Windows был заблокирован. Вирус заблокировал windows, что делать

С каждым последующим обновлением операционной системы Windows 10, пользователи замечают, что количество легальных и безопасных программ, которые система блокирует, увеличивается. При этом приложения ни то, что не запускаются, но и не устанавливаются, а выполнить любую манипуляцию невозможно даже с правами Администратора. Софт не запускается, а на экране монитора появляется сообщение о том, что «Это приложение было заблокировано в целях защиты». Причина такого поведения системы кроется в механизмах Контроля учетных записей (UAC), которые блокируют сторонние приложения с просроченной или отозванной цифровой подписью. Поэтому, рассмотрим способы, как разблокировать приложение в ОС Windows 10.

Отключение UAC с целью разблокирования приложения

Если на Windows 10 у вас не получается выполнить установку программ, первое что нужно сделать, это отключить Контроль учетных записей. Для этого стоит выполнить следующее:

• Жмём «Пуск» и в строку поиска вводим следующий запрос: «Изменение параметров контроля учетных записей» или просто вводим «UAC».

• Откроется новое окно. Перетаскиваем ползунок в положение «Никогда не уведомлять».

Важно отметить, что UAC можно отключить с помощью редактора реестра. Для этого необходимо проделать следующие действия:

• Жмём «Win+R» и вводим «regedit».

• Появится окно редактора реестра. Переходим по ветке «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System». В окне справа находим параметр «EnableLUA» и выставляем ему значение «0».

• После отключения Контроля учетных записей вы сможете устанавливать множество приложений без каких-либо блокировок.

Удаление цифровой подписи как метод разблокирования приложения

Во многих случаях блокировка приложений появляется тогда, когда система сталкивается с софтом, имеющим просроченную цифровую подпись. Если вы уверены в том, что ваша программа полностью безопасна, цифровую подпись можно удалить. Однако перед удалением стоит проверить её наличие. Для этого необходимо выполнить следующее:

• Открываем файл, который нужно проверить. Далее выбираем «Файл», «Сведения», «Сведения о цифровой подписи».

• Убедившись в том, что подпись имеется, стоит её удалить. Для этого открываем программу FileUnsigner и читаем инструкцию о том, как удалить цифровую подпись с помощью данного софта.

После удаления данного элемента можно произвести установку программ на компьютер с Windows 10. Система не будет блокировать запуск приложений и установочный файл софта.

Использование Локальной политики безопасности для блокировки и разблокировки софта

Еще один способ, как заблокировать и разблокировать приложение – это использовать инструмент «Локальные политики безопасности». Для того, чтобы создать исключения для программы, стоит выполнить следующее:

• Жмём «Win+R» и вводим «secpol.msc».

• Откроется новое окно. Выбираем «Параметры безопасности», «Политики управления приложениями», «AppLocker» и выбираем «Исполняемые правила».

• Справа на пустом месте нажимаем правой кнопкой мыши и выбираем «Создать правило…».

• Откроется окно Мастера создания новых правил. Жмём «Далее».

• Появится еще одно окно. Здесь нам нужно поставить отметку «Разрешить» или «Запретить» запуск программы. Оставляем раздел «Все» пользователи и жмем «Далее».

• В следующем окне мы выбираем «Издателя», так как хотим заблокировать или разблокировать программу.

• В новом окне нажимаем на кнопку «Обзор» и указываем путь к файлу приложения.

• Добавив файл, ползунком указываем уровень доверия к файлу. Либо разрешаем его запуск, либо блокируем.

• Нажимаем на кнопку «Создать». Правило готово. Теперь, чтобы система его приняла, стоит запустить командную строку с правами Администратора и ввести следующее: gpupdate /force. Локальные политики будут обновлены. Софт будет разблокированный или заблокированный (в зависимости от того, что вы указали).

Таким образом, любая настройка правил для той или иной программы позволяет её запускать или блокировать на компьютере с Windows 10, чего, в принципе, мы и добивались.

Троян - вирусы семейства Winlock, которые блокируют работу системы Windows, - настоящие вымогатели денег. На протяжении нескольких последних лет они не только эволюционировали, но и начали представлять собой серьезную проблему безопасности компьютерных систем. Мы предлагаем прочитать рекомендации, как можно бороться с ними самостоятельно, а иногда даже предотвратить заражение собственного компьютера.

Троянский вирус появляется в системе быстро, а самое страшное - незаметно. Пользователь выполняет привычные действия, просматривает страницы, общается или загружает необходимые файлы. И вдруг на экране появляется баннер, который просто невозможно убрать. Картинки баннеров могут быть разными - порнографическими, или даже грозно оформленными.

Но в итоге от пользователя вымогают перечислить требуемую сумму денег на счет или отправить платное SMS. Такие баннеры располагаются всегда поверх всех других окон для привлечения внимания пользователя. В конце текста сообщения практически всегда можно встретить угрозу об уголовном преследовании или об удалении всех папок и файлов с дисков компьютера, в случае если перевод средств не будет выполнено в течение лимитированного промежутка времени.

Надеемся, вы понимаете, что никаких операций денежных перечислений проводить не следует. Для начала желательно попытаться выяснить оператора указанного номера сотовой связи, затем сообщить о происшедшем в службу безопасности. Иногда операторы даже смогут подсказать вам разблокировочный код в онлайн режиме, однако слишком уж не стоит рассчитывать на такое «счастье».

Сражаемся самостоятельно

Код разблокировки действительно существует, и его можно применить для уничтожения некоторых троянов. Очень редко происходит процесс их самостоятельного удаления, после введения правильного кода, который можно иногда получить, зайдя на соответствующие разделы на сайтах . Пример.

Компания «Лаборатория Касперского» тоже предлагает сервис для разблокировки системы.

Для использования этого сервиса, необходимо зайти на определенные разделы сайтов «Лаборатория Касперского», «Доктор Вэб» или других разработчиков антивирусов с какого-нибудь иного компьютера или смартфона.

Если вам удалось удачно завершить разблокировку, не спешите радоваться и выключать компьютер. Загрузите какой-нибудь антивирус бесплатно и дайте команду системе выполнить проверку. Рекомендуем использовать утилиты Kaspersky VRT (Virus Removal Tool) или Doctor WEB Cure It.

Лечение от вирусов

Прежде чем воспользоваться сложными методами и специальным софтом, нужно попытаться использовать имеющиеся средства.

Нажав клавиши CTRL+SHIFT+ESC или же стандартную комбинацию CTRL+ALT+DEL, вызываем диспетчер задач. Если данное действие сработало, значит, вам предстоит сразиться с простым вариантом вируса. Более того, борьба будет быстрой и несложной. Вам необходимо просто найти название вируса в списке рабочих процессов и выбрать опцию «принудительное завершение».

Подозрительно непонятный процесс, который обнаружен в диспетчере задач может быть трояном.

Если вы нашли невнятное имя процесса и отсутствие его описания, значит, вы действуете правильно. Остается только завершить такой процесс. Также можно просто начать завершать поочередно все «подозрительные» процессы, пока баннер не исчезнет.

В случае, если диспетчер не запускается, можно попытаться использовать расширенный менеджер процессов. Ниже можно увидеть, какой вид имеет процесс, вызывающий подозрения, в System Explorer.

System Explorer - это расширенный менеджер процессов

Скачать эту программу можно любым доступным способом. Выбрав команду «Проверить», вы запустите поиск информации об определенном процессе в базе данных online, но чаще всего картина и так становится ясна. Закрыв баннер, следует перезапустить «Проводник», выбрав процесс explorer.exe. В системном диспетчере процессов следует нажать:

Файл » Новая задача » c:\Windows\explorer.exe.

Когда троян временно деактивирован, вам осталось просто найти его файл, а затем удалить его. Данные действия можно выполнить вручную или воспользовавшись программой бесплатного антивируса.

Стандартное место нахождения трояна - разные каталоги для временных файлов, и системы. Целесообразно также производить полную проверку, потому что копии вируса могут прятаться в разных местах и нарушать работу не только одной системы. Исчерпывающий список объектов в режиме автозапуска можно просмотреть абсолютно бесплатной утилитой Autoruns.

AutoRuns продемонстрирует все объекты, имеющие режим автозапуска (на демонстрационной версии скриншота можно увидеть только малую часть).

Военные хитрости

«Победить» троян на начальном этапе можно, если знать особенности поведения стандартных программ. Увидев баннер, попробуйте запустить Блокнот или WordPad. Нажав WIN+R, попробуйте написать notepad, с последующим нажатием кнопки ENTER. Внизу, под баннером, вы увидите новый документ Word. Набрав любую абракадабру, коротко нажмите выключение питания непосредственно на системном блоке. Это должно привести к тому, что все процессы начнут завершаться, включая и троянский вирус, но компьютер не выключится.

Блокнот помогает вернуть доступ админу!

Старая школа

Продвинутые современные версии троянов снабжены средствами противодействия всем попыткам, направленным на избавление от них. Такие вирусы способны заблокировать запуск системного диспетчера задач, подменяя другие компоненты системы.

В таком случае нужно сначала перезагрузить компьютер, удерживая клавишу F8 в течение загрузки Windows. Загрузить систему в режиме «Безопасный режим с поддержкой командной строки". По окончании загрузки набираем на клавиатуре слово explorer и нажимаем ENTER. Как результат - запустится проводник Windows. Далее нужно написать regedit и нажать ENTER. Появится редактор системного реестра. В реестре можно обнаружить записи, созданные трояном, и место, откуда произошла его загрузка и запуск.

Ключи реестра, которые часто модифицируются троянами Winlock

Часто увидеть полные пути непосредственно к файлам трояна можно в разделах Shell и Userinit ветки реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

В «Shell» происходит запись трояна вместо explorer.exe, а в «Userinit» он указывается непосредственно после запятой. Необходимо скопировать полное имя файла трояна в буфер обмена из первой записи, которая была обнаружена. В строке команды пишем del, далее делаем пробел и, кликнув мышкой, открываем контекстное меню.

В нем необходимо выделить команду «Вставка» и нажать ENTER. Таким образом, файл трояна будет удален. При удалении трояна из консоли, удаляемый файл располагается во временной папке.

В реестре операционной системы необходимо также выполнить поиск по имени файла трояна, внимательно просматривая все записи, которые были найдены и удаляя все подозрительные. Далее переходим к очищению всех временных папок и корзины. В завершении нужно выполнить сканирование с помощью любого антивируса.

Если троян заблокировал работу сетевых подключений, их можно попробовать восстановить с помощью небольшой, но мощной утилиты AVZ через Windows Sockets API настройки.

Тонкая работа

В случаях серьезных заражений почти бесполезно пробовать бороться внутри инфицированной системы. Логично загрузиться с любой другой чистой системы и относительно спокойно попытаться вылечить основную, зараженную систему. Существуют разные способы это сделать, но один из наиболее простых - бесплатная утилита Kaspersky WindowsUnlocker. Аналогично Dr WEB LiveCD данная программа основана на Gentoo Linux. Файл - образ записываем на каую-нибудь болванку или делаем загрузочный Flash накопитель, прибегнув к помощи утилиты Kaspersky USB Rescue Disk Maker.

Создаем загрузочный Flash накопитель, используя образ Kaspersky Rescue Disk

Опытные пользователи могут сделать это заранее, а остальные чаще всего обращаются к друзьям, коллегам или отправляются в ближайший интернет-клуб, когда уже произошло заражение.

Во время включения зараженного компьютера необходимо удерживать клавишу, чтобы войти в BIOS компьютера. Обычно это кнопки DELETE или F2, соответствующее приглашение будет отображено внизу экрана. Далее нужно вставить Kaspersky Rescue Disk или заранее подготовленную загрузочный Flash накопитель. В Boot options (настройки вариантов загрузки) первым загрузочным устройством выбираем CD/DVD привод или Flash накопитель. Следующий шаг - сохранение изменений F10 и выход из BIOS.

Большинство современных версий BIOS предлагают выбрать загрузочное устройство в процессе загрузки, не входя в главные настройки. Нужно нажать F11, F12 или сочетание клавиш, указанное на экране. После перезагрузки произойдет запуск Kaspersky Rescue Disk.

Борьба на ранних этапах

Отдельным подклассом являются троянские вирусы, которые поражают главную загрузочную запись диска компьютера (MBR). Они могут появиться на экране еще до загрузки операционной системы, и отсутствовать в разделах автозапуска.

Начальные этапы борьбы с такими вирусами состоят в восстановлении MBR до исходного состояния. Для случая XP необходимо выполнить загрузку с инсталяционного диска Windows, нажать клавишу R и вызвать консоль восстановления, где и нужно написать команду fixmbr. Далее подтверждаем ее, нажав Y, и начав перезагрузку. Windows 7 в качестве такой утилиты использует BOOTREC.EXE и, соответственно, синтаксис команды будет следующим:

Bootrec.exe/FixMbr

После проведения данных манипуляций система начинает загружаться повторно. Можно приступать к дальнейшему поиску физических копий трояна.

Выковыриваем вирус с помощью крестовой отвертки

Борьба с вирусами троянского типа может быть долгой и затянутой, если у вас ноутбук или маломощный компьютер, так как существует затруднения при загрузке с других устройств, а выполнение проверки занимает время. Самое простое решение - просто извлечь винчестер с зараженной системой и подключить его физически к другому компьютеру. Можно воспользоваться специальными боксами оборудованными интерфейсом eSATA или USB 3.0/2.0.

Чтобы не распространять вирусы, предварительно нужно отключить на «лечащем» компьютере возможность автозапуска с HDD. Сделать это легче всего с помощью утилиты AVZ, которая, кстати, бесплатная, а непосредственно проверку лучше выполнить чем-то другим. Открываем меню «Файл», выбираем «Мастера поиска и устранения проблем». Отмечаем «Системные проблемы», «Все» и нажимаем «Пуск». После этого необходимо отметить пункт «Разрешен автозапуск с HDD» и нажать «Исправить отмеченные проблемы».

Отключаем автозапуск

Также, перед подсоединением зараженного винчестера нужно убедиться, что антивирус на компьютере уже запущен в режиме монитора и присутствуют свежие (обновленные) антивирусные базы.

В дальнейшем, чтобы предотвратить повторное заражение следует установить антивирус (любой) с поддержкой режима реального времени мониторинга системы, а также выполнять общие правила безопасности:

• работать, непосредственно входя в учетную запись, которая предполагает ограниченные права;
• пользоваться альтернативными WEB браузерами - много заражений происходит именно через дыры безопасности в ;
• отключать Java-скрипты для неизвестных сайтов;
• отключать автозапуск для сменных носителей;
• программы и обновления устанавливать, пользуясь только официальными сайтами разработчиков;
• стараться всегда обращать внимание на путь предлагаемой ссылки;
• блокировать нежелательные окна, которые всплывают;
• своевременно устанавливать обновления для браузеров, системных и общих компонентов.

Если вам интересна эта тема, посетите проект GreenFlash. Там вы найдете разнообразные полезные и интересные решения, а также рекомендации для создания загрузочного Flash накопителя.

Однако не нужно забывать, что распространение вирусов троянов Winlock затронуло не только Россию и страны ближнего зарубежья. Известны их модификации с локализацией практически на все языки мира.

Иногда при включении компьютера на экране может выскакивать сообщение о том, что операционка заблокирована и необходимо перевести некую сумму денег для получения кода для разблокировки. При этом в сообщении может указываться счет какого-либо мобильного оператора. С такой проблемой сталкивается довольно много пользователей.

Такое сообщение вызывает довольно распространенное вредоносное ПО. Конечно, отправлять ничего не нужно, поскольку в ответ никакого номера не придет. При этом не стоит обращать внимание на текст сообщения, поскольку там может быть написано много чего, но это всего лишь выдумка мошенника, чтобы сбить с толку пользователя. Отчаиваться в этом случае не стоит, поскольку решение этой проблемы довольно простое.

Стоит отметить, что нет смысла пытаться найти на форумах или каких-либо сайтах антивирусов номера разблокировки, поскольку их невозможно найти. Если даже в сообщении есть строка для ввода этого пароля, это не значит, что он существует. Как правило, злоумышленники не напрягаются, чтобы его придумать, особенно сейчас. Зачатую жертвами таких мошенников становятся владельцы операционок Windows XP, 7 и 8.

Как убрать Windows заблокирован

Изначально необходимо ознакомиться с ручным способом устранения этой проблемы. Кроме того, существует автоматический метод ликвидации этого вируса, который будет описан ниже. Стоит отметить, что в автоматическом режиме весь процесс проходит намного проще, однако, после ликвидации вируса, могут появиться некоторые проблемы. Самая распространенная проблема – рабочий стол не может загрузиться.

Для устранения этой проблемы с заблокированной системой изначально необходимо перейти в безопасный режим с возможностью использовать командную строку. Выполнение этих действий на разных операционках происходит по-своему.

В версиях Windows XP и 7, после включения ПК необходимо постоянно нажимать на клавишу F8 до того момента, пока не высветятся возможные варианты загрузки системы, где требуется нажать на безопасный режим. В некоторых версиях BIOS, нажав на кнопку F8, отобразится меню для выбора диска для загрузки системы. В этом случае нужно выбрать винчестер, нажать Enter и сразу же нажать F8.

В восьмой версии Windows перейти в безопасный режим немного сложнее. Способов сделать это существует несколько. Простейшим из них является неправильное включение ПК. В этом случае компьютер включится, но появится окно блокировки. Здесь необходимо зажать кнопку питания на пять секунд, после чего компьютер выключится.

Запустив заново ПК, должно открыться окно для выбора способа загрузки, в котором необходимо найти безопасный режим с возможностью работать с командной строкой. После запуска командной строки в ней необходимо написать regedit и нажать Enter.
Вследствие этого должен загрузиться редактор реестра, где будет проходить основная работа по удалению вируса.

Затем в реестре требуется выбрать раздел HKEY_LOCAL_MACHINE, после этого кликнуть SOFTWARE, далее перейти в Microsoft, потом Windows NT, отыскать CurrentVersion и в конце нажать Winlogon. В этой папке зачастую размещают свои записи вирусы, которые блокируют операционку.

Здесь необходимо уделить внимание двум параметрам Shell и Userinit. Значения их в каждой версии Windows одинаковые, поэтому стоит проверить их правильность. Для Shell значение должно стоять explorer.exe, а в случае с Userinit оно выглядит как c:\windows\system32\userinit.exe, (запятая в конце должна присутствовать обязательно).

Если с операцонкой поработал вирус, тогда значения будут другие. В основном меняется Shell. В этом случае необходимо нажать ПКМ по параметру с измененным значением и указать «Изменить», после чего следует вписать правильное значение. Кроме того, требуется запомнить или записать путь к вирусу, который был там прописан.

После этого необходимо перейти в HKEY_CURRENT_USER и пройти такой же путь, что и в первом разделе. Здесь также внимание нужно обратить на Shell и Userinit. В этой папке такие параметры присутствовать не должны. Если они здесь есть, требуется выделить их и кликнуть на «Удалить».

Затем в тех же разделах необходимо перейти в HKEY_CURRENT_USER, затем выбрать Software, после этого зайти в Microsoft, здесь нажать Windows, потом CurrentVersion и в конце Run и пройти такой же путь начиная с HKEY_LOCAL_MACHINE. В этих папках также необходимо убедиться, чтобы никакой параметр этих отделов не приводил к таким же файлам, что и Shell из вышеописанного пункта. Если они присутствуют, тогда необходимо их удалить. Зачастую имена файлов состоят из беспорядочного набора букв и цифр в формате.exe. Все похожее на это должно удаляться.

Затем нужно выйти из реестра и перейти в строку команд. В ней необходимо прописать explorer и нажать Enter, что откроет рабочий стол системы. После этого необходимо перейти в проводник операционки и ликвидировать файлы, которые были прописаны в удаленных отделах. Зачастую эти файлы размещаются в директории Users и дойти до их расположения довольно сложно. Проще всего выполнить это можно указанием пути в директории в строке адреса. Все эти файлы нужно ликвидировать. Если эти файлы расположены в папке Temp, тогда можно полностью почистить эту директорию.

После выполнения всех манипуляций необходимо перезапустить ПК. В этом случае можно воспользоваться комбинацией Ctrl+Alt+Del. Проведя все эти манипуляции, ПК станет нормально запускаться и отлично работать, а сообщение о блокировки появляться не будет. Запустив первый раз компьютер, необходимо загрузить «Планировщик заданий» и проверить, чтобы не находилось непонятных заданий. Если что-то обнаружится, это необходимо удалить.

Избавляемся от Windows заблокирован автоматически с использованием Kaspersky Rescue Disk

Этот способ для снятия блокировки операционки намного проще вышеописанного. В этом случае необходимо загрузить на работающем ПК Kaspersky Rescue Disk с официального ресурса производителя. После этого требуется скопировать образ диска на какой-либо накопитель.

Запустившись с этого диска, выскочит предложение нажать на какую-нибудь кнопку, а затем указать язык меню. Требуется выбрать подходящий. После этого необходимо принять лицензионное соглашение. Чтобы это выполнить, необходимо нажать на клавиатуре 1. После этих манипуляций появится меню диска, где необходимо выбрать графический режим.

После запуска графической оболочки, которая позволяет выполнять различные манипуляции, необходимо выбрать разблокировку Windows. Затем требуется выделить пункты «Загрузочные сектора», «Скрытые объекты автозагрузки» и диск С. после этого нужно нажать «Выполнить проверку».

По окончании сканирования, на экране появится отчет, который будет отображать выполненные действия и их результат. Как правило, этих манипуляций вполне достаточно, чтобы снять блокировку операционки. После этого нужно нажать «Выход» и отключить компьютер. Выключив компьютер, необходимо извлечь накопитель и снова запустить ПК. Операционка должна запуститься и можно приступать к работе за компьютером.

Это все несложные манипуляции, которые помогут избавиться от блокировки операционки. Выполнить их смогут даже начинающие пользователи.

Если при загрузке операционной системы вместо привычного рабочего стола Вы видите такое или подобное сообщение да ещё и с угрозами уничтожения данных, повреждения компьютера, ареста, расстрела и т.д в случае неуплаты в течение короткого времени, при этом данное сообщение невозможно никак убрать или свернуть (невозможны никакие действия кроме как ввести код разблокировки), знайте: Вы стали жертвой мошеников-вымогателей , но платить им НИ В КОЕМ СЛУЧАЕ нельзя. Этим Вы только проспонсируете дальнейшие разработки вредоносного ПО, кроме того, отправка денег куда-либо вовсе не означает что Вам пришлют спасительный код, а если и пришлют, то не факт, что ситуация через неделю не повторится вновь. В данной статье я опишу как недопустить такое заражение и вылечить компьютер, если уж произошло, на примере одной подобной ситуации.

В данное время такое заражение можно встретить относительно редко, но люди всё равно умудряются где-то его находить и тогда приходится вспоминать былой опыт и браться за уничтожение этой напасти. Два года назад ситуация с вирусами-винлокерами была просто катастрофической: заражались практически все и неоднократно. Поражала изобретательность вирусописателей: были случаи, когда ситуация разрешалась только полной переустановкой системы. После ареста в прошлом году в Москве банды таких «программистов» положение резко улучшилось. Поразила сумма, которую они заработали за полгода: миллиард(!!!) рублей .

Теперь опишу сегодняшний случай

Симптомы: окно вируса поверх всех остальных, заблокирован Диспетчер задач, стандартный набор угроз. Из нововведений следует отметить то, что авторы таких вирусов больше не предлагают отправить деньги по СМС. Вместо этого нужно пополнять их WebMoney-кошелёк (в этом случае отследить автора вируса практически невозможно), ну и суммы выросли: если раньше вымогатели просили по 30 гривен, то сейчас по 100 (а уголовная ответственность на Украине начинается от 60 гривен). Рассмешило совершенно убогое исполнение вируса: они не смогли реализовать даже полноэкранный режим (видимо разрешение экрана 1200×800 — из разряда маловероятных))) потому побороть его не составило особого труда (но если жертвы начнут перечислят им деньги, то они накупят очень много умных книг по программированию и в следующий раз напишут что-то более изящное!), куча грамматических ошибок («…сообщает о блокировки …»))).

Механизм заражения, работы вируса и способ его удаления

В автозагрузке присутствует файл «superclubber.bat» с текстом:

@echo off
Title superclubber
start superclubber.exe

Выявление troyan winlock при помощи утилиты Sysinternals Autoruns в автозагрузке Windows

то есть он запускает файл «superclubber.exe», который и является собственно данным вирусом. Соответственно вся процедура лечения сводится к удалению этой записи в реестре и двух файлов (к сожалению такие простые вирусы встречаются очень редко, обычно приходится очень крепко попотеть чтоб его извести ). Анализ данного файла на сайте virustotal.com показал, что его в данный момент определяют только 14 антивирусов из 43. (невысокий процент(!) ). Avira (TR/Crypt.CFI.Gen), Avast (Win32:Rootkit-gen ), AVG (Generic23.AMUX), DrWeb (Trojan.Winlock.3724), Kaspersky (Trojan-Ransom.Win32.Blocker.apz), NOD32 (a variant of Win32/LockScreen.AHP trojan) оказались в числе тех, кто определяет. Из тех кто его до сих пор не определяет, и, соответственно пропускают следует отметить антивирусы Microsoft, Panda, Symantec, McAfee, GData.

После перезагрузки окошко больше не выскакивает, значит вирус больше не активен.

Причина заражения данного компьютера оказалась в том, что последняя дата обновления антивируса Avast была 13 июня (т.е. он не обновлялся больше месяца), а состоянием на то число он этот вирус ещё не знал и потому пропустил.

Способ заражения: дальнейший анализ показал, что человек всё предыдущее заражению время провёл в на различных порносайтах (больше 100 шт. подряд). Какой-то из этих сайтов содержал вредоносный код (java-эксплоит), который и произвёл заражение.

Просмотр Истории браузера Opera показал, что в день заражения пользователь посетил большое количество порносайтов

Окончательная зачистка

Обновляем антивирус и делаем полное сканирование системы:

В результатах сканирования обнаруживаем файлы при помощи которых произошло заражение

В результатах сканирования обнаруживаем файлы при помощи которых произошло заражение. В данном случае оно произошло совсем незаметно для пользователя и не требовало от него никаких действий. Ещё раз отмечу: если бы пользователь вовремя побеспокоился об поддержании антивируса в актуальном состоянии, то этого заражения бы не произошло!

То же самое делаем программой Malwarebytes Anti-Malware:

Если, в очередной раз включив компьютер, вы увидели сообщение о том, что Windows заблокирован и нужно перевести 3000 рублей для того, чтобы получить номер разблокировки, то знайте несколько вещей:

• Вы не одиноки - это один из самых распространенных видов вредоносного ПО (вируса)
• Никуда и ничего не отправляйте, номера вы скорее всего не получите. Ни на счет билайн, ни на мтс ни куда-либо еще.
• Любой текст о том, что полагается штраф, грозит УК, упоминания о Microsoft security и прочее - это не более чем выдуманный горе-вирусописателем текст, чтобы ввести вас в заблуждение.
• Решить проблему и убрать окно Windows заблокирован довольно просто, сейчас мы и разберем, как это сделать.

Типичное окно блокировки Windows (не настоящее, сам нарисовал)

Надеюсь, вводная часть была достаточно ясной. Еще один, последний момент, на который обращу ваше внимание: не стоит искать по форумам и на специализированных сайтах антивирусов коды разблокировки - навряд ли вы их найдете. То, что в окне имеется поле для ввода кода, не означает, что такой код есть на самом деле: обычно мошенники не «заморачиваются» и не предусматривают его (особенно в последнее время). Итак, если у вас любая версия ОС от Microsoft - Windows XP, Windows 7 или Windows 8 - то вы потенциальная жертва.

Как убрать Windows заблокирован

Первым делом, я расскажу, как проделать эту операцию вручную. Если вы хотите использовать автоматический способ удаления этого вируса, то перейдите к следующему разделу. Но отмечу, что несмотря на то, что автоматический способ, в целом, проще, возможны и некоторые проблемы после удаления - наиболее распространенная из них - не загружается рабочий стол.

Запуск безопасного режима с поддержкой командной строки

Первое, что нам потребуется для того, чтобы убрать сообщение Windows заблокирован - зайти в безопасный режим с поддержкой командной строки Windows. Для того, чтобы это сделать:

• В Windows XP и Windows 7, сразу после включения начните лихорадочно нажимать клавишу F8, пока не появится меню альтернативных вариантов загрузки и выберите соответствующий режим там. Для некоторых версий BIOS нажатие F8 вызывает выбор меню устройств для загрузки. Если такое появится, выберите ваш основной жесткий диск, нажмите Enter и в ту же секунду начинайте нажимать F8.
• Зайти в безопасный режим Windows 8 может оказаться сложнее. Самый быстрый - неправильно выключить компьютер. Для этого, при включенном ПК или ноутбуке, глядя на окно блокировки, нажмите и удерживайте кнопку питания (включения) на нем в течение 5 секунд, он выключится. После очередного включения вы должны попасть в окно выбора вариантов загрузки, там нужно будет отыскать безопасный режим с поддержкой командной строки.

Введите regedit, чтобы запустить редактор реестра

После того, как командная строка запустилась, введите в нее regedit и нажмите Enter. Должен открыться редактор реестра, в котором мы и будем проделывать все необходимые действия.

Прежде всего, в редакторе реестра Windows следует зайти в ветку реестра (древовидная структура слева)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , именно здесь, в первую очередь располагают свою записи вирусы, блокирующие Windows.

Shell - параметр, в котором наиболее часто запускается вирус Windows Заблокирован

Обратите внимание на два параметра реестра - Shell и Userinit (в правой области), их правильные значения, вне зависимости от версии Windows, выглядят следующим образом:

• Shell - значение: explorer.exe
• Userinit - значение: c:\windows\system32\userinit.exe, (именно с запятой на конце)

Вы же, скорее всего, увидите несколько иную картинку, особенно в параметре Shell. Ваша задача - кликнуть правой кнопкой мыши по параметру, значение которого отличается от нужного, выбрать «Изменить» и вписать нужное (правильные написаны выше). Также обязательно запомните путь к файлу вируса, который там указан - мы его чуть позже удалим.

В Current_user параметра Shell быть не должно

Следующий шаг - зайти в раздел реестра HKEY_ CURRENT_ USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon и обратить внимание на тот же параметр Shell (и Userinit). Тут их быть вообще не должно. Если есть - нажимаем правой кнопкой мыши и выбираем «Удалить».

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

И смотрим, чтобы ни один из параметров этого раздела не вел к тем же файлам, что и Shell из первого пункта инструкции. Если таковые имеются - удаляем их. Как правило, имена файлов имеют вид набора цифр и букв с расширением exe. Если есть что-то подобное, удалите.

Закройте редактор реестра. Перед вами снова будет командная строка. Введите explorer и нажмите Enter - запустится рабочий стол Windows.

Быстрый переход к скрытым папкам с использованием адресной строки проводника

Теперь зайдите в проводник Windows и удалите файлы, которые были указаны в удаленных нами разделах реестра. Как правило, они находятся в глубине папки Users и добраться до этого месторасположения не так-то просто. Самый быстрый способ это сделать - указать путь к папке (но не к файлу, иначе он запустится) в адресной строке проводника. Удалите эти файлы. Если они находятся в одной из папок «Temp», то можно без страха очистить эту папку вообще от всего.

После того, как все эти действия были совершены, перезагрузите компьютер (в зависимости от версии Windows, возможно потребуется нажать Ctrl + Alt + Del.

По завершении вы получите работающий, нормально запускающийся компьютер - «Windows заблокирован» больше не появляется. После первого запуска рекомендую открыть Планировщик заданий (Расписание выполнения задач, можно найти через поиск в меню Пуск или на начальном экране Windows 8) и посмотреть, чтобы там не было странных заданий. При обнаружении удалить.

Убираем Windows заблокирован автоматически с помощью Kaspersky Rescue Disk

Как я уже сказал, этот способ убрать блокировку Windows несколько проще. Вам потребуется с работающего компьютера скачать Kaspersky Rescue Disk с официального сайта http://support.kaspersky.ru/viruses/rescuedisk#downloads и записать образ на диск или загрузочную флешку. После этого, нужно загрузиться с этого диска на заблокированном компьютере.

После загрузки с Kaspersky Rescue Disk вы сначала увидите предложение нажать любую клавишу, а после этого - выбор языка. Выбираем тот, который удобнее. Следующий этап - лицензионное соглашение, для того, чтобы его принять, нужно нажать 1 на клавиатуре.

Меню Kaspersky Rescue Disk

Появится меню Kaspersky Rescue Disk. Выберите Графический режим.

Настройки сканирования на вирусы

После этого запустится графическая оболочка, в которой можно делать очень многие вещи, но нас интересует быстрая разблокировка Windows. Отметьте галочками «Загрузочные сектора», «Скрытые объекты автозагрузки», а заодно можно отметить и диск C: (проверка займет намного больше времени, но будет более эффективной). Нажмите «Выполнить проверку».

После завершения проверки вы можете посмотреть отчет и увидеть, что именно было проделано и каков результат - обычно, чтобы убрать блокировку Windows, такой проверки оказывается достаточно. Нажмите «Выход», а затем выключите компьютер. После выключения вытащите диск или флешку Kaspersky и снова включите ПК - Windows больше не должен быть заблокирован и вы сможете вернуться к работе.