Главная-Полезно знать-Как разблокировать Windows от вируса-вымогателя. Разблокировка Windows: Как убрать баннер блокировки Windows

Как разблокировать Windows от вируса-вымогателя. Разблокировка Windows: Как убрать баннер блокировки Windows

Одной из таких ситуаций может стать блокирование рабочего стола windows вирусами — блокираторами рабочего стола, или как ещё их классифицируют Trojan.Winlock.origin, Trojan-Dropper.Win32.Blocker.a, Trojan-Ransom.Win32.Agent.af, Trj/SMSlock.A.

Вирус чаще всего пытается попасть в систему пользователя под видом электронных книг, аудиофайлов, видеороликов, полезных программ.

Будьте внимательны при скачке контента из сети обращайте внимание на расширение файла, не качайте и не открывайте через браузер файлы с расширением.exe.

При заражении Trojan.Winlock неопытный пользователь остаётся практически безоружным в ситуации, когда на компьютере становится невозможно работать, а в перспективе маячит возможность потери информации на всём компьютере.
Однажды Вам не повезло! Заражение вирусом-блокиратором состоялось. Что дальше? Hа экране, при загрузке операционной системы Windows, чаще всего сообщение о том, что кто-то на вашем компьютере, якобы, посещал запрещённые или порно ресурсы в сети. В качестве наказания и для продолжения работы, Вы обязаны заплатить, посредством отправки денег на указанный кошелёк, получения SMS кода и последующего его ввода для разблокировки.

Сделать что- либо для того, чтобы удалить вирусный блокиратор рабочего стола Windows , в обычном или безопасном режиме достаточно сложно из-за ограничений рабочей области мыши и служебных команд — комбинаций с клавиатуры, созданных вирусом, который заблокировал рабочий стол.

Антивирусные программы в режиме реального времени, чаще всего, не видят вирусы- блокираторы рабочего стола и не могут их удалить. По крайней мере, так было раньше. Ведь по сути своей, эти программы, в классическом понимании, вирусами не являются.Они устанавливаются по-тихому на компьютер жертвы, делают запись в реестре, после перезагрузки блокируют рабочий стол банером, который по своей природе является всего лишь пользовательской оболочкой (custom shell) с ограничениями управления.

Несколько способов удалить вирус, блокирующий рабочий стол.

  1. Первый, самый простой, но самый длительный и неудобный при наличии на компьютере большого количества настроек и программ. . При этом способе теряется информация на рабочем столе, настройки программ, папка «мои документы» при расположении «по умолчанию».
  2. Скачать специальные life- cd, которые выпускают антивирусные компании для удаления вирусов при невозможности загрузки в нормальном режиме. Такой Life CD есть у Dr. WEB и других (можно найти в поисковике). Но у способа есть недостатки- если мы не подготовили такой диск до времени «Ч», то после блокирования экрана сделать это на своём компьютере достаточно сложно.
  3. Самый эффективный, и в тоже время требующий определённых знаний и опыта, Можно попробовать воспользоваться этим способом удаления Trojan.Winlock .
  4. Можно так же попробовать загрузиться с любого загрузочного диска (флешки) и почистить все темп %Temp% папки , браузеров, пользователя. Достаточно часто этот нехитрый способ оказывается эффективным.
  5. Воспользоваться онлайн сервисом подбора кодов для разблокирования экрана рабочего стола. Это самый очевидный и, в принципе, также эффективный способ.
  6. Как вариант, можно позвонить в сервис по ремонту компьютеров и заказать услугу по удалению вируса-блокиратора. Это тоже «вариант», но, надо признать, не бесплатный. В нашем сервисе при заказе услуги «установка Windows» с выездом на дом, офис- удаление любого вируса-блокиратора осуществляется совершенно бесплатно!

Одним из способов минимизации упомянутой проблемы является выключение компьютера при каждом покидании своего рабочего места. В таком случае потенциальному шпиону при желании добраться до защищенных файлов придется проходить процедуру входа в систему. Очевидно, что такой способ является очень непрактичным и неудобным.

Существует ли более удобный способ? Конечно же, и заключается он в блокировке доступа к компьютеру перед покиданием рабочего места. В этом случае любой желающий воспользоваться компьютером будет вынужден вводить пароль для получения доступа к рабочему столу Windows.

Блокировка компьютера вручную

В Windows 7 предлагаются три способа блокировки компьютера перед покиданием рабочего места.

  • Выбор в меню Пуск команды Завершение работы > Блокировать .

При регулярном возникновении необходимости блокировать компьютер стоит рассмотреть вариант превращения кнопки с командой Завершение работы в кнопку с командной Блокировать.

  • Одновременное нажатие клавиши с логотипом Windows и клавиши <L >.
  • Нажатие комбинации клавиш <Ctrl+Alt+Delete > и затем щелчок на варианте Блокировать компьютер.

В случае применения любого из этих способов далее появляется экран регистрации Windows. Важно обратить внимание на то, что на нем под именем пользователя отображается слово “Заблокировано”.

Автоматическая блокировка компьютера

В приемах блокирования, описанных в предыдущем разделе, нет ничего сложного; главная трудность - помнить о необходимости их применения. Например, опаздывая на какое-нибудь совещание или встречу, кто вспомнит о том, что нужно заблокировать компьютер? В подобных ситуациях обычно бывает так, что человек приходит в назначенное место и только потом вспоминает, что забыл заблокировать свой ПК, после чего начинает мучатся от мысли о том, что оставил свой компьютер незащищенным.

Во избежание подобных сложностей (не говоря о возможном проникновении) лучше настроить компьютер так, чтобы он блокировался автоматически по истечении определенного периода отсутствия активности со стороны пользователя. В прежних версиях Windows для обеспечения подобного поведения требовалось использовать экранную заставку, и Windows 7 тому не исключение. Необходимые шаги приведены ниже.

  1. Щелкните правой кнопкой мыши на рабочем столе и выберите в контекстном меню пункт Персонализация, чтобы открыть окно Персонализация.
  2. Щелкните на значке Экранная заставка.
  3. Если необходимо, чтобы после пребывания ПК в состоянии простоя некоторое время, появлялась экранная заставка, выберите ее в списке Заставка.
  4. В поле счетчика укажите интервал простоя (в минутах), по истечении которого Windows 7 должна автоматически блокировать ПК.
  5. Установить отметку рядом с опцией Начинать с экрана входа в систему.
  6. Щелкните на кнопке ОК.

Клавиши блокировки компьютера

Защита учетной записи пользователя паролем в Windows 7 хоть и является замечательной идей, стопроцентной гарантии все равно не дает. Хакеры - весьма изобретательная публика, и некоторые наиболее сообразительные из них уже придумали, как взламывать систему паролей учетных записей. Их хитрость заключается в следующем: они устанавливают в системе вирус или программу типа “троянского коня” (обычно с помощью инфицированного электронного сообщения или вредоносного веб-сайта), которая сама себя загружает, когда пользователь включает компьютер.

Далее эта программа отображает фальшивую версию экрана приветствия Windows 7 и записывает вводимые на нем пользователем имя пользователя и пароль, после чего защита системы оказывается взломанной. Исключить вероятность попадания на такую хакерскую уловку в Windows 7 можно путем настройки системы так, чтобы пользователям перед входом требовалось нажимать комбинацию клавиш .

Нажатие этой клавиатурной комбинации гарантирует появление настоящего экрана приветствия Windows 7. Ниже перечислены шаги, необходимые для настройки такого поведения.

  1. Щелкните на кнопке Пуск, введите командная строка, в списке результатов поиска щелкните правой кнопкой мыши на варианте Командная строка и выберите в контекстном меню пункт Запуск от имени администратора. Появится диалоговое окно Контроль учетных записей пользователей. Введите в окне Контроль учетных записей пользователей свои учетные данные.
  2. В окне командной строки введите команду control userpasswords2 . Появится диалоговое окно Учетные записи пользователей.
  3. Перейдите на вкладку Дополнительно.
  4. Отметьте флажок Требовать нажатия CTRL+ALT+DELETE.
  5. Щелкните на кнопке ОК.

Продолжаем бороться с блокировщиками Windows, далее мы попытаемся дать несколько практических советов по борьбе с этим неприятным видом "троянов". Для начала напомним, что же такое троян блокировщик Windows . Итак, трояны ("троянские кони") семейства Winlock, известные как «блокировщики Windows», семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги», WebMoney), либо на баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Пример баннера, особенно пугает неопытных пользователей

К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом. Картинка может быть откровенно порнографической, или наоборот - оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на некий кошелек WebMoney или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

    Ни в коем случае нельзя выполнять требования злоумышленников. Следует помнить, что стоимость SMS может доходить до нескольких десятков долларов независимо от указанной в «интерфейсе» вируса. Практически во всех случаях после отправки SMS обещанный код разблокировки не приходит.

    В случае предлагаемой оплаты по SMS можно позвонить в службу поддержки контент-аггрегатора, которому принадлежит номер. (Какому оператору принадлежит короткий номер можну на этих ресурсах - kodtelefona.ru - для России, ktozvonit.com.ua - для Украины) В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится, так как такой способ не всегда приемлем - блокировщики последнее время все чаще пользуются платежными системами, напрмер запрос в арбитраж WebMoney ничем не поможет - в лучшем случае заблокируют кошелек, но это Windows разблокировать не поможет

    При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО.

    Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.Web CureIt или Kaspersky Virus Removal Tool , скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).

    Если вирус блокирует доступ к определённым ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\\WINDOWS\\System32\\drivers\\etc\\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере (CCleaner Вам в помощь).

    В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.

    При полной блокировке можно загрузиться в систему с помощью LiveCD и попытаться удалить трояна при помощи антивирусов.

    Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.

    Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь, необходимо проверить ветку HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit - C:\\WINDOWS\\System32\\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_CURRENT_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run. В случае обнаружения подозрительных записей их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.

    Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\\WINDOWS\\System32\\DLLCACHE.

    Троян может создавать раздел HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел.

    Одна из последних версий трояна не делает ничего из вышеперечисленного, а создает файл с именем по типу 0.5887702400506266.exe в корневой папке профиля пользователя и прописывает в реестре по адресу любой ветки, откуда может производиться автозапуск (например, HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options) раздел с непонятным именем. Если на компьютере есть второй профиль администратора, то его легко вычистить, зайдя из под другого профиля, просто удалив файл и ветку реестра. Однако было замечено, что бесплатные и платные антивирусы не реагируют на файл. Также можно найти и удалить этот файл, войдя в Windows через безопасный режим.

Итак, это были общие рекомендации, а теперь перейдем к более детальному рассмотрению проблемы. Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом. Если вы являетесь представителем бизнеса или столкнулись с подобной проблемой на офисной машине, рекомендуем обратиться к профессионалам для обслуживания компьютеров в офисе . И от троянов вылечат, и принтерр/МФУ настроят и другие проблемы решат.

2. Надеемся на честность вирусмейкеров

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний - смотрите примеры ниже. Но, как ни крути, такой метод работает все реже и реже - в практике Вашего покорного слуги разблокировать Windows с помощью кода разблокировки получается примерно один раз десяти-двенадцати заражений.

Зайти в специализированные разделы сайтов «Доктор Веб» , «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! , Eset NOD или Kaspersky Virus Removal Tool .

3. Если б я имел коня...

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win+R. Вот как выглядит подозрительный процесс в System Explorer . Конечно, стоит сказать, что для этого нужен предустановленный сторонний менеджер процессов.

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

Файл -> Новая задача (выполнить) -> c:\\Windows\\explorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна - каталоги временных файлов пользователя, "Мои документы", системные каталоги (WINDOWS, system32 etc) и каталоги браузеров. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns . Также можно использовать очень популярный CCleaner .

4. Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN+R, напишите notepad и нажмите ENTER. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот — коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки. Еще раз повторюсь - это относится к разряду довольно примитивных троянов, такой способ помогает в трети случаев.

5. Если б конь имел меня...

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты. В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER - запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Подробнее - . Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

В нём выбираем команду «вставить» и нажимаем ENTER. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли — файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

6. Доктор, Вы меня вылечите?..

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых - воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk . Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker . Также можно использовать ERD Commander или Windows XPE, такой пример будет рассмотрен позже.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12, F11 либо сочетание клавиш - подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме - пошаговую инструкцию на сайте разработчика.

7. Русский вирус влезет и BIOS

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

Bootrec.exe/FixMbr

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

8. Сестра, стакан кефиру и скальпель, будем вскрывать больного!

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Другой случай, когда сторонний редактор реестра сам не подключает файлы реестра зараженной ОС - в такой ситуации ему их нужно "подсунуть". Делается это следующим образом (актуально для способа №8 (про подключение зараженного жесткого диска к другому ПК) :

1. Запускаем редактор реестра (штатный или сторонний).

2.Выделяем ветку HKEY_LOCAL_MACHINE и жмакаем на Файл -> Загрузить куст .

3. Указываем путь до файл [диск на котором лежит зараженная ОС]:/windows/system32/config/software

4. Затем, редактор реестра предложит назвать загружаемый куст, главное чтобы название не совпало с существующей веткой - называете как угодно, например Winlocked .

5. Куст реестра с зараженной винды и даст возможность подправить ее.

6. Переходим по следующему пути: и ищем запись «Userinit Active Directory .Вы со своего рабочего (администраторского) ПК запускаете редактор реестра на своем рабочем компьютере и с помощью команды «Файл -> Подключить сетевой реестр » ищете зараженную машину в домене. Служба удаленного реестра должна быть заущена. Остальное по описанию выше.

9. Секир башка...

Последний способ избавиться от блокировщика, format C: /s ,как бы намекакет нам о том, что на диске С:/ , то есть на системном разделе нужно держать только систему и боле ничего. К слову, для многих бывает открытием, что папки "Рабочий стол", "Мои документы" и т.п. также находятся на диске С:/ . Если все способы пробовать лень, или некоторые недоступны в силу каких-то причин, остается только сносить операционную систему с форматированием системного раздела, как правило, локального диска С:/ , и инсталлировать новую и чистую ОС. Но этот способ - крайняя мера. К нему не стоит прибегать сразу, ведь тот Trojan.Winlock может оказаться примитивным и Вы от него быстро избавитесь.

10. Противогрибковое...

Для предотвращения повторного заражения следует установить любой антивирус (из личного опыта скажу, что Касперский, Avast и AVG - справляются на "ура") с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

  • отключите автозапуск со сменных носителей;
  • устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
  • всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
  • блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
  • своевременно устанавливайте обновления браузеров, общих и системных компонентов;
  • выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.

В статье использованы материалы и изображения с сайта iXBT

В последнее время компьютерные вирусы в виде вымогательских блокировщиков стали очень популярны. Сейчас они занимают львиную долю среди самых распространенных вредоносных программ. В их коде нет одной из важнейших функций — скрываться от глаз пользователя, действовать невидимо. Вместо этого окно вируса закрывает весь экран, не позволяя использовать никакие другие функции ОС. Также отключается большинство горячих клавиш, при помощи которых можно было бы завершить процесс вируса (Alt+F4, Alt+Ctrl+Delete, Alt+Shift, Ctrl+Esc, Alt+Esc и другие).

Инструкция

В окне вредоносной программы вымогатели размещают информацию с требованием отправить определенную денежную сумму на счет одной из платежных систем или пополнить номер мобильного телефона. После этого обещают прислать код разблокировки, который позволит закрыть окно вируса. Доверять этой информации нельзя ни в коем случае: как показывает практика, ответ никогда не приходит.

Чтобы обезопасить себя от появления на компьютере этой вредительской программы, необходимо всегда использовать активную вирусную защиту при путешествии по интернету и не запускать скачанные подозрительные приложения. Если вирус всё-таки смог внедриться и запуститься, удалить его будет трудно. Предлагаем три самых простых и эффективных способа борьбы с этой напастью.

Первое, что стоит попробовать в самом начале, это воспользоваться помощью специальных сервисов со списком кодов в интернете. Для этого на другом работающем компьютере в любом поисковике набираем строки “смс касперский” или “разблокировка доктор вэб”. Переходим по первой ссылке и видим на сайте строку для ввода. Сюда необходимо внести номер телефона или кошелька, на который вымогатели требуют переслать деньги. После проверки система выдаст код, которым можно снять блокировку. Если все получилось удачно и окно с шантажом исчезло, до перезагрузки скачиваем или AVZ. Ими можно проверить жесткий диск и удалить заразу окончательно.

Если к работающему нормально компьютеру нет доступа, то воспользуемся небольшими хитростями заблокированной ОС. Очень повезло, если вместо диспетчера задач по нажатию Alt+Ctrl+Delete открывается калькулятор. Идем в меню “Справка”, “О программе” и жмем на ссылку “Условия лицензионного соглашения…”. Откроется блокнот. В окне “Файл”, “Открыть” можно найти любой файл на жестком диске и запустить его через контекстное меню. Таким образом можно запустить Internet Explorer, скачать вышеперечисленные программы и запустить антивирусную проверку.

Вторая хитрость заключается в использовании высокоприоритетной страницы с центром специальных возможностей Windows, которая вызывается горячими клавишами Win+U. Здесь можно прямо в строке адреса зайти на необходимые страницы в интернете (например, набрать адрес google.com), скачать нужные для лечения утилиты и посетить страницы с поиском кодов.

Следующий способ также не потребует наличия второго работающего компьютера. Загружаемся в безопасном режиме с поддержкой командной строки (при загрузке до появления логотипа часто нажимать F8). Здесь в диалоговом окне вводим regedit. В левой колонке открывшегося редактора реестра находим ключ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\winlogon, в нем запоминаем содержимое параметра shell и меняем его на explorer.exe. Далее ищем путь HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options и просто удаляем параметр taskmgr.exe со всеми вложениями. Закрываем редактор реестра и правильно перезагружаемся, чтобы изменения сохранились. Для этого набираем в той же командной строке explorer.exe и проделываем все через стандартное меню “Пуск”. После загрузки в обычном режиме необходимо пойти по запомненному ранее пути параметра shell и удалить вирус вручную.

После каждой ручной операции строго рекомендуется делать полную проверку на вирусы. Практически у каждой вредоносной программы есть код копирования себя в другие места на жестком диске, поэтому велик шанс повторного ее запуска. Для лечения хорошо иметь под рукой работающий компьютер, но и без оного все получится, стоит только набраться терпения.

На данный момент в интернете существуют тысячи различных блокировщиков (блокираторов,блокеров) Windows .Все они направлены на одно - заблокировать любые действия пользователя компьютера и вымогать деньги за его разблокировку посредством отправки смс - сообщений на короткие номера.Некоторые из этих блокировщиков (блок баннеров ,как их еще называют) блокируют работу компьютера не полностью. Вполне можно извернуться и запустить диспетчер задач и убить назойливый процесс. Однако считайте что вам повезло если вам попался такой баннер-недолделка. Зачастую ситуация складывается гораздо хуже и баннер полностью блокирует компьютер,включая блокировку работы клавиатуры.Однако не стоит отчаиваться,процесс лечения баннеров-вымогателей не так уж и сложен. Главное "знать как". О том как удалить блокиратор Windows мы и поговорим далее...

ВНИМАНИЕ: НИ В КОЕМ СЛУЧАЕ НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ БЛОКИРОВЩИКА ПОСРЕДСТВОМ ОТПРАВКИ СМС,НЕСМОТРЯ НА УГРОЗЫ УДАЛЕНИЯ ФАЙЛОВ И Т.Д.

Все баннеры работают по одному принципу. А точнее сказать по одинаковым принципам, которых всего два с различными их модификациями. Рассмотрим их:

1. В первом случае блокировщик записывает свое тело в автозагрузку Windows, через системный реестр. В результате после загрузки отображается уже запущенный баннер вместо рабочего стола Windows. Все остальные возможности работы с компьютером заблокированны . В этом случае требуется исправить системный файл реестра. Сделать это можно двумя способами. Либо подсоединить жесткий диск зараженного компьютера к работоспособному и исправить файл реестра на работоспособной машине(риск заражения при этом минимален). Либо можно загрузиться с Live CD на зараженной машине и исправить файл реестра непосредственно на ней.

Порядок действий:

Отключите Интернет и локалку.

Нужно Загрузиться с Live CD, например, WindowsPE, DrWebLiveCD, Alkid Live CD.

Во время загрузки жмите кнопку del на стационарном компьютере или f2/f10 на ноутбуке(в зависимости от модели) для входа в BIOS . Далее нужно выставить загрузку компьютера с CD-ROM .

Компьютер загрузится с CD-диска.

Загрузить зараженный куст реестра в редактор. Обычно загрузить файл реестра можно выбрав кусты HKEY_USERS и HKEY_LOCAL_MACHINE и нажав Файл>Загрузить куст.Требуемый нам файл куста находится в %systemroot%\system32\config файл software.

После загрузки куста перейдите в этом кусте по адресу:

- и исправьте значения строкового параметра Shell на Explorer.exe, если оно отлично от данного значения;

Проверьте значение строкового (REG_SZ) параметра Userinit -правильное значение C:\Windows\system32\userinit.exe или

%systemroot%\system32\userinit.exe

По адресу: - удалите (если они там присутствуют) параметры загрузки вируса;

Выгрузите куст и закройте редактор реестра

Верните загрузку ПК с жесткого диска,сохраните параметры(F10,затем ENTER)

Загрузите Windows в обычном режиме (если после перезагрузки ПК появится BSOD, выключите ПК с помощью кнопки Power на системном блоке и снова включите). Система загрузится.

Так же действия с файлом системного реестра можно произвести на здоровом компьютере при подключении жесткого диска от зараженного(заражение в таком случае невозможно из-за принципа работы блокеров)

Профилактика:

Для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information )

Очистите кэш интернет-файлов

При необходимости восстановите оригинальный hosts-файл

При необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7), восстановите загрузку в Безопасном режиме

При необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig

Перезагрузите ПК;

Включите восстановление системы;

Просканируйте систему антивирусом со свежими базами. Например Doctor Web CureIT

2. Во втором случае блокировщик перезаписывает загрузочную запись жесткого диска.Тем самым подменяя загрузку Windows на загрузку своего тела.В итоге мы получаем компьютер со сразу загружающимся блокировщиком,минуя загрузку Windows.

Лечение:

Для лечения нам понадобится установочный диск Windows.

Как и с первым пунктом нужно будет активировать загрузку с CD - ROM.

В консоли выполнить последовательно комманды:

fixmbr

fixboot c:

(при условии,что С: -системный диск)

exit

Система должна загрузится.

Так же для решения проблемы с первым типом блокировщиковтак же можно попробовать подобрать пароль разблокировки.Для этого можно воспользоваться сервисами,предоставляемыми гигантами антивирусной индустрии "Доктор веб" ,"Лаборатория Касперского" и ESET .

Полезные советы:

1. Не стоит посылать деньги по указанным номерам, - ответа вы, скорее всего, не получите, просто отдадите денежки вымогателям, создавшим информер.

2. Баннер самостоятельно не ставится, - для его установки юзеру надо кликнуть по гиперссылкам, предлагающим скачать или флеш-плейер, или «халяву», или порно, и санкционировать установку. Поисковик вирусов и файервол частенько в таких случаях помочь не могут, здесь одна надежда - на здоровый рассудок пользователя (не ищи халявы - ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

3. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

4. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

5. Почаще делайте резервное копирование важной информации

6. Отключите автозапуск компакт-дисков, съемных дисков и флешек

7. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, - это нужно сделать вручную!

Похожие публикации: