Windows заблокирован за просмотр и распространение детского гей порно

Windows заблокирован программой вымогателем

Уже третий раз мой хороший приятель обращается ком не с одной и той же проблемой. Он любитель смотреть фильмы онлайн. Сперва я думал, что он любитель клубнички, но когда в третий раз позвонив мне с той же проблемой, и оказывается он смотрел с женой и ребенком документальный фильм, то я решил написать этот пост.

Результатом очередного просмотра видео с сомнительного сайта стало сообщение такого характера:

Сообщение Windows заблокирован Microsoft Security нарушения использования сети интернет. Причина: Просмотр и распространение ДЕТСКОГО-ГЕЙ порно

В таких случаях артивирусные системы принимают такие программы как безвредные и соответственно их пропускают. Говорить точно не берусь, но возможно и сами пользователи зачастую при просмотре видео онлайн нажимают согласие при сообщении обновить flash player.

Итак как если вы включив Windows и увидели сообщение о том, что Вы нарушили использование сети интернет по причине просмотра и распространения ДЕТСКОГО-ГЕЙ порно не пугайтесь и делайте следующее.

1. Перезагружаем компьютер и жмем F8 пока не появится окно со списком вариантов загрузки ОС:

Варианты загрузки операционной системы Windows

Выбираем вариант загрузки «Безопасный режим с поддержкой командной строки».

2. Загрузившись мы увидим консоль. Пишем regedit и жмем Enter. Этим мы запустим редактор реестра.

Редактор реестра Windows

В редакторе находим папку с пареметрами winlogon. Для этого идем по такому пути: HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon. Нас будет интересовать параметр Shell и Userinit. Эти параметры должны быть именно такими как на картинке.

Обратите внимание на выделенные параметры Shell и Userinit. Редактор ресстра Windows

Однако когда вирус о котором идет речь записывает путь к исполняемому файлу в параметр Shell. Если в этом параметре вместо Explorer.exe стоит путь к исполняемому файлу вируса, то запомните его так как это нам еще понадобится.

Дополнено 01-08-2013

Еще одна ветка реестра которую необходимо проверить HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon,

Если есть параметр в свойствах которого имеется ссылка на файл svchost.exe, находящийся во временной папке TMP — удалите полностью этот параметр!

3. Так же проверьте раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options, разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).

4. Перезагрузите компьютер.

5. Помните путь к файлу вируса? Так вот теперь найдите этот файл и удалите его! На этом все.{jcomments on}

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий