan.PWS.SpySweep.143
    Лечить!
    Также антивирусник попросил разрешения восстановить файл HOSTS в стандартное состояние. Я согласился.
    Полную проверку делать не стал и, не перезагружаясь, зашел в постоянно маячившее информационное окно «безопасный режим» в раздел «восстановление системы». Проигнорировал предложение создать какую-то резервную дискетку и восстановил систему по последней точке восстановления. Помогло и отлегло!
    Сразу, чтобы не дать вирусам опомниться, произвел полную проверку Касперским (около 90 минут). Пытаясь реабилитироваться, он прямо лез из кожи и нашел на диске С еще 5 троянов, которые скорее всего пришли вместе с блокиратором, поскольку три дня назад, как помним, я уже чистил компьютер (CureIT, 4 часа в безопасном режиме с командной строкой).
    PS. У меня стоит Windows 7. Не уверен, но думаю, что и с ХР можно по такой же схеме. Кстати, почему этих мошенников не хотят ловить? Думаю, что МТС и отдел К в состоянии отследить направление перевода денег. Скажете, нет подходящего закона? – Зато есть бутылка из под шампанского!..

  86. Максим:

    Я решил проблему по другому. Ввел код 2348 два раза(было 2 банера сразу), банер исчез, далее диспетчер задач и восстановление системы через your installer.

  87. Дмитрий:

    Здравствуйте. поймал этот вирус,пробовал запустить ерд командер – не получилось… сейчас вообще только пустой рабочий стол,даже этого банера нет. есть доступ к диспетчеру задач. как я понял комп не очень то и хочет загружать диски ( пробовал запустить лив сд ) .возможно что либо сделать ? посоветуйте пожалуйста. заранее спасибо.

    • admin:

      ctrl+shift+esc вылезет диспетчер задач, в нем набираете explorer.exe появится рабочий стол, затем нужно в реестре поправить (я уже много раз писал где)

  88. Вадим:

    Добрый день! А если рядом диска на который записать все это можно.Можно ли через флешку??

  89. Сергей:

    Добрый день, при загрузки ЛайфСД появляется синий экран с надпьсью …windows has been shut down to prevent damage to your comp
    потом что то про 2 раз вы видете, проерьте свой комп на вирусы, запустите CHKDSK/F…

    что делать?

  90. Сергей:

    Стартинг ERD Командер полоса загрузки то идёт, на секунду появляется окно загрузки виндовс и всё – синий экран.
    и в биосе отключил жесткий – появился знак восклицания перед названием

  91. Сергей:

    если не затруднит, посдскажиьте, что делаю не так?!
    комп не мой, у девушки младший брат решил полазить в просторах интернета.

  92. Сергей:

    спасибо. видно затруднило

  93. Валерий:

    У меня 2 пункт заглох на файле 03014D3F.exe, как с этим быть?)))

  94. Валерий:

    этого файла просто нет))

  95. Валерий:

    taskmgr.exe.не удаляется и заменить не могу

  96. Валерий:

    ctrl+shift+esc никакой реакции, пустой рабочий стол(

  97. Алексей:

    Извините, пред история следующая: поймал банер, кодом 2348 убрал его с экрана, открыл диспетчер задач, а дальше не могу переключить язык с кириллицы на латиницы для ввода команд. Обычно переключался cntr+shift.

  98. Кеша:

    У меня вот такой случай: при запуске windows появляется синее окно, курсор мыши за пределы этого окна не двигается. Explorer блокируется сразу. Ctrl+Alt+Del не помогает. Пробовал с безопасного режима загрузиться – не получается( сразу перезагрузка компа происходит). Пробовал с загрузочного диска – тоже перезагрузка. Консоль восстановления тоже не помогает.

  99. Айрат:

    Доброго времени суток
    Поделюсь своим опытом борьбы с данной напастью)
    Сегодня столкнулся с вирусом второй раз.Первый раз удалял его с компьютера родителей с помощью рекомендаций данной статьи.Но как мне кажется допустил несколько ошибок,удалил «здоровые» файлы наряду с вредноносными.Вирус этот имеет разновидности и создает файлы, названия которых могут отличаться от приведенных здесь.Запускаем Эрд Коммандер
    Итак, первый раз прежде чем что-то удалять, я насколько помню, зашел в реестр и просмотрел параметры Shell & Userinit. В одном из них был указан путь на файл вируса, который я без труда по нему нашел и удалил,находился в с\users\пользователь (в папке с ним находился еще один подозрительный свежий файл-экзешник, который трогать не стал, но позже после успешного удаления баннера антивирус во время прверки указал на его вредноносность и удалил, так что можно было удалить его сразу) а также поменял параметры реестра на те что приводятся в статье. Также по рекомендации был удален Юзеринит.ехе (ЗРЯ!!) ибо, как оказалось, вирус его не затронул, а файла 03014D3F.exe,которым нужно было юзеринит заменить, у меня не оказалось. В итоге после перезагрузки баннер исчез,но не грузился раб. стол в сязи с отсутствующим юзеринитом.Это легко устранилось возвращением userinit.exe на место. Вирус этот все же проник глубоко в систему и привел к некорректной работе браузеров.Пришлось долго чистить комп.

    Сегодня уже на своем компе во время просмотра отзывов об автомобиле ФВ на сайте вылез этот баннер, уличающий меня в распространении порнографии. Видно Golf IV слишком похож на порнозвезду))Но это лирическое отступление. С вирусом я в этот раз справился гораздо быстрее. Зашел вновь через Эрд коммандер, открыл эксплорер, далее поиск файлов на диске С, выставил параметр .exe в поле поиска и задал временной диапазон с 1 по 2 октября (вирус подцепил 2 октября). Поисковик обнаружил все файлы с расширением ехе, созданные в этот прмежуток времени. Среди них был единственный свеженький 2 октября с названием типа 034053400534.exe в папке с\Users\Пользователь . Вот он родненький))Delete без раздумий. Далее в реестре ставим нужные значения шелл и юзеринит. В этот раз у меня только юзеринит был некорректно отображен (ссылался на несуществующий файл на диске эрд коммандера) Больше никаких манипуляций. Перезагрузка,баннер исчез, система запустилась. Сейчас сканирую диск С на предмет наличия остатков вируса. Задумываюсь, как обезопасить себя от подобных вирусов,какой антивирусник лучше выбрать, сейчас стоит стандартный ессентиалис для Виндоус 7,вирус его смог обойти.Надеюсь мои рекомендации кому-то помогут.Спасибо за внимание.

  100. ребята,у меня на компе высветилась такая самая ошибка как и показана на начале етой странице.только у меня написано красными буквами на чёрном фоне.что делать?

  101. Елена:

    помогите! зашла в безопасном режиме с командной строкой, test.exe 03014D3F.exe 22CC6C32.exe – таких файлов не было,
    в
    «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon» и “Shell” и “Userinit” как положенно, без всяких изменений

    Userinit все равно на новый заменила
    а баннер все висит, где еще поискать? что делать?

  102. Елена:

    Я просто зашла в безопасном режиме и просканировала свежескаченным CureIt с Др.Веб. Все банер изчез! А ведь 3 дня боролась с ним всеми способами и ничего не помогало!

  103. дмитрий:

    здрасте))
    вот у меня проблема посложнее такой же поймал банер но у меня не привходе в винду а раньше как включаешь комп так первая табличка проходит нормально а за второй что то типо этого вылазеет
    что мне делать и как сним бороться!!! помогите плизз(((

  104. у меня не удаляются файлы почему пишет надо запросить разрешение

  105. Елена:

    не грузится лайв сд с флешки, не открывается командная строка, как быть?


Популярные записи

Ваш компью

Текст на баннере примерно такой:" "Ваш компьютер заблокирован за просмотр, копирование ...

Ваш компью

Баннер синего цвета с следующим текстом: Ваш компьютер заблокирован за просмотр, ...

Что делать,

Важно знать: сайт vkontakte.ru никогда не требует денег за разблокировку ...

Процесс explo

Столкнулся с проблемой, через полминуты после загрузки компьютера он начинает ...

Windows не уда

Собственно можно сказать пишу вам из горящего танка. Подруга буквально ...

-->