Билайн 

Удаление блокировки windows. Как удалить блокировщик Windows (рекламный баннер)

Проблемы возникающие при получении на свой компьютер различных программ-вымогателей в виде баннеров-блокираторов, не являются чем то новым и неожиданным. Известны такие, совсем уж не честные способы отъема «кровных» у интернет-жителей, довольно давно. Баннеры — блокираторы со временем видоизменяются, камуфлируются под различные, вроде бы совсем безобидные и порой даже очень нужные, на взгляд неискушенного пользователя, программы.

В отношении баннеров-блокеров нарушающих работу системы, описано не мало методик избавления от заразы, но в основном затронуты простейшие и не глубоко окопавшиеся программы-вымогатели, не блокирующие в полном объеме работу операционной системы, то есть позволяющие выполнять пользователю конкретные задачи после загрузки системы. Все чаще стали появляться вопросы относительно тех случаев, когда вирус полностью блокирует систему сразу после загрузки, оставляя активным лишь пределы окна баннера.

Получая такую бяку к себе на машину(компьютер), пользователь чаще всего впадает в ступор, и это понятно, как тут не запаниковать, блокируются все сервисы и службы, системные утилиты и диспетчер задач становятся недоступны. В понимании простого пользователя это полная жо... Банальной зачисткой темповых папок, истории и кеша браузера здесь не обойтись. Тем более правка реестра в таких случаях просто не доступна, даже при запуске через безопасный режим. Вот именно о том, как в таких случаях можно победить заразу, мы с вами и поговорим сегодня, рассмотрим некоторые способы эффективного устранения банеров-блокираторов системы.

И так, что делать когда вы заполучили совсем не желанный сюрприз в виде баннера с убедительным требованием отправить СМС или пополнить счет, обозначенного в сообщении, телефона?

Способ 1 (копаем глубоко)

У вас тяжелый случай, проводник, меню «Пуск» и диспетчер задач полностью недоступны. Онлайн-сервисы типа бессильны.
Первым делом надо успокоится и не мельтешить, вся эта бяка создавалась людьми, а значит и удалить ее под силу каждому человеку, нужно лишь немного терпения.

Теперь по пунктам и без лишней лирики:

Главное: Не спешите переустанавливать !

  • Ни в коем случае не отправляйте смс и не пополняйте счет телефона злыдня .
  • При загрузке Windows смело жмете F8 или F5 , чаще эти клавиши выводят окно выбора вариантов загрузки — смотрите подсказку или инструкцию.
  • Выбираете Безопасный режим с поддержкой командной строки (когда простой безопасный режим не помогает)
  • Когда загрузитесь жмете три заветных клавиши: Alt+Ctr+Del , вызывая тем самым диспетчер задач.
  • В диспетчере делаем следующее: Файл — Новая задача(Выполнить) .
  • В открывшимся окошке пишите: (Добрались до редактора реестра, облегченно вздохнули...)
  • Идем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • В правом окне находим параметр Shell , у него должно быть значение explorer.exe и ничего другого.
  • А у вас там (скорее всего) в довесок и прописан путь к зараженному файлу. Стираете все лишнее, предварительно записав куда-нибудь путь до заразы, должно остаться только explorer.exe
  • Находите параметр userinit , у которого должно быть значение (удаляем там всё лишнее), не забываем записать на бумажке путь до вражины.

  • Далее необходимо проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» по умолчанию значение должно быть пустым, а значит при наличии какой бы то нибыло записи следует зачистить.

  • Постучав по дереву, помолясь или произнеся заклинание, перезагружаете ваш многострадальный компьютер и подхихикивая радуетесь воскрешению, от баннера не должно остаться и следа.
  • После перезагрузки зачищаете нечисть по заблаговременно записанным вами на бумажке путям, удаляете заразный файл без сомнений, не забыв почистить и корзину.

После всех проделанных манипуляций с реестром, чтобы окончательно покончить с заразой рекомендую проделать следующее:

Прибить (полностью удалить) на всех разделах HDD:
RECYCLER
System Volume Information

Удалить из каталогов:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Проверить корень каталога на подозрительные файлы:
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup
или

Таким вот не очень простым (просто вляпаться), но действенным способом вы всегда сможете избавиться от практически любого баннера-блокиратора или другой программы-вымогателя, поразившей вашу систему, особенно если другие методы оказались бессильны вам помочь.

Не плохо иметь под рукой один из , о которых я детально расписывал в одной из предыдущих статей, хотя стоит признать, что чаще всего приходится копать в ручную.

Способ 2 (простейший)

Метод устранения блокератора, о котором пойдет речь дальше, на самом деле прост до смешного, но походит только к определенным видам баннеров-вымогателей. Рассмотрим ситуевину когда вы зацепили на свой компьютер вредоносную программу(попросту вирус) Trojan.Winlock.5293 , блокирующий систему банером с требованием пополнить счет абонента МТС на номер телефона: +7987071641

Кода разблокировки вы не найдете, так как его просто не существует. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), но это не конец, лечение системы возможно и заложено, как ни странно в самом блокираторе. Что это ошибка злоумышленников или элементарный стеб, не знаю, главное решение проблемы существует и оно на поверхности.

А теперь, внимательно посмотрите на скрин баннера-зловреды! Если у вас при загрузке системы всплывает такая же болячка, просто в тексте сообщения баннера отыщите слово: «являются „ и нажмите на него. Все! Блокировщик исчезнет с рабочего стола и на какое то время откроет доступ к диспетчеру задач, редактору реестра, и другим инструментам Windows. Не откладывая в долгий ящик, следует зачистить все следы пребывания вредоносной программы в системе. Действуете по накатанной, т.е чистите пользовательскую папку Temp и удаляете исполняющую программу из автозагрузки. Расширение у программы-вредителя в большинстве случаев бывают следующего типа: .0xxxxxxxxxxxx.exe . Не забывайте копнуть в реестре на наличие сторонних записей (смотрим первый способ).

Способ 3 (восстановление системных файлов)

Давайте рассмотрим совсем уж сложный случай заражения, когда нет ни малейшей возможности загрузиться ни в одном из режимов. Ваша система блокируется вредоносной программой Trojan.Winlock.3278 , при загрузке вместо привычного рабочего стола всплывает страшный и ужасный бннер типа этого:

При заражении системы троянские программы такого типа извлекают из себя вредоносные файлы и подменяют ими системные файлы:

С:\Windows\System32\taskmgr.exe - диспетчер задач,
C:\Windows\System32\userinit.exe - файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe - резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe - резервная копия загрузчика.

Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения - в этом случае оригинальные файлы могут сохраняться в директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe .

Затем две копии троянца размещаются в папке C:\Documents and Settings\All Users\Application Data\ . Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe). Также троянец модифицирует ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon , задавая в параметр Shell=“C:\Documents and Settings\All Users\Application Data\22CC6C32.exe» .

Лечение:

Совсем плохо дело когда оригиналы файлов taskmgr.exe и userinit.exe удалены с компьютера. Для восстановления работоспособности системы необходимо выполнить следующие действия:

  • С помощью любого исправного ПК создайте загрузочный USB-накопитель и скопируйте на него файлы userinit.exe и taskmgr.exe , соответствующие вашей ОС. Скачать их можно по ссылке:
  • Загрузите зараженный ПК с Dr.Web LiveUSB. Для загрузки с USB-Flash/USB-HDD необходимо при загрузке кoмпьютера выбрать в меню загрузки соответствующий носитель. Это можно сделать либо в BiOS, либо в меню Quick Boot /вызывается в момент инициализации BiOS, обычно по клавишам Esc, F11, F12, F8 — смотрите подсказку или инструкцию/. USB-Flash часто в Quick Boot спрятано в подменю HDD (загрузочная флешка воспринимается как загрузочный винт). Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) — выбираем USB-HDD.
  • Проверьте ПК на с помощью сканера Dr.Web.

Если сканер обнаружил вредоносные файлы, к ним необходимо применить действие Удалить. Если это были файлы userinit.exe и taskmgr.exe, с помощью Midnight Commander восстановите их с загрузочного USB-накопителя. Для этого скопируйте (клавиша F5 ) файлы userinit.exe и taskmgr.exe с USB-накопителя в папку: C/Windows/System32 /.

Все! После всех треволнений и проделанных манипуляций, ваша система должна ожить. Хочу заметить, что вылечить систему можно не используя сканер Dr.Web, достаточно для начала восстановить системные файлы и в ручную выковырять заразу из пользовательской папки, а так же корня системы, тем более места расположения и примерные расширения вирусных файлов вам известны.

Смею тихо надеяться, что кому то да пригодятся способы расписанные в этой статье, если вы знаете другие методы борьбы с заразой такого рода, пишите в комментариях, так сказать делитесь опытом, пострадавшие оценят, тут уж точно "к бабке не ходи..."

С Уважением, Андрей

Как сегодня люди только не пытаются заработать денег, да и побольше, забывая то человеческое, что вложил в нас Господь. Просто удивляет, насколько люди теряют, обманывая и обворовывая других. Ведь Закон нашего мира, который гласит: «Что человек посеет, то и пожнет» еще никто не отменил. А через какое-то время возникают вопросы: «За что?».

В данной статье, дорогие читатели, я расскажу вам об одном из мошеннических действий, направленного на обворовывание ваших карманов — когда компьютер атакует выпущенный «умными» людьми вирус блокирующий ОС Windows, причем не важно, как версия у Вас операционная система — XP, 7, 8, 10 или другие. Наверняка Вы знаете о чем я, не так ли, по крайней мере думаю что многие из Вас сталкивался с подобной неприятностью? Да, да, я говорю о баннере-вымогателе , который появляется сразу после включения компьютера и блокирует Windows. На этом баннере может быть написано, что мол вы посмотрели какое-то запрещенное видео, и теперь Вам надо срочно отправить кому-то денег, например через Webmoney, и ответно получить СМС с кодом разблокировки операционной системы.

Даже не вздумайте никому ничего платить, т.к. никакие СМС с кодом разблокировки Вам не пришлют. Пусть этими злоумышленниками лучше Господь разбирается, а я Вам тем временем постараюсь помочь разблокировать компьютер.

Как «баннер вымогатель» попадает на компьютер?

1. Вирус «Баннер вымогатель» может попасть на компьютер вместе с бесплатными программами или играми, скачанными с сомнительных источников.

2. Если Вы качаете из интернета фото, музыку, видео и т.д., и эти файлы имеют расширение.exe (имя-файла.exe), вместо соответствующих.jpg, .mp3, .avi, .mkv (имя-файла.jpg).

3. Если на некоторых сайтах Вы видите баннер, который говорит, что мол Вам надо что-то обновить или переустановить, и нажимая на которые Вы переходите не на официальные сайты Ваших программ, а на их клоны.

4. Если на компьютере/ноутбуке не установлен антивирус, тогда вирус может проникнуть на компьютер просто со страницы различных сайтов.

Разблокировать Windows, т.е. убрать баннер вымогатель, из-за которого компьютер заблокирован можно следующими способами:

1. Переустановить Windows.
2. Почистить реестр Windows, т.е. убрать баннер из автозагрузки системы.
3. С помощью загрузочного диска со специальным антивирусным софтом (программами) для удаления вирусов из системы.

В сегодняшнем посте речь пойдет о втором способе – убрать баннер вымогатель из автозагрузки операционной системы.

Способ №1: Как разблокировать Windows с помощью чистки системного реестра

Как бы сложно это не звучало, на самом деле все просто. Просто придерживайтесь дальнейшей инструкции, и будьте внимательными.

1. Заходим в безопасный режим работы Windows. Для этого, после включения ПК, во время загрузки операционной системы нажимайте клавишу «F8» . Должен появиться черный экран, на котором можно выбрать варианты загрузки системы. Выбирайте «Безопасный режим» .

2. Когда Windows загрузится, нажмите сочетание клавиш «Win+R» . Или же «Пуск — Выполнить» .

3. В появившемся окошке введите: regedit

Важно! Если в «Безопасном режиме» также появляется баннер вымогатель, тогда снова перезагрузите ПК и через «F8», в меню выберите «Безопасный режим с поддержкой командной строки». Когда ПК загрузится и появиться черный экран с мигающим курсором, наберите также «regedit», и нажмите «Enter». Появиться то же окно с реестром.

4. Переходим по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon, и проверяем, чтобы следующие значения имели такие настройки:

Shell – напротив должно быть только «explorer.exe».
Userinit – напротив должно быть только «C:\Windows\system32\userinit.exe,». Если Windows установлен не на диск C:, то буква здесь будет иная.

Если значения отличаются, тогда исправьте, чтобы вышло так, как я написал выше. Для этого нажмите правой клавишей на строку, в которой нужно изменить значение, и выберите «Изменить».

5. Переходим по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Смотрим, чтобы здесь не было записей «Shell» и «Userinit». Если есть, удаляем их.

6. Проверяем следующие адреса на наличие подозрительных записей, типа – fgkthsinlr.exe , которые необходимо удалить:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если Вы не уверены, что та запись, которую Вы обнаружили, является вирусом, тогда нажмите на нее правой клавишей мышки, и выберите «Изменить». Значение поставьте «1». Таким образом, Вы отключите эту запись, и если что-то пойдет не так, сможете все исправить.

7. Перезагружаем компьютер и радуемся! Windows уже должен быть разблокирован.

Способ №2: Как разблокировать Windows с помощью утилит (антивирусного ПО)

Если Вам было сложно разобраться с разблокировкой компьютера методом чистки системного реестра Windows, тогда можете попробовать использовать специальные антивирусные утилиты (программы), с помощью которых это можно сделать всего в несколько кликов.

Программы для разблокировки Windows

AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
Kaspersky Rescue Disk : Скачать можно по этой ссылке: http://sms.kaspersky.ru/
Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
— утилита AVZ . Скачать можно по этой ссылке: http://www.z-oleg.com/secur/avz/download.php

В основном порядок действий по разблокированию компьютера с помощью утилит сводиться к записи их образов на флешку (USB накопитель), включить загрузку компьютера с USB, и во всплывающих окнах просто нажать «Старт», «Анти SMS», «Очистить» и т.д.

Подробнее о данных программах я напишу позже, а на сегодня все. Если у Вас что-то не получилось, пишите в комментариях, попробуем разобраться вместе.

Одной из таких ситуаций может стать блокирование рабочего стола windows вирусами — блокираторами рабочего стола, или как ещё их классифицируют Trojan.Winlock.origin, Trojan-Dropper.Win32.Blocker.a, Trojan-Ransom.Win32.Agent.af, Trj/SMSlock.A.

Вирус чаще всего пытается попасть в систему пользователя под видом электронных книг, аудиофайлов, видеороликов, полезных программ.

Будьте внимательны при скачке контента из сети обращайте внимание на расширение файла, не качайте и не открывайте через браузер файлы с расширением.exe.

При заражении Trojan.Winlock неопытный пользователь остаётся практически безоружным в ситуации, когда на компьютере становится невозможно работать, а в перспективе маячит возможность потери информации на всём компьютере.
Однажды Вам не повезло! Заражение вирусом-блокиратором состоялось. Что дальше? Hа экране, при загрузке операционной системы Windows, чаще всего сообщение о том, что кто-то на вашем компьютере, якобы, посещал запрещённые или порно ресурсы в сети. В качестве наказания и для продолжения работы, Вы обязаны заплатить, посредством отправки денег на указанный кошелёк, получения SMS кода и последующего его ввода для разблокировки.

Сделать что- либо для того, чтобы удалить вирусный блокиратор рабочего стола Windows , в обычном или безопасном режиме достаточно сложно из-за ограничений рабочей области мыши и служебных команд — комбинаций с клавиатуры, созданных вирусом, который заблокировал рабочий стол.

Антивирусные программы в режиме реального времени, чаще всего, не видят вирусы- блокираторы рабочего стола и не могут их удалить. По крайней мере, так было раньше. Ведь по сути своей, эти программы, в классическом понимании, вирусами не являются.Они устанавливаются по-тихому на компьютер жертвы, делают запись в реестре, после перезагрузки блокируют рабочий стол банером, который по своей природе является всего лишь пользовательской оболочкой (custom shell) с ограничениями управления.

Несколько способов удалить вирус, блокирующий рабочий стол.

  1. Первый, самый простой, но самый длительный и неудобный при наличии на компьютере большого количества настроек и программ. . При этом способе теряется информация на рабочем столе, настройки программ, папка «мои документы» при расположении «по умолчанию».
  2. Скачать специальные life- cd, которые выпускают антивирусные компании для удаления вирусов при невозможности загрузки в нормальном режиме. Такой Life CD есть у Dr. WEB и других (можно найти в поисковике). Но у способа есть недостатки- если мы не подготовили такой диск до времени «Ч», то после блокирования экрана сделать это на своём компьютере достаточно сложно.
  3. Самый эффективный, и в тоже время требующий определённых знаний и опыта, Можно попробовать воспользоваться этим способом удаления Trojan.Winlock .
  4. Можно так же попробовать загрузиться с любого загрузочного диска (флешки) и почистить все темп %Temp% папки , браузеров, пользователя. Достаточно часто этот нехитрый способ оказывается эффективным.
  5. Воспользоваться онлайн сервисом подбора кодов для разблокирования экрана рабочего стола. Это самый очевидный и, в принципе, также эффективный способ.
  6. Как вариант, можно позвонить в сервис по ремонту компьютеров и заказать услугу по удалению вируса-блокиратора. Это тоже «вариант», но, надо признать, не бесплатный. В нашем сервисе при заказе услуги «установка Windows» с выездом на дом, офис- удаление любого вируса-блокиратора осуществляется совершенно бесплатно!

В последнее время компьютерные вирусы в виде вымогательских блокировщиков стали очень популярны. Сейчас они занимают львиную долю среди самых распространенных вредоносных программ. В их коде нет одной из важнейших функций — скрываться от глаз пользователя, действовать невидимо. Вместо этого окно вируса закрывает весь экран, не позволяя использовать никакие другие функции ОС. Также отключается большинство горячих клавиш, при помощи которых можно было бы завершить процесс вируса (Alt+F4, Alt+Ctrl+Delete, Alt+Shift, Ctrl+Esc, Alt+Esc и другие).

Инструкция

В окне вредоносной программы вымогатели размещают информацию с требованием отправить определенную денежную сумму на счет одной из платежных систем или пополнить номер мобильного телефона. После этого обещают прислать код разблокировки, который позволит закрыть окно вируса. Доверять этой информации нельзя ни в коем случае: как показывает практика, ответ никогда не приходит.

Чтобы обезопасить себя от появления на компьютере этой вредительской программы, необходимо всегда использовать активную вирусную защиту при путешествии по интернету и не запускать скачанные подозрительные приложения. Если вирус всё-таки смог внедриться и запуститься, удалить его будет трудно. Предлагаем три самых простых и эффективных способа борьбы с этой напастью.

Первое, что стоит попробовать в самом начале, это воспользоваться помощью специальных сервисов со списком кодов в интернете. Для этого на другом работающем компьютере в любом поисковике набираем строки “смс касперский” или “разблокировка доктор вэб”. Переходим по первой ссылке и видим на сайте строку для ввода. Сюда необходимо внести номер телефона или кошелька, на который вымогатели требуют переслать деньги. После проверки система выдаст код, которым можно снять блокировку. Если все получилось удачно и окно с шантажом исчезло, до перезагрузки скачиваем или AVZ. Ими можно проверить жесткий диск и удалить заразу окончательно.

Если к работающему нормально компьютеру нет доступа, то воспользуемся небольшими хитростями заблокированной ОС. Очень повезло, если вместо диспетчера задач по нажатию Alt+Ctrl+Delete открывается калькулятор. Идем в меню “Справка”, “О программе” и жмем на ссылку “Условия лицензионного соглашения…”. Откроется блокнот. В окне “Файл”, “Открыть” можно найти любой файл на жестком диске и запустить его через контекстное меню. Таким образом можно запустить Internet Explorer, скачать вышеперечисленные программы и запустить антивирусную проверку.

Вторая хитрость заключается в использовании высокоприоритетной страницы с центром специальных возможностей Windows, которая вызывается горячими клавишами Win+U. Здесь можно прямо в строке адреса зайти на необходимые страницы в интернете (например, набрать адрес google.com), скачать нужные для лечения утилиты и посетить страницы с поиском кодов.

Следующий способ также не потребует наличия второго работающего компьютера. Загружаемся в безопасном режиме с поддержкой командной строки (при загрузке до появления логотипа часто нажимать F8). Здесь в диалоговом окне вводим regedit. В левой колонке открывшегося редактора реестра находим ключ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\winlogon, в нем запоминаем содержимое параметра shell и меняем его на explorer.exe. Далее ищем путь HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options и просто удаляем параметр taskmgr.exe со всеми вложениями. Закрываем редактор реестра и правильно перезагружаемся, чтобы изменения сохранились. Для этого набираем в той же командной строке explorer.exe и проделываем все через стандартное меню “Пуск”. После загрузки в обычном режиме необходимо пойти по запомненному ранее пути параметра shell и удалить вирус вручную.

После каждой ручной операции строго рекомендуется делать полную проверку на вирусы. Практически у каждой вредоносной программы есть код копирования себя в другие места на жестком диске, поэтому велик шанс повторного ее запуска. Для лечения хорошо иметь под рукой работающий компьютер, но и без оного все получится, стоит только набраться терпения.

Борьба с троянцами семейства WinLock и MbrLock

(блокировщики Windows)

Актуальность вопроса

Троянцы, блокирующие работу Windows, с сентября 2009 года - одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов - блокировщики Windows. Общее название подобных вредоносных программ - Trojan.Winlock.XXX, где XXX - номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.

Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.

Вот классический пример внешнего вида программы Trojan.Winlock:

Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.

Наша задача - научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.

Внимание! В текстах многих блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows все данные будут уничтожены» и т. д.). В основном это не более чем блеф.

Алгоритм действий по борьбе с Trojan.Winlock

Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:

1. Подбор кода разблокировки.

Коды разблокировки ко многим троянцам уже известны и занесены в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/ и попробуйте подобрать код. Инструкция по работе с базой разблокировки: http:// support. drweb. com/ show_ faq? qid=46452743& lng= ru

Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

    Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.

    Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.

    Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,

    в поле Текст - текст сообщения.

    Если сгенерированные коды не подошли - попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме кода, может быть выдана другая информация:

    Win+D to unlock - нажмите комбинацию клавиш Windows+D для разблокировки.

    any 7 symbols - введите любые 7 символов.

    Воспользуйтесь генератором выше или use generator above - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

    Используйте форму или Пожалуйста, воспользуйтесь формой - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Если подобрать ничего чего не удалось

2. Если система заблокирована частично. Этот шаг относится к случаям, когда баннер «висит» в середине экрана, не занимая его целиком. Если доступ заблокирован полностью - переходите сразу к шагу 3. Диспетчер задач при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить вредоносный процесс обычными средствами нельзя.


Пользуясь остатками свободного пространства на экране, сделайте следующее:

1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус благополучно удален, дело можно считать сделанным, если ничего не найдено - переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу, перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если запуск удался -
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет процесс,
который отвечает за работу баннера.

3. Если доступа нет совсем. Обычно блокировщики полностью загромождают баннером экран, что делает невозможным запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB http://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему. Если нет - переходите к шагу 4 .

4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец - новинка, и искать его придется вручную.

Для удаления блокировщика вручную необходимо получить доступ к реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.

    Через автозагрузку в ветках реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    Путем подмены системных файлов(одного или нескольких) запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).

Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:

C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat

В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.

Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:

Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software , задайте имя (например, текущую дату) для раздела и нажмите ОK.

В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell должен быть равен Explorer.exe . Если перечислены любые другие файлы - необходимо записать их названия и полный путь к ним. Затем удалить все лишнее и задать значение Explorer.exe .

Параметр userinit должен быть равен C:\Windows\system32\userinit.exe, (именно так, с запятой на конце, где C - имя системного диска). Если указаны файлы после запятой - нужно записать их названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием Microsoft\WindowsNT\CurrentVersion\winlogon . Если эта ветвь есть, ее необходимо удалить.

Microsoft\Windows\CurrentVersion\Run - ветвь содержит настройки объектов автозапуска.

Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:

    Имена напоминают системные процессы, но программы запускаются из других папок
    (например, C:\Documents and Settings\Dima\svchost.exe ).

    Имена вроде vip-porno-1923.avi.exe .

    Приложения, запускающиеся из временных папок.

    Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe ).

    Имена состоят из случайных комбинаций букв и цифр
    (например, C:\Documents and Settings\Dima\094238387764\094238387764.exe ).

Если подозрительные объекты присутствуют - их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.

Microsoft\Windows\CurrentVersion\RunOnce - тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.

Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Теперь необходимо проанализировать второй файл - NTUSER.DAT . Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст . В открывшемся окне укажите путь к файлу NTUSER.DAT , задайте имя для раздела и нажмите ОK.

Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.

Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.

Также обратите внимание на параметр Shell в ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon . Он должен иметь значение Explorer.exe . В то же время, если такой ветки нет вообще - все в порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:

Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.

Перенесите исправленные файлы реестра в соответствующие папки на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов). Файлы, информацию о которых вы записали в ходе работы - сохраните на флешке и удалите из системы. Их копии необходимо отправить в вирусную лабораторию компании «Доктор Веб» на анализ.

Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет - проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.

Внимание! Если после лечения с помощью Dr.Web LiveCD/USB компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:

Убедитесь, что в папке config находится один файл software . Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software - разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два - удалите более старый.

Если software один, а загрузка не происходит, высока вероятность, что система поражена «особенной» модификацией Winlock . Она прописывает себя в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , в параметр Shell и перезаписывает файл userinit.exe . Оригинальный userinit.exe хранится в той же папке, но под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего попробовать загрузиться с жесткого диска.

На каком бы из этапов ни кончилась битва с троянцем, необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и регулярно
обновляйте вирусные базы.



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить