Хочу рассказать вам друзья один произошедший со мной случай на днях. Есть у меня хороший друг ещё со школы, позвал меня с женой и детьми в гости, естественно я с собой ничего не взял, даже флешки с бесплатной антивирусной программой. Пришли мы и не успели раздеться, как ко мне сразу подошёл маленький мальчик (сын моего друга) и говорит:-„Дядя, папа сказал, что вы можете наш компьютер отремонтировать”. – А что случилось? Говорю я. „Там с нас какие-то дяди деньги просят, говорят наш Windows заблокирован пополнить номер абонента, мы деньги с мамой им положили, но они нас обманули и компьютер опять не работает”. Друзья увидели замешательство на моём лице и предложили не обращать внимание на это досадное происшествие.

Windows заблокирован пополнить номер абонента

Подошёл я к компьютеру и нажал на кнопку POWER, жду появление старого знакомого, который не заставил себя долго ждать. По началу загрузки определяю что установлена Windows XP. Всё как обычно на экране монитора при входе в систему появляется предупреждение — Windows заблокирован для разблокировки вам нужно пополнить номер абонента.., означающее заражение компьютера вирусом Trojan.Winlock или Trojan-Ransom, а ещё проще- Пошлите смс. Ни одна кнопка на клавиатуре не работает, а так же ни одно сочетание клавиш.

• Например можно попробовать до момента загрузки баннера нажать комбинацию Ctrl+Shift+Esc, очень редко везёт и вы сможете попасть в диспетчер задач, затем найти вражеский процесс и завершить его. Или в окне диспетчера задач выбрать Файл->Открыть, далее набрать explorer и Ок, таким образом вы сможете попасть в проводник, далее наведаться в папку С:Windows->system32 и удалить все файлы оканчивающиеся на .exe и dll с датой на день заражения Windows баннером. Набрав команду msconfig, попадёте в автозагрузку-удалите оттуда всё. Команда regedit->входим в реестр, ну а далее повторяться не буду, всё очень подробно написано в нашей статье Как убрать баннер. 

К сожалению ничего из этого не помогло и ни в какую автозагрузку я не попал. В безопасный режим и безопасный режим с поддержкой командной строки войти тоже не удалось. Сижу думаю дальше, в голову стала закрадываться мысль- сгонять за своим чемоданом на другой конец города.

Всем своим друзьям компьютеры покупаю я, сейчас обычно системные блоки или ноутбуки идут с предустановленной Windows. После покупки я всегда делаю образ операционной системы, который располагается на НЕ системном разделе, обычно (D:) или (Е:). Тем, кто мог себе позволить программу Acronis True Image Home, (на официальном сайте цена всего 1 000 рублей на один компьютер) образ делал в виде бэкапа в данной программе, что очень удобно. Бэкап или образ всегда (если их случайно не удалят) можно развернуть в случае крайней необходимости, если ничего не поможет. Если люди приобретали Acronis, значит у них должен быть бэкап системы и вполне может оказаться загрузочный модуль этой программы на компакт-диске.

Интересуюсь у друзей, какие диски прилагались к компьютеру при покупке и какое покупалось программное обеспечение дополнительно. Нашёлся единственный неизвестный диск, который оказывается оставил я. На нём красиво и бесполезно для меня было написано -Диск восстановления Windows 7. На данном системном блоке была установлена Windows ХР, соответственно данный диск ничем помочь не мог. Почему спрашиваю у вас ХР, ведь сначала семёрка была, иначе бы я вам такой диск не сделал? А мне отвечают. Сначала была Windows 7, но на ней не запускались многие игры и мы переустановили Windows ХР.

Ну да ладно, что мы имеем: диск со средой восстановления Windows 7 и компьютер с установленной Windows ХР, заблокированной баннером вымогателем. Перезагрузил я компьютер, зашёл в BIOS, выставил загрузку с дисковода и загрузился с данного диска восстановления Windows 7 (что это за диск и как его сделать, читайте в нашей статье), будь что будет.

Нажимаем любую клавишу на клавиатуре.

Естественно поиск установленных систем ничего не дал, среда восстановления не нашла никакой Windows,

и не было никакого образа системы на дополнительном разделе.

Оставалось одно- зайти в командную строку

 и попробовать войти в проводник Windows, через известную команду notepad. Командная строка и набираем notepad. Попадаем в блокнот, здесь Файл и Открыть.

Пожалуйста перед нами проводник, уже не плохо и у нас появились небольшие шансы на успех.

В первую очередь вирус вымогатель изменяет в реестре параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.

В идеале они должны быть такими:
Userinit — C:Windowssystem32userinit.exe, 
Shell — explorer.exe

Что бы просмотреть их, нужно зайти в реестр заблокированной системы, сделать это можно например с диска Live CD, дающего возможность подключиться к операционной системе или идеальный вариант с помощью специальных дисков восстановления ERD Commander в Windows ХР и Microsoft Diagnostic and Recovery Toolset в Windows 7. Подробнее читайте в нашей статье- Как удалить баннер. У меня с собой такого диска не было и оставался один вариант. В этом случае можно зайти в папку С:Windowsrepair (не забывайте в Типах файлов указывать Все файлы, а то вы ничего не увидите),

там хранятся резервные копии файлов реестра, созданные при установке Windows XP, далее скопировать оттуда файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM и заменить ими повреждённые файлы реестра с такими же названиями в папке C:WindowsSystem32Config.

К сожалению многие установленные программы откажутся работать, так как состояние реестра будет такое, какое оно было на момент установки Windows ХР. У моих знакомых никаких особых программ, которые нельзя было бы в случае необходимости переустановить не было. В первую очередь я зашёл в папку C:WindowsSystem32Config и удалил оттуда повреждённые файлы реестра -SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM, кстати перед удалением можете их скопировать на всякий случай в любую папку.

Затем я зашёл в папку С:Windowsrepair и скопировал из неё в папку C:WindowsSystem32Config резервные файлы реестра SAM, SEKURITY, SOFTWARE, DEFAULT, SYSTEM.

 

Ещё я удалил всё из папок Temp. В Windows ХР они находятся:
С:Documents and SettingsПрофиль пользователяLocal SettingsTemp
С:Documents and SettingsПрофиль пользователяLocal SettingsTemporary Internet Files.
C:WindowsTemp. 
Так же полностью очистил папку C:WindowsPrefetch.
В папке С:Windows->system32, просмотрел файлы оканчивающиеся на .exe и dll, с датой на вчерашний день, когда произошло заражение компьютера баннером вымогателем, нашёл такой всего один и удалил его.

 

Затем перезагрузился. Windows ХР загрузилась без сообщения- Windows заблокирован пополнить номер абонента, многие программы удалось запустить непосредственно из личных папок в C:Program Files. Игры все запустились вообще без проблем.