Как удалить блокировщик Windows (рекламный баннер). Windows заблокирован — что делать

Продолжаем бороться с блокировщиками Windows, далее мы попытаемся дать несколько практических советов по борьбе с этим неприятным видом "троянов". Для начала напомним, что же такое троян блокировщик Windows . Итак, трояны ("троянские кони") семейства Winlock, известные как «блокировщики Windows», семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги», WebMoney), либо на баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Пример баннера, особенно пугает неопытных пользователей

К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом. Картинка может быть откровенно порнографической, или наоборот - оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на некий кошелек WebMoney или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

Ни в коем случае нельзя выполнять требования злоумышленников. Следует помнить, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.

В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. (Какому оператору принадлежит короткий номер можну на этих ресурсах - kodtelefona.ru - для России, ktozvonit.com.ua - для Украины) В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится, так как такой способ не всегда приемлем - блокировщики последнее время все чаще пользуются платежными системами, напрмер запрос в арбитраж WebMoney ничем не поможет - в лучшем случае заблокируют кошелек, но это Windows разблокировать не поможет

При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.

Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.Web CureIt или Kaspersky Virus Removal Tool , скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).

Если вирус блокирует доступ к определённым ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\\WINDOWS\\System32\\drivers\\etc\\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере (CCleaner Вам в помощь).

В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.

При полной блокировке можно загрузиться в систему с помощью LiveCD и попытаться удалить трояна при помощи антивирусов.

Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.

Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь, необходимо проверить ветку HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit - C:\\WINDOWS\\System32\\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_CURRENT_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run. В случае обнаружения подозрительных записей их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.

Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\\WINDOWS\\System32\\DLLCACHE.

Троян может создавать раздел HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел.

Одна из последних версий трояна не делает ничего из вышеперечисленного, а создает файл с именем по типу 0.5887702400506266.exe в корневой папке профиля пользователя и прописывает в реестре по адресу любой ветки, откуда может производиться автозапуск (например, HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options) раздел с непонятным именем. Если на компьютере есть второй профиль администратора, то его легко вычистить, зайдя из под другого профиля, просто удалив файл и ветку реестра. Однако было замечено, что бесплатные и платные антивирусы не реагируют на файл. Также можно найти и удалить этот файл, войдя в Windows через безопасный режим.

Итак, это были общие рекомендации, а теперь перейдем к более детальному рассмотрению проблемы. Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом. Если вы являетесь представителем бизнеса или столкнулись с подобной проблемой на офисной машине, рекомендуем обратиться к профессионалам для обслуживания компьютеров в офисе . И от троянов вылечат, и принтерр/МФУ настроят и другие проблемы решат.

2. Надеемся на честность вирусмейкеров

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний - смотрите примеры ниже. Но, как ни крути, такой метод работает все реже и реже - в практике Вашего покорного слуги разблокировать Windows с помощью кода разблокировки получается примерно один раз десяти-двенадцати заражений.

Зайти в специализированные разделы сайтов «Доктор Веб» , «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! , Eset NOD или Kaspersky Virus Removal Tool .

3. Если б я имел коня...

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win+R. Вот как выглядит подозрительный процесс в System Explorer . Конечно, стоит сказать, что для этого нужен предустановленный сторонний менеджер процессов.

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

Файл -> Новая задача (выполнить) -> c:\\Windows\\explorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна - каталоги временных файлов пользователя, "Мои документы", системные каталоги (WINDOWS, system32 etc) и каталоги браузеров. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns . Также можно использовать очень популярный CCleaner .

4. Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN+R, напишите notepad и нажмите ENTER. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот — коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки. Еще раз повторюсь - это относится к разряду довольно примитивных троянов, такой способ помогает в трети случаев.

5. Если б конь имел меня...

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты. В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER - запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Подробнее - . Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

В нём выбираем команду «вставить» и нажимаем ENTER. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли — файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

6. Доктор, Вы меня вылечите?..

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых - воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk . Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker . Также можно использовать ERD Commander или Windows XPE, такой пример будет рассмотрен позже.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12, F11 либо сочетание клавиш - подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме - пошаговую инструкцию на сайте разработчика.

7. Русский вирус влезет и BIOS

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

Bootrec.exe/FixMbr

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

8. Сестра, стакан кефиру и скальпель, будем вскрывать больного!

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Другой случай, когда сторонний редактор реестра сам не подключает файлы реестра зараженной ОС - в такой ситуации ему их нужно "подсунуть". Делается это следующим образом (актуально для способа №8 (про подключение зараженного жесткого диска к другому ПК) :

1. Запускаем редактор реестра (штатный или сторонний).

2.Выделяем ветку HKEY_LOCAL_MACHINE и жмакаем на Файл -> Загрузить куст .

3. Указываем путь до файл [диск на котором лежит зараженная ОС]:/windows/system32/config/software

4. Затем, редактор реестра предложит назвать загружаемый куст, главное чтобы название не совпало с существующей веткой - называете как угодно, например Winlocked .

5. Куст реестра с зараженной винды и даст возможность подправить ее.

6. Переходим по следующему пути: и ищем запись «Userinit Active Directory .Вы со своего рабочего (администраторского) ПК запускаете редактор реестра на своем рабочем компьютере и с помощью команды «Файл -> Подключить сетевой реестр » ищете зараженную машину в домене. Служба удаленного реестра должна быть заущена. Остальное по описанию выше.

9. Секир башка...

Последний способ избавиться от блокировщика, format C: /s ,как бы намекакет нам о том, что на диске С:/ , то есть на системном разделе нужно держать только систему и боле ничего. К слову, для многих бывает открытием, что папки "Рабочий стол", "Мои документы" и т.п. также находятся на диске С:/ . Если все способы пробовать лень, или некоторые недоступны в силу каких-то причин, остается только сносить операционную систему с форматированием системного раздела, как правило, локального диска С:/ , и инсталлировать новую и чистую ОС. Но этот способ - крайняя мера. К нему не стоит прибегать сразу, ведь тот Trojan.Winlock может оказаться примитивным и Вы от него быстро избавитесь.

10. Противогрибковое...

Для предотвращения повторного заражения следует установить любой антивирус (из личного опыта скажу, что Касперский, Avast и AVG - справляются на "ура") с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

• отключите автозапуск со сменных носителей;
• устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
• всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
• блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
• своевременно устанавливайте обновления браузеров, общих и системных компонентов;
• выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.

В статье использованы материалы и изображения с сайта iXBT

В этой заметке я расскажу о том, как можно удалить порнобаннеры и СМС-блокировщики windows, для которых не нашлось никаких кодов разблокировки.

Как их можно поискать описано в предыдущей статье вот тут:

Для проведения мероприятий по чистке компьютера нам понадобятся:

• Незараженный компьютер (компьютер соседа, брата или кума тоже сойдет) — 1 штука
• Флешка или пустой компакт-диск (самый обычный USB-flash накопитель объемом минимум на 256 Мегабайт или CD/DVD-R болванка) — 1 штука
• Доступ к интернету (нужно будет скачать примерно 200 Мегабайт) — 1 штука
• Терпение и сообразительность — по 1 штуке

Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием пополнить счет или отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Для борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker . Утилита запускается при загрузке компьютера со специальной версии образа Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk , так и в текстовом.

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10 ).

2. Загрузка компьютера с Kaspersky Rescue Disk

Для записи Kaspersky Rescue Disk на СD/DVD-диск или USB-носитель вам потребуется незараженный компьютер, подключенный к сети Интернет.

1. Скачайте специальную версию образа Kaspersky Rescue Disk, в комплект которого включена утилита Kaspersky WindowsUnlocker.

5 . Журнал работы Kaspersky WindowsUnlocker

Журнал (лог) работы утилиты может понадобиться специалистам Службы технической поддержки при анализе вашего запроса. Вы можете отправить запрос через сервис Личный кабинет .Чтобы просмотреть журнал работы утилиты, выполните следующие действия:

1. На рабочем столе двойным щелчком откройте Диспетчер файлов (если вы работаете в текстовом режиме, закройтеМеню пользователя , нажав F10 ).

1. В меню Диспетчера файлов (в текстовом режиме — Midnight Commander ) найдите папку /var/kl (или /var/tmp в случае недоступности первой папки) и откройте ее.
2. В папке находится текстовый файл вида WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt . В этом файле находится журнал работы Kaspersky WindowsUnlocker .

После завершения работы с Kaspersky WindowsUnlocker перезагрузите компьютер и в параметрах BIOS на закладке Boot задайте в качестве загрузочного диска ваш жесткий диск.

Обновление от 17.12.2011

Кстати, зачастую после успешного удаления вируса, в системе остаются его «следы» в виде, например, заблокированного диспетчера задач.

Если у вас возникли какие-либо вопросы по использованию утилиты или при выполнении шагов инструкции, пишите либо в комментарии, либо .

Некоторым пользователям операционной системы Windows пришлось столкнуться с вирусами-вымогателями, которые блокируют рабочий стол, часть клавиш клавиатуры и практически все функции операционной системы. На экране, как правило, при этом появляется надпись, что ваш компьютер заблокирован за какие-нибудь неправомерные действия и чтобы разблокировать его, нужно уплатить определенный штраф, а в противном случае все данные с жесткого диска будут удалены. При заражении компьютера таким вирусом, вернуть операционную систему к работе может быть довольно непросто, ведь запустить антивирус или восстановление к последней точке у вас, увы, не выйдет. Также не получится и убрать процесс блокировщика посредством диспетчера задач, так как вирус блокирует и его. Что же делать, переустанавливать заново операционную систему? Не обязательно. Есть несколько способов, как избавиться от вируса-вымогателя, блокирующего ОС Windows, не переустанавливая при этом систему.

Разблокировка с помощью интернет-сервиса

Если у вас имеется доступ к другому компьютеру, то вы можете воспользоваться специальным интернет-сервисом от Dr. Web, предназначенным для разблокировки компьютера, зараженного вирусом-вымогателем. Находится данный сервис по адресу https://www.drweb.com/xperf/unlocker/ . Зайдя на сайт, вы сразу же увидите окно, в которое следует ввести номер телефона или электронного кошелька, на который баннер-блокировщик требует перевести деньги. После ввода нажмите кнопку Искать коды .

Если поиск прошел удачно, то внизу в результатах поиска вы увидите название вируса, заблокировавшего ваш компьютер, картинку с его изображением, а немного правее - код для его разблокировки. Запомните или запишите этот код и введите его в соответствующее поле в окне баннера-вымогателя.

Когда окно баннера пропадет, не спешите расслабляться, ведь вирус хоть и неактивен, но все же никуда не делся с вашего компьютера. Для удаления вируса вы можете запустить проверку на вирусы при помощи установленной у вас антивирусной программы или же воспользоваться бесплатной лечащей антивирусной утилитой Dr. Web Curelt. Скачать данную программу можно на официальном сайте Dr. Web, находится она в разделе Скачать>Лечащие утилиты .

Пользоваться утилитой Dr. Web Curelt крайне просто – достаточно лишь запустить программу и нажать на кнопку Начать проверку . После этого Dr. Web Curelt автоматически произведет проверку разделов вашего компьютера на наличие вредоносного кода и удалит вирусные программы, блокировавшие работу операционной системы.

Удаление вируса из реестра

В том случае если на сайте не нашлось кода для разблокировки вируса или у вас нет возможности воспользоваться услугами онлайн-сервиса Dr. Web, можно попытаться вручную подкорректировать параметры системного реестра, в которых прописался вирус-блокировщик. Перезагрузите компьютер и во время начала загрузки нажмите клавишу F8 (выбор способа загрузки). Далее должен появиться список, в котором вам нужно выбрать Безопасный режим с поддержкой командной строки .

После загрузки Windows в безопасном режиме в командной строке пишете regedit и нажимаете Enter . В появившемся окне системного реестра вам нужно будет перейти по ветке HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>Current Version>Winlogon . Нажимаете на пункт Winlogon и в правой части окна реестра ищете пункты Shell и Userinit , так как именно в них зачастую прописывается вирус-блокировщик. Ниже на картинке показано, как должны правильно выглядеть данные параметры реестра.

Если в параметрах вашего реестра указан другой путь, вам нужно его скопировать в буфер обмена, а затем вернуться в командную строку и прописать команду del, а после пробела вставить полный путь к вирусному файлу и нажать Enter . Также данную процедуру нужно повторить и для другого параметра реестра. После удаления файлов вируса необходимо исправить параметры реестра Shell и Userinit, а затем провести генеральную «уборку» компьютера при помощи антивируса.

Загрузка с Live CD

Иногда также помогает «вылечить» компьютер проверка на вирусы из под чистой системы. Для этого пригодится флешка или диск с записанным образом Live CD. Live CD представляет собой образ операционной системы, который может работать без установки на компьютер. Скачать образ Live CD можно на официальном сайте Dr. Web в разделе Скачать>Dr.Web Live CD .

Восстановление загрузочной записи

Иногда встречаются вирусы-блокировщики, которые не видны ни в автозапуске ни в системном реестре, также их трудно обнаружить с помощью антивирусного сканера. Такие вирусы прописывают свой вредоносный код прямо в исходный код главной загрузочной записи MBR. В этом случае восстановить работоспособность системы вам поможет установочный диск Windows. Загружаетесь с установочного диска, нажимаете кнопку R (для вызова консоли восстановления) и пишете следующие команды Bootrec.exe /FixMbr и Bootrec.exe /FixBoot (команды нужно вводить по отдельности, подтверждая каждую нажатием Enter).

После выполнения восстановления главной загрузочной записи компьютер автоматически будет перезагружен (не забудьте перед загрузкой вынуть установочный диск). Если операционная система загрузится успешно, следует выполнить чистку компьютера при помощи антивируса или вирусного сканера.

Существует несколько способов избавиться от баннера вымогателя. Самое надёжное удаление этого вируса-это вручную. Как говорят ручная работа больше ценится .

Но, не каждому под силу разобраться в системных файлах. Так как для меня, это каторжная работа, я отдаю предпочтение предназначенным для этого программам или сервисам.

Приведу вам пример самого простого метода, поскольку знание программирования здесь не нужны. Нам в этом помогут специальные сервисы от антивирусных компаний таких как Dr.Web (Доктор Веб) и ESET NOD32

Что такое «баннер вымогатель » ?
Его еще называют «блокирующее окно » или «блокиратор экрана ».

На самом деле это троянский вирус, которого зовут «trojan winlock « И самое интересное то, что антивирусные программы его не видят, так как он маскируется и придает облик системного файла.

Он блокирует экран монитора и не даёт возможность войти в систему windows. При этом мышка и клавиатура становится парализованными и не реагируют не на какие действия с вашей стороны. Операционная система становится неработоспособной даже после перезагрузки компьютера. Вирус находится в автозагрузке. То-есть запускается вместе с операционной системой и успевает обезоружить антивируску.

Разработчики этого «trojan winlock » надежно позаботились о том, чтобы вы сами отдавали им деньги. Всплывающие окна бывают разные, но смысл содержит один и тот же-заставить вас заплатить за то, что якобы они разблокируют ваш компьютер. На картинке ниже надпись в окне.

За просмотр или посещение запрещённых интернет ресурсов Microsoft Windows Internet Security блокировал вашу систему.

А по сути, кто может запретить просмотр сайтов которые находятся в общем доступе. Там же не написано “не заходи-убьёт”. Значит, это не тысячи пользователей интернета нужно штрафовать. а как раз пару запрещённых сайтов. Видите, логики нет.

В окне устрашающая надпись,

Попытка перезагрузить или переустановить систему может привести к потере важной информации и нарушения работы компьютера.

Если течение 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая windows и bios БУДУТ БЕЗВОЗВРАТНО УДАЛЕНЫ! попытка переустановить систему приведёт к нарушениям работы компьютера.

Которая психологически вас атакует и под воздействием страха утерять все данные с компьютера, отдаёте им свои деньги. И все! На этом процесс разблокировки закончен. Ну сами подумайте. Перевели на банковскую карточку мошенникам деньги, а куда код разблокировки они вам пришлют? Да и возится с вами ни кто не собирается.

В большинстве случаев вымогатели предлагают оплатить суму на какой-то номер телефона. или виртуальные интернет кошельки WebMoney либо Яндекс Кошелек . Сразу видно, что это не законно. Ну какая же государственная служба будет принимать оплату за услугу или штраф на номер телефона?

Им так спокойней, так как вычислить владельца данного номера будет сложно. А вот по банковской карточке можно пробить некоторые данные, такие как: адрес проживания, Фамилию и даже фотографию владельца счёта.

Хочу развеять один распространённый миф. Судя по надписям или картинкам в окне блокирующего баннера, жертвы заблокированного экрана верят в то, что действительно подхватили вирус на сайте с порно тематикой. Далеко не правда! Хотя и этот вариант я не вычёркиваю. «trojan winlock» можно подхватить на любом хорошем сайте. В моем случае это был не плохой музыкальный сайт. Вот и заразился два раза вирусом при скачивание музыки.

Его даже могут заправить в простой текстовый файл, после чего поменять расширение на “bat” и всё готово. Остаётся лишь щёлкнуть по нему мышкой для запуска.

Хакеры продолжают добиваться своего, а антивирусные компании им по рукам бить.

Смотрите видео, как избежать этой проблемы.

• Dr.Web

• Сервис разблокировки компьютеров ESET NOD32

• Аварийное восстановление системы с диска CD/DVD или загрузочного USB-накопителя Скачать утилиту Dr.Web

• Аварийное восстановление системы с помощью CD Скачать утилиту ESET NOD32

• Аварийное восстановление системы с помощью CD Скачать утилиту Kaspersky

Это полезно знать:

Борьба с троянцами семейства WinLock и MbrLock

(блокировщики Windows)

Актуальность вопроса

Троянцы, блокирующие работу Windows, с сентября 2009 года - одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов - блокировщики Windows. Общее название подобных вредоносных программ - Trojan.Winlock.XXX, где XXX - номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.

Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.

Вот классический пример внешнего вида программы Trojan.Winlock:

Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.

Наша задача - научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.

Внимание! В текстах многих блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows все данные будут уничтожены» и т. д.). В основном это не более чем блеф.

Алгоритм действий по борьбе с Trojan.Winlock

Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:

1. Подбор кода разблокировки.

Коды разблокировки ко многим троянцам уже известны и занесены в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/ и попробуйте подобрать код. Инструкция по работе с базой разблокировки: http:// support. drweb. com/ show_ faq? qid=46452743& lng= ru

Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.

Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.

Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,

в поле Текст - текст сообщения.

Если сгенерированные коды не подошли - попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме кода, может быть выдана другая информация:

Win+D to unlock - нажмите комбинацию клавиш Windows+D для разблокировки.

any 7 symbols - введите любые 7 символов.

Воспользуйтесь генератором выше или use generator above - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Используйте форму или Пожалуйста, воспользуйтесь формой - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Если подобрать ничего чего не удалось

2. Если система заблокирована частично. Этот шаг относится к случаям, когда баннер «висит» в середине экрана, не занимая его целиком. Если доступ заблокирован полностью - переходите сразу к шагу 3. Диспетчер задач при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить вредоносный процесс обычными средствами нельзя.

Пользуясь остатками свободного пространства на экране, сделайте следующее:

1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус благополучно удален, дело можно считать сделанным, если ничего не найдено - переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу, перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если запуск удался -
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет процесс,
который отвечает за работу баннера.

3. Если доступа нет совсем. Обычно блокировщики полностью загромождают баннером экран, что делает невозможным запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB http://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему. Если нет - переходите к шагу 4 .

4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец - новинка, и искать его придется вручную.

Для удаления блокировщика вручную необходимо получить доступ к реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.

Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Путем подмены системных файлов(одного или нескольких) запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).

Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:

C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat

В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.

Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:

Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software , задайте имя (например, текущую дату) для раздела и нажмите ОK.

В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell должен быть равен Explorer.exe . Если перечислены любые другие файлы - необходимо записать их названия и полный путь к ним. Затем удалить все лишнее и задать значение Explorer.exe .

Параметр userinit должен быть равен C:\Windows\system32\userinit.exe, (именно так, с запятой на конце, где C - имя системного диска). Если указаны файлы после запятой - нужно записать их названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием Microsoft\WindowsNT\CurrentVersion\winlogon . Если эта ветвь есть, ее необходимо удалить.

Microsoft\Windows\CurrentVersion\Run - ветвь содержит настройки объектов автозапуска.

Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:

Имена напоминают системные процессы, но программы запускаются из других папок
(например, C:\Documents and Settings\Dima\svchost.exe ).

Имена вроде vip-porno-1923.avi.exe .

Приложения, запускающиеся из временных папок.

Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe ).

Имена состоят из случайных комбинаций букв и цифр
(например, C:\Documents and Settings\Dima\094238387764\094238387764.exe ).

Если подозрительные объекты присутствуют - их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.

Microsoft\Windows\CurrentVersion\RunOnce - тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.

Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Теперь необходимо проанализировать второй файл - NTUSER.DAT . Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст . В открывшемся окне укажите путь к файлу NTUSER.DAT , задайте имя для раздела и нажмите ОK.

Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.

Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.

Также обратите внимание на параметр Shell в ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon . Он должен иметь значение Explorer.exe . В то же время, если такой ветки нет вообще - все в порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:

Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.

Перенесите исправленные файлы реестра в соответствующие папки на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов). Файлы, информацию о которых вы записали в ходе работы - сохраните на флешке и удалите из системы. Их копии необходимо отправить в вирусную лабораторию компании «Доктор Веб» на анализ.

Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет - проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.

Внимание! Если после лечения с помощью Dr.Web LiveCD/USB компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:

Убедитесь, что в папке config находится один файл software . Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software - разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два - удалите более старый.

Если software один, а загрузка не происходит, высока вероятность, что система поражена «особенной» модификацией Winlock . Она прописывает себя в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , в параметр Shell и перезаписывает файл userinit.exe . Оригинальный userinit.exe хранится в той же папке, но под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего попробовать загрузиться с жесткого диска.

На каком бы из этапов ни кончилась битва с троянцем, необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и регулярно
обновляйте вирусные базы.