Как разблокировать Windows от вируса-вымогателя

Содержание

Как разблокировать компьютер или ноутбук, просит, требует отправить смс или деньги.

Не включается, не загружается ноутбук, компьютер с Windows 7, 8, 8.1, 10, систему заблокировал вирус-вымогатель и просит отправить смс на номер или деньги на электронный кошелёк.

Это довольно часто встречающаяся проблема. Казалось бы, ничто не предвещало беды, вы спокойно работали в Интернете (ну возможно и не так уж спокойно, например заходили на сомнительные сайты..).

И тут, ни с того ни с сего, компьютер или ноутбук перезагружается и появляется окно с просьбой отправить смс или деньги на определённый номер телефона (Мегафон, Билайн, МТС, Теле 2) или электронного кошелька (Яндекс деньги, Вебмани).

При загрузке операционной системы компьютера или ноутбука появляется надпись (возможно множество вариантов, но суть одна, выманить деньги), например возможны такие варианты:

Ваш компьютер заблокирован за просмотр и распространение порнографии. Могут писать что вы якобы просматривали видео и контент эротического содержание, либо посещали порносайты и поэтому компьютер, ноутбук, а также доступ в Интернет заблокирован. При этом необязательно это может быть так. Такой вирус можно подхватить на многих, порой совершенно безобидных сайтах, например новостных.

Статус: ожидается оплата штрафа и указан номер для отправки смс или электронный кошелёк. Такая проблема обычно решается перезагрузкой компьютера или ноутбука. Такая проблема встречается даже у пользователей Apple MacBook, которые как известно не боятся вирусов и очень редко от них страдают.

Ваш компьютер заблокирован в свези с интересом к запрещённому контенту. Также можно попытаться решить перезагрузкой ПК или ноута, с последующим сканированием антивирусом. Если вирус не удалить, проблема может появляться регулярно.

Вы нарушили закон РФ о просмотре порнографии. Вы должны в течении 7 часов (12 часов) заплатить штраф на номер, сумма (400, 500, 700, 800, 900, 1000, 2000, 3000, 4000 рублей), иначе ваш компьютер (ноутбук) заблокируют и дело будет передано в ФСБ. Также могут приходить угрозы от МВД России или Украины.

Вас заблокировала полиция вашего города. Бывает то же самое но с Интерполом, Управление К.

Вы заблокированы за просмотр гей-порно, статья, штраф в размере 600000 (либо 1000000) белорусских рублей на вебмани (Webmoney кошелёк) придёт ключ для разблокировки.

Возможен такой вариант, на телефон, смартфон приходит смс, с вопросом «скачать порнографию», «отмена» или «скрыть», после выбора любого варианта, телефон блокируется. Далее приходит новое сообщение, якобы от МВД, пишет что телефон заблокирован за просмотр порнографии, и нужно заплатить 500 рублей и если в течение 24 часов не оплатишь, все данные удалятся со смартфона и всем контактам будет отправлено СМС с текстом что этот абонент смотрел педофилию! При этом активны только кнопки включить и выключить. Такой вирус поражает в основном телефоны и планшеты на андроиде.

Такие просьбы и требования, для пущей убедительности, могут снабжаться характерными заставками порнографического характера, чтобы вы как можно скорее, не задумываясь захотели убрать эту надпись или картинку с экрана. Но желающих расставаться со своими кровно заработанными не так уж и много. Поэтому, сегодня я расскажу, как бесплатно убрать баннер, удалить вирус-вымогатель, требующий отправить смс или деньги и разблокировать ноутбук или компьютер на Windows.

Как убрать баннер, вирус-вымогатель, разблокировать Windows без отправки смс, бесплатно?

Если вы увидели одно из вышеперечисленных сообщений или подобное, следуйте моим советам. Во-первых, успокойтесь, это всего лишь вирус (MBRlock или Winlock). МВД, ФСБ, Управление К, Интерпол и подобные структуры не будут просить вас оплатить штраф через Интернет, тем более через смс сообщение или на электронный кошелёк. Если вам и придётся встретиться с этими организациями, то в куда более серьёзных, возможно печальных для вас моментах. Скорее всего они просто придут к вам домой и пообщаются с вами лично, прежде чем отправлять всякие уведомления.

Второе, не нужно отправлять никому и никуда деньги. Не обращайте внимания на угрозы, какие-то временные ограничения (12 часов, 24 часа и т.д.). Никакие данные не сотрутся, никакие смс с вашего телефона не будут разосланы по всем вашим друзьям. Злоумышленники и смс мошенники прибегают к самым коварным и страшным угрозам, в большинстве безосновательным, только с одной целью — запугать вас, чтобы вы отправили смс или деньги им на счёт.

Третий шаг, решаем проблему. Для этого нам понадобится один не заражённый вирусом ноутбук или компьютер с доступом в Интернет. Если в вашем доме или квартире не найдётся такого экземпляра, попросите помощи у друга, подруги, девушки, родственников. Также найдите флешку, желательно пустую и отформатированную, объёмом не менее 1 Gb. Если она не пустая, то временно скиньте все файлы на жёсткий диск и освободите и отформатируйте её под FAT32.

Флешка понадобится нам для создания загрузочного диска, который мы будем создавать с помощью бесплатного антивирусного пакета Kaspersky Rescue Disk, в который входит программа WindowsUnlocker. Скачать бесплатно последнюю версию можно здесь: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Вы можете записать скачанный образ как на диск CD, DVD, так и на USB флешку. Для записи на флешку, вам понадобится специальная утилита от Kaspersky: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe

После создания загрузочной флешки или диска, загружаемся с него, предварительно установив приоритер загрузки в БИОС. Запускаем антивирус в графическом режиме, заходим в терминал. Вводим команду WindowsUnlocker жмём Enter и следуем инструкциям на экране. Для разблокировки Windows, нужно ввести команду 1. Ждём некоторое время, после чего перезагружаем компьютер, ноутбук, загружаемся с жёсткого диска, как обычно.

После этих действий, Windows должен разблокироваться. В противном случае, воспользуйтесь сервисом Kaspersky Deblocker по адресу sms.kaspersky.ru. Всё что нужно сделать, это ввести в поле номер, на который злоумышленники, мошенники просят отправить смс. После обработки, вы получите ответ с кодом на экране монитора. Просто и удобно. Существует также аналог от студии Доктор Веб — https://www.drweb.com/xperf/unlocker/. Если не помогло, воспользуйтесь другой утилитой, например: Antisms, Kaspersky Virus Removal Tool , DoctorWeb Cureit (DoctorWeb Live CD, USB), Avast Free и т.д.

Вирусы, вредоносное ПО и всплывающая реклама в браузере на телефонах, планшетах (Android), ПК и ноутбуках.

Такого рода вирусы могут заражать не только ноутбуки и компьютеры на Windows, но и телефоны, смартфоны, планшеты на ОС Андроид (Android). Совсем не давно в Интернете свирепствовал вирус, заразивший более 30000 пользователей системы мобильный банк, Сбербанк Онлайн на устройствах Андроид. Поэтому советую очень внимательно относится к установке приложений от сомнительных производителей, а также запастись мобильным антивирусом для андроида (например Avast для Android или Clean Master). Смотрите видео как удалить рекламный, смс-баннер, блокировщик на Андроиде:

В результате таких вирусов может быть заблокирован браузер Opera, Mozilla Firefox, Chrome и любой другой. Поэтому всегда устанавливайте обновления для браузера, т.к. в них устраняются и исправляются уязвимости. Также рекомендую устанавливать все обновления Windows. Ну и конечно, регулярно обновлять антивирус, т.к. вымогатели и блокировщики эволюционируют и приносят, между прочим, неплохую прибыль своим создателям, поэтому нужно постоянно быть на чеку.

Хотелось бы немного затронуть тему о том, как избавиться от рекламы в браузерах, всплывающих окон, а также удалить Pirrit Suggestor, pirritdesktop.exe, Pirrit, Awesomehp, Babylon, Websocial, CodecDefaultKernel.exe, RSTUpdater.exe, Search Protect, webalta, conduit, mobogenie, ooov.net, kingsoft antivirus, omboxes, Спутник Мейл (Mail.ru). Для этого нужно скачать бесплатно программу AdwCleaner, Unchecky, HitmanPro, Malwarebytes Anti-Malware Free, Microsoft Malicious Software Removal Too, Spybot Search & Destroy, Spy Hunter, 360 Total Security, AdBlock последней версии. После установки, запустить сканирование, поиск и удаление нежелательного, сомнительно и рекламного ПО на компьютере, ноутбуке под Windows 7, 8, 8.1, 10.

У меня всё. Если остались вопросы, пожелание или вы нашли свой способ решения — пишите в комментариях! Удачи

Источник: http://amulo.ru/page/kak-razblokirovat-kompjuter-noutbuk-prosit-trebuet-sms-dengi-windows

Как удалить баннер вымогатель с компьютера

Доброго времени суток уважаемые читатели блога. В случае, когда на мониторе при запуске компьютера появился баннер вымогатель или как еще называют рекламный модуль.

С просьбой пополнить счет или отослать смс сообщение на определенный в сообщении номер телефона, это подразумевает то, что вы стали пострадавшим «от руки» вируса вымогателя.

Смыслом действий таких вирусов является блокировка доступа юзера к информации на компьютере или ограниченность осуществляемой работы на компьютере и уведомление выплаты за возвращение системы в исходное состояние. Подробней про этот тип вирусов читайте в статье — как удалить троянский вирус .

  1. Как удалить вирус вымогатель с компьютера
    1. Kaspersky Windows Unlocker функциональные возможности
    2. Подготовка утилиты для удаления баннера вымогателя
  2. Как удалить баннер вымогатель — принцип работы с утилитой

1 Как удалить вирус вымогатель с компьютера

Чтобы удалить вирус вымогатель с компьютера достаточно посетить сайт-сервис deblocker с другого компьютера. Но так как это не всегда срабатывает и возможность перейти на сайт с другого компьютера есть не всегда, мы пойдем другим путем.

Специальная утилита Kaspersky Windows Unlocker поможет нам в удалении вируса вымогателя. Сама утилита представляет из себя аналог LiveCD о котором я писал в статье — удаление вирусов .

Эта программа начинает работать с образа записанного на диск. Есть возможность работать в режиме графики и в режиме текста загрузки Kaspersky Rescue Disk.
к меню ↑

1.1 Kaspersky Windows Unlocker функциональные возможности

Утилита загружается с диска и работает не зависимо от операционной системы. Это означает, что вирусные уловки такие как замена и блокировка важных процессов Windows не сработают и все вирусы будут одинаково уязвимы.

Kaspersky Windows Unlocker — предоставляет возможность выполнять лечение списков всех операционных систем, имеющихся на компьютере, в том числе и установленные на других подразделах, в других папках одного и того же подраздела, а также лечение юзерских списков.
к меню ↑

1.2 Подготовка утилиты для удаления баннера вымогателя

Для того, чтобы сохранить Kaspersky Rescue Disk на USB-носитель или СD/DVD-диск, вам нужен будет не пострадавший от вируса компьютер, имеющий подключение к сети Интернет.

1. Из интернета скачайте специализированный вариант образа утилиты по ссылке ниже.

250 МБ) прямой ссылкой с сервера.

2. Записать образ программного обеспечения на CD/DVD-диск или USB-носитель.

Для этого воспользуйтесь программой Nero. О ней я рассказывал в статье — как записать образ на диск .

Затем запускаем пострадавший компьютер и переходим в BIOS. Для загрузки меню BIOS можно воспользоваться клавишами Delete или F2.

Данные о процессе вызова меню BIOS отражаются на мониторе в начале самой загрузки операционной системы:

1. В настройках BIOS на закладке Boot определите загрузочный диск (детальные данные можно узнать в инструкции к вашей материнской плате):

• Если вы сохранили образ на CD-DVD, остановитесь на варианте CD-ROM Drive.

• Если вы сохранили образ на USB-носитель, остановитесь на Removable Devices.

2.Вложите диск с данными в привод пострадавшего компьютера или подключите USB-носитель с сохраненным образом к компьютеру.

3. Компьютер загружайте с созданного источника.

4.Выполните перезагрузку компьютера. После перезагрузки на мониторе всплывет текст что-то вроде — Press any key.

Кликните на любую клавишу.

Если за десять секунд вы не кликнули ни на одну клавишу, то компьютер самостоятельно загрузится с жесткого диска.

При помощи клавиш передвижения указателя выберите язык интерфейса графического режима. Кликните на клавишу ENTER.

На лицензионном соглашении кликните клавишу Я согласен с лицензионным соглашением применения Kaspersky Rescue Disk.

Для этого кликните 1 на клавишной панели. Для того, чтобы перезагрузить компьютер кликните 2, для того, чтобы завершить процесс работы на компьютере кликните 3.

Определитесь на одной из нижеследующих систем загрузок:

• Kaspersky Rescue Disk. Графический режим — использует графическую подсистему (рекомендуется для большинства пользователей);

• Если к вашему компьютеру не подсоединена мышка (к примеру, у вас ноутбук, и вы используете тачпад взамен мышки), используйте режим текста;

• Kaspersky Rescue Disk. Режим текста — использует текстовый юзерский интерфейс, который представляет консольный файловый менеджер Midnight Commander.

Кликните на клавишу Enter и подождите пока загрузится система.
к меню ↑

2 Как удалить баннер вымогатель — принцип работы с утилитой

Для лечения списков (реестра) при помощи Kaspersky Windows Unlocker следуйте нижеследующей инструкции:

• Если вы скачали Kaspersky Rescue Disk в графическом режиме, кликните на кнопку под видом буквы К в нижнем левом углу монитора и в меню нажмите на ячейку Терминал.

В строке команд вбиваем windowsunlocker и кликните Enter на клавишной панели.

• Если вы загрузили в текстовом режиме Kaspersky Rescue Disk, кликните F10 для того чтобы закрыть меню. Внизу окна Midnight Commander вбиваем windowsunlocker и давим Enter на клавишной панели.

После того, как вы открыли программное обеспечение в ячейке Терминала появится меню, где вы сможете выбрать действия для выполнения (для выбора кликните на соответствующую клавишу и Enter на клавишной панели):

• 1 — Разблокировать Windows (программное обеспечение выполнит очистку реестра и выведет окно с результатами проверки на монитор).

Сохраняете копии загрузочных секторов (программное обеспечение скопирует загрузочные сектора в папку Карантина. На мониторе будет виден путь к файлам которые были созданы.

Чтобы выйти из утилиты нажимаем 0.

После удаления баннера вымогателя при помощи Kaspersky Rescue Disk делаем глубокую проверку компьютера на вирусы. Утилита работает аналогично как и Kaspersky virus removal tool. Подробней о ней почитайте в статье — очистка компьютера от вирусов .

Следуя выше приведенным рекомендация вы без проблем сможете удалить вирус вымогатель с компьютера. Удачи вам 🙂

Источник: http://entercomputers.ru/virusy/kak-udalit-banner-vymogatel-s-kompyutera.html

Как разблокировать компьютер после посещения порно-сайтов

Случился у меня один конфуз. Ну, чего скрывать, решил я немного «клубнички» посмотреть, все мы небезгрешны… В поисковике ввел необходимое сочетание слов, перешел на сайт и выбрал подходящее видео.

Далее примерно 5 секунд просмотра и сообщение на весь экран, дословно которого я не помню, но смысл примерно следующий: «За просмотр малолетнего, гей- и зоо- порно, запрещенного законодательством России, Ваш компьютер заблокирован. Для разблокировки необходимо уплатить административный штраф в размере 2000 рублей, переведя средства на электронный кошелек (далее указывался номер рублевого кошелька WebMoney) и номер перевода на чеке введите в окошко. В случае неуплаты компьютер будет заблокирован навсегда и безвозвратно, а Вы будете нести ответственность согласно статьи такой-то УК РФ «.

Окошко примерно такое, как на примере, но немного на другой мотив.

Ранее у меня уже случалась такая ситуация и мне пришлось переустанавливать систему, но сейчас меня такая развязка не устраивала, так как слишком много нужной информации хранилось на диске «С».

Я обзвонил своих друзей и выяснил, что у всех без исключения была такая же ситуация! Один обратился за помощью в сервисный центр и за 500 рублей ему разблокировали, другой разблокировал сам, но так и не понял, как у него это получилось, остальные четверо переустановили Windows.

После этого я начал искать пути решения в сети с помощью другого ПК.

Сайты, на которых предлагалось ввести номер кошелька-вымогателя, после чего система генерировала код, ничего не дали. Моего кошелька – вымогателя они не рассекретили. Я вообще не очень верю в возможность разблокировки с помощью введения нужного кода. Если это и устранит временно проблему, то потом она опять появится.

Вирус сам по себе не исчезнет.

Начал я действовать сам. Сразу после запуска системы попробовал запустить «Диспетчер задач», чтобы остановить процесс запуска трояна, но на мою попытку появилось сообщение, что диспетчер задач отключен администратором. Далее я попробовал зайти через безопасный режим и попытка увенчалась успехом! Если у Вас не заходит, пробуйте через безопасный режим с поддержкой загрузки сетевых драйверов или с поддержкой командной строки. После входа я на всякий случай быстренько поскидывал нужную информацию и начал проверку системы антивирусом, у меня Каспер на охране. Однако антивирусник вируса не обнаружил, а попытка зайти через обычный режим привела меня уже в ярость.

Захожу опять в безопасном режиме и запускаю «Восстановление системы» в более раннее состояние и после входа в обычном режиме произошло чудо! Я опять проверил систему и не обнаружил ни единого вируса. В результате через два дня у меня опять заблокировалась система. Все тем же способом после входа в безопасном режиме я откатил состояние компьютера в более раннее. После временной разблокировки решил посмотреть антивирус и обнаружил, что базы полностью разбиты. Попытка обновить базы ничего не дала, так как происходил сбой. Я переустановил антивирус и без проблем обновил базы.

После этого антивирусник заблокировал штук 30 вредоносных ссылок, обнаружил 4 троянских программ и 2 вредоносных утилиты.

Проблема полностью исчезла.

  • Просмотров: 12290

Источник: http://sector-pc.ru/blog/pro-kompyutery/remontiruem-pk/izbavlyaemsya-ot-virusov/udalenie-bannerov/kak-razblokirovat-kompyuter-posle-poseshcheniya-porno-sajtov.html

Как удалить вирус вымогатель и разблокировать свой компьютер

Вирус вымогатель – это крайне опасная вредоносная программа, что при попадании в операционную систему персонального компьютера полностью блокирует ее работу. Чтобы разблокировать компьютер от вируса вымогателя, требуется оплата специального кода путем отправки СМС или перевода по указанным реквизитам. В противном случае, он угрожает уничтожить все имеющиеся на ПК данные.

Что делать в сложившейся ситуации и как предотвратить заражение, мы и поговорим в данной статье.

Вирусы-вымогатели существуют нескольких видов, а именно те, которые:

  • Блокируют сайты.
  • Блокируют работу браузера.
  • Блокируют работу операционной системы.

Конечно, это далеко не весь список подобных угроз, их существует огромное множество, все они разные и требуют разных сумм.

Какими бы они ни были, атака вируса вымогателя нацелена на то, чтобы испугать вас и получить ваши деньги. И что неудивительно, многие действительно оплачивают код, чтобы избавиться от проблемы. Но дело в том, что отправка сообщениями не поможет убрать вирус вымогатель с компьютера, и вы просто-напросто зря потратите деньги. Именно поэтому ни в коем случае нельзя отсылать деньги! Этим вы не спасете ситуацию и не решите возникшую проблему.

  1. Принимаем меры по защите ПК
  2. Как избавиться от угрозы и восстановить работу Windows
  3. Удаление с помощью антивирусного ПО с загрузкой в безопасном режиме
  4. Откат системы до точки восстановления
  5. Инструкция для Windows XP/Vista/7
  6. Инструкция для Windows 10/8
  7. Еще одно решение разобрано в этом видео

Принимаем меры по защите ПК

Вредоносные утилиты водятся везде, в том числе и на многочисленных сайтах для взрослых, файлообменниках и прочих подобных ресурсах. Крайне часто они прячутся в файлах с расширениями exe, zip, rar, .msi, cmd, bat. Они могут маскироваться под обычный флеш-плеер, установив который, операционная система полностью заблокируется. Более того, можно заразиться как по сети, так и через съемные носители.

Несколько советов, как защитить свой ноутбук:

  1. Самое главное – использовать антивирусную программу, касперский, аваст или любой другой, даже бесплатный. Кстати, ранее была статья, в ней я рассказывал о самых эффективных из них. Она обязательно должна быть установлена и регулярно обновляться до последних версий. Не обязательно тратить деньги на приобретении платной версии, ведь можно использовать бесплатный вариант.
  2. Если у вас старенький ПК, который и без того виснет, можно выбрать более легкие утилиты, которые будут надежно защищать ваше устройство и практически не нагружать процессор.
  3. При скачивании драйверов или каких-либо программ, загружайте их исключительно с официальных сайтов. Обходите стороной подозрительные и ненадежные сайты. Более того, сегодня поисковые системы предупреждают пользователей, если сайт несет опасность. Не стоит игнорировать подобные сообщения, потому что они способны защитить вашу систему от постороннего влияния.
  4. Ни в коем случае не переходите по ссылкам непонятного происхождения, которые могут прийти в письме на вашу почту. Она может завести вас на вредоносный сайт.
  5. Используйте утилиту Adguard (пробная версия на пол года), она повысит безопасность пребывания в сети интернет.
  6. При подключении съемных носителей, всегда проверяйте их антивирусной программой, и только после этого открывайте их.

Если вы пренебрегли вышеуказанными советами и ваш ПК был атакован то, как удалить вирус вымогатель мвд рб или любую другую вредоносную программу мы поговорим дальше.

Как избавиться от угрозы и восстановить работу Windows

Если вы не знаете, как работает стандартный вирус вымогатель или шифровальщик, то для вас будет сюрпризом известие, что простой процедурой удаления от него не избавишься. Это значит, что вирус должен быть удален автоматически при помощи надежного антивируса, который будет способным обнаружить вредоносную программу и удалить ее.

Однако такие вирусы, как предупреждение мвд в интернете, могут блокировать работу антивируса, а то и вовсе не дать системе загрузиться, в таком случае вылечить компьютер становится значительно сложнее.

Удаление с помощью антивирусного ПО с загрузкой в безопасном режиме

Шаг 1: Перезагрузка ПК для Safe Mode with Networking:

  1. Windows XP/Vista/7 – нажимаем «Пуск и перезагружаем ПК». После чего сразу же при загрузке, нажимаем несколько раз F8, пока не появится черный экран с вариантами запуска.
  2. Выбираем «Advanced Boot Options». В появившемся списке выбираем Safe Mode with Networking.
  3. Windows 10/8 – В окне логина заходим в меню «Settings».
  4. Затем удерживая «Shift» нажимаем мышкой по иконке «Power» и жмем «Restart».
  5. Далее выбираем «Troubleshoot/Advanced options/Startup Settings» и снова нажимаем «Restart».
  6. После того, как компьютер начнет работать, выбираем Safe Mode with Networking.

Шаг 2: Удаление вируса:

  1. После загрузки системы запустите браузер.
  2. Скачайте антивирусную программу, например, Dr.Web CureIt или Malwarebytes . Запустите сканирование и уничтожьте все найденные вредоносные файлы, которые, так или иначе, относятся к вымогателю.

Откат системы до точки восстановления

Очень эффективный способ, который позволит откатить все изменения Windows до момента, когда ПК или ноутбук еще не был заражен вымогателем.

Инструкция для Windows XP/Vista/7

Шаг 1: Перезагрузка компьютера для Safe Mode with Command Prompt.

  1. Делаем так же, как и указано для вышеописанного способа, только в окне «Advanced Boot Options» выбираем «Command Prompt».

Шаг 2: Проводим восстановление.

  1. Сначала вводим «cd restore», жмем «Enter», а затем «rstrui.exe» и жмем снова «Enter».
  2. В появившемся окне щелкаем «Next» и выбираем точку восстановлению, которая предшествует заражению. Снова жмем «Next» и в окне «System Restore» делаем то же самое.
  3. Теперь нажимаем «Yes» для запуска процесса восстановления.

Инструкция для Windows 10/8

Шаг 1: Перезагрузка для System restore.

  1. Все так же заходим в «Settings», удерживая «Shift» нажимаем по кнопке «Power» и перезагружаемся.
  2. Затем заходим в раздел «Troubleshoot/Advanced options/System Restore».
  3. Выбираем необходимую точку и запускаем восстановление. Сам процесс аналогичен предыдущему.

После того, как система будет восстановлена, включите и просканируйте на всякий случай ПК на наличие вредоносного ПО. Таким образом, вы в корне избавитесь от угрозы.

Если ни один способ вам не помог, всегда можно переустановить виндовс или обратиться в сервис-центр, специалисты помогут вам быстро решить данную проблему.

Источник: http://onoutbukax.ru/kak-udalit-virus-vymogatel-i-razblokirovat-svoj-kompyuter/

Вирус блокирует Windows, требует отправить SMS для разблокировки системы. «Trojan.Winlock.3300» Методы!

Здравствуйте! Сегодня сидел и думал, чтобы такого интересного написать, на свой новый блог! И по какой-то «неопределенной закономерности» — случайности, на мой домашний ноутбук проник вирус (Trojan.Winlock), блокирующий Windows, и требующий отправить 200 грн. на счет Webmoney с кошельком WMU383593510183.

Скорей всего данный вирус проник ко мне, через прокси-сервер CCProxy, так как интернет я раздаю, 4-ем своим друзьям именно через прокси!

В какой-то момент времени я даже вздохнул с облегчением, и подумал: вот так и пришел ко мне мой новый пост, в моем новом блоге! В голове я обдумывал, как я выйду из данной ситуации.

На тот момент я думал, что справлюсь с этим вирусом минут за 15, но не тут, то было, зайти в безопасный режим и добраться до реестра, к сожалению не удалось. Но все же, если это удастся, Вам необходимо сделать следующее.

Советы к статье

  1. На сегодняшний день, блокирующих Windows вирусов, достаточно много и все они разные, поэтому рекомендую проверить каждый из способов! (мне в свое время помог каждый из способов).
  2. Если вирус-вымогатель «Trojan.Winlock.3300» требует отправить деньги на счет Webmoney! Сразу переходите к способу №4(нажимаем, сюда — переходим к статье), если не помог переходим к другой статье (нажимаем, здесь), если и этот вариант не помог, переходим к способу №5 (он ниже, в этом посте).

Способ №1! (Если баннер появился до загрузки рабочего стола, экран заблокирован)

  1. Нажмите комбинацию клавиш Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
  2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач «Cнять задачу».
  3. В диспетчере задач нажмите «новая задача» и введите «regedit».
  4. Перейдите в раздел HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → WindowsNT → CurrentVersion → Winlogon .
  5. Перейдите на правую панель редактора реестра и проверьте два параметра: «Shell» и «Userinit»:
    • значением параметра «Shell» должно быть «Explorer.exe»;
    • параметр «Userinit»«C:WINDOWS\system32\userinit.exe,» (обязательно в конце запятая).
  6. Если параметры «Shell» и «Userinit» в порядке, найдите раздел HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → WindowsNT → CurrentVersion → Image File Execution Options и разверните его. Если в нем присутствует подраздел «explorer.exe», удалите его.
  7. Перезагрузите компьютер.
  8. Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой от Dr.Web’а Cureit .
  9. В случае неудачи проделайте этот способ в безопасном режиме.

Есть еще один, самый простой способ, которым я никогда не пользуюсь, потому что мне он ни разу не помог, но проверить стоит, может именно Вам он поможет. Назовем его способ №1.1.

Способ №1.1 (самый простой способ для случая, когда Windows загружается и на экране появляется баннер)

Заходим на сайт разработчика антивирусного программного обеспечения Лаборатория Касперского и воспользоваться формой для получения ключа разблокировки. Аналогичную операцию можно проделать, перейдя на сайт компании Доктор Веб. После того, как баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.

Когда я понял, что данные способы не прокатят, сразу же вспомнил о втором способе, который ранее очень часто выручал меня.

Способ №2 (когда Windows, не грузится в безопасном режиме)

В ситуации, когда требуется удалить баннер с рабочего стола, а операционная система не грузится, ни в обычном, ни в безопасном режиме, лучшим вариантом будет еще один компьютер. Если таковой имеется, делаем все как в способе №1!

Если же такого компьютера нет под рукой или где-нибудь рядом у соседа, необходимо взять LiveCD скачать LiveCD от Dr.Web , скачать LiveCD от Лаборатории Касперского , загрузившись с которого вы всегда сможете проверить свой компьютер на вирусы. Почти все антивирусные программы с последними обновлениями лечат компьютер от баннера на рабочем столе.

Данный вариант тоже не оправдал моих надежд, после чего я решил воспользоваться еще одним способом, известным мне!

Способ №3 (утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями)

Способ заключается в следующем, Вам необходимо воспользоваться утилитой Kaspersky WindowsUnlocker , для борьбы с программами-вымогателями, вся инструкция описана на страничке их сайта, ссылочку которой я привел чуть выше!

Если данный способ не заработал, как в моем случае, скорей всего из-за старой базы, данной утилиты, переходим к способу №4.

Способ №4 (вирус блокирует загрузку Windows, и просит отправить на Webmoney кошелек 150-200 грн. «Trojan.Winlock.3300»). ERD Commander

Так как статья по удалении баннера с рабочего стола с помощью ERD Commander, когда компьютер не грузится в безопасном режиме, получилась довольно таки объемной. Я решил написать ее в отдельном посте (нажимаем, сюда — переходим на статью).

Способ №5 (вирус блокирует загрузку Windows, и просит отправить на Webmoney кошелек 150-200 грн. «Trojan.Winlock.3300»). LiveCD by Alkid

Загружаемся с LiveCD, качаем здесь (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com) и с помощью команды regedit в ««Пуск» далее «Выполнить» и в строке пишем «regedit» (без кавычек), после чего нам необходимо попасть сюда:

HKEY_LOCAL_MACHINE → SOFTWARE → MicrosoftWindowsNT → CurrentVersion → Winlogon

после чего находим файл «Shell» в которой по всей видимости примерно следующее:

C:Documents and Settings → All Users → Application → Data → 22СС6С32.exe

  1. Идем на сайт virustotal.com , и анализируем данный файл.
  2. *** Если нет возможности проанализировать файл и узнать антивирусную программу, сканируем одноразовым антивирусом DrWeb-ом (Cureit) (запускаем полное сканирование системного диска).

В результате мы видим, что вирус заменил собой такие системные файлы:

  • «С://WINDOWS/System32/userinit.exe» (отвечает за процесс загрузки системы).
  • «С://WINDOWS/System32/taskmgr.exe» (диспетчер задач Windows).

После того как антивирус удалил все эти файлы, Ваша операционная система не загрузиться, так как системные файлы уничтожены, поэтому поэтому дальнейшее, что мы с Вами сделаем, это восстановим оригинальные файлы «userinit.exe», и «taskmgr.exe» на место.

Для этого устанавливаем диск Windows. Находим на нём файлы-архивы «userinit.ex_» и «taskmgr.ex_», далее распаковуем из них оригинальные файлы и ложим на место уничтоженных сначала вирусом, а за тем нашим антивирусом.

Только теперь можно считать, что угрозу мы предотвратили и Windows загрузится.

Совет на будущее (самый последний способ-совет, если не помогли другие способы борьбы с вирусами блокирующими Windows)

Если что-то случилось с вашей операционной системой, толи это вирус, толи что-то другое, всегда держите под рукой сборочку LiveCD (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com) (по ссылочке, Вы перейдете на скачку моей сборочки, с утилитой Symantec Ghost 11.5, с уже подгруженными SATA драйверами, для ноутбуков и ПК, с новыми жесткими дисками)

Как данная сборка LiveCD вам поможет?

  • Для начала вам необходимо скачать образ загрузочного диска (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com) .
  • Записать LiveCD на носитель CD-R или USB.
  • Установить заново Windows, поставить Драйвера (если необходимо), после чего установить минимум необходимого Софта, если же лень устанавливать систему заново, можете сделать резервную копию (клонирование), операционной системы Windows, той которая у вас уже установлена и которую позже вы захотите откатить Что значит — сделать клонирование данной ОС, программой GHOST? Чтобы вы понимали, по времени это занимает от 15, до 20 минут (в течении которых Вы беззаботно пьете чай).
  • Записать на носитель или же оставить на жестком диске.

И так подведем итог, отметим плюсы данного метода.

После того, как что-то случилось с вашим любимым Windows!

  • вы не бегаете в панике в поиске драйверов;
  • вы не думаете, что вам лень переустанавливать винду и сильно не расстраиваетесь по этому поводу;
  • восстановить Windows, с набором программ, и необходимых драйверов займет у Вас каких-то 15 – 20 минут, и нет нужды искать где-то или качать где-то Windows!

Вот и все, что думаете по поводу статьи? Помогла она Вам?

  • Удалить процесс csrcs.exe. Вирус csrcs.exe! 24 сентября 2011
  • Вирус блокирует Windows. Вирус блокирует компьютер. Вирус «Trojan.Winlock» Удаляем вирус, с помощью ERD Commander! 6 октября 2011
  • Лечимся от вирусов блокирующих компьютер. Вирус блокирует Windows. Удаляем вирус с помощью AWL. Инструкция AWL! 3 ноября 2011
  • Тестовые артефакты.. Что это? (QA, Quality Assurance) 25 декабря 2015
  • Ставим Java Development Kit (JDK) на ПК в Windows, MacOS, Linux 26 августа 2015
  • Что такое Severity и Priority? Примеры из жизни 19 июля 2015
  • Как установить несколько IE (ie8, ie9, ie10) разных версий на одном компьютере 13 июля 2015
  • Что такое РСС? 28 июня 2015

90 комментариев

Спасибо за ценный пост! Сегодня была заражена вирусом, который требовал отправить 200 гривен, на счет Webmoney. Это кстати какой-то новый вирус скорей всего, так как раньше просил отправить смс и все эти методы помогали, а вот этот новый, не как не могла его побороть, помог только 3-ий способ! Большое Вам спасибо.

Мда! Вирус действительно скорей всего новый, несколько моих друзей тоже пострадали от него, многим помогает метод «утилитой Kaspersky WindowsUnlocker», но мне он почему-то не помог.

Большое спасибо за пост, долго пытался решить проблему, помог 4 способ.

Помогло восстановление системы c установочного диска Виндовс. Даже не думал что так просто будет, уже Лыв сиди в привод хотел вставить. Правда выбило типа тыры пыры — ошибка,но после перезагрузки все стало нормально. Для контроля поискал в реестре — ничего не обнаружил. Система Виндовс7максимальная. Цепонул вирус с извещения эл почты (подписка на Ютубе)

Я уже всё перерыл, почистил руками, отправил заразу на сайт дрвеба на проверку, узнал кто поселился. Казалось бы всё, но после ребута опять сначала. А дело за малым — вот про это упустил:

. вирус заменил собой такие системные файлы:

«С://WINDOWS/System32/userinit.exe» (Отвечает за процесс загрузки системы),

«С://WINDOWS/System32/taskmgr.exe» (Диспетчер задач Windows)

А CureIt с WinPE стартовать не захотел 🙁

П.С. нашел статью по запросу «winlock 3300 22сс6с32»

Всегда пожалуйста Сергей. Сам страдал от этого вируса, но у меня даже безопасный режим не загружался, решил проблему с помощью 4 способа! 🙂

безопасный тоже не работал — всё через winpe

сегодня обнаружил на ноутбуке «сюрприз» требующий пополнить счёт вэбмани. Слава богу смог запустить ось в безопасном режиме. Через поиск нашёл какой-то подозрительный файл «95.exe» и удалил его. Перезагрузил и о чудо! система работает. Сейчас антивирусов проверяю систему и чищу регистр.

Опять попал на такую тему (хз — вроде по порносайтах не лажу 🙂 ) . Вылетело окно на четверть экрана — курсор в пределах этого окна и никуда больше. Нажал CTRL+ALT+DEL (слава богу сработало). Выход из системы. Сменить пользователя. Опять зашел под своим же Юзером — ОКНА НЕТ ВСЕ РАБОТАЕТ. Я сразу откат системы на более раннюю точку сохранения и все. Щас все ок.

p.s. не всегда данный способ канает,к сожалению, но иногда срабатывает,так как и банальное восстановление системы с диска

Это да, смотря какие баннеры, есть которые не дают зажать сочетание клавиш CTRL+ALT+DEL. Но все хорошо, что хорошо кончается. 🙂

у меня проблема по серьезней, виндовс заблокирован и не дает загружаться даже диску, обычно сносил винду что бы долго не парится, а на етот раз не выходит. Просит 630грн на номер 380684832878.что делать?

Вы про CD-Rom? Как правило такого быть не должно, скорей всего у вас просто что-то не так с CD-Rom-ом, у меня как-то такое было, я им не пользовался, а когда винда упала решил сделать откат. Вставляю диск, и ничего, поехал поменял сидиром и все нормально.

Есть еще один не хитрый способ. У меня вчера тоже такая зараза просочилась на комп, клавиатуру блокирует, в безопасном режиме тоже ничего не дает сделать, все выше перечисленное не помогло.

Выход нашел: загрузился в безопасном режиме с поддержкой командной строки, потом с командной строки запустил explorer, он на удивление загрузился и без вируса. Ну а дальше Пуск->Пргораммы->Стандартные->Служебные->Восстановление системы и на два дня назад откатил и все заработало. Стоит ИксПи. Вирус просил отправить 300 грн на wmu кошелек.

Ну не всегда можно откатится, не всегда пускает в среду!(

Всем доброго времени суток. спасибо за статью, не всю правда прочитал.

Была та же фигня с блокировкой винды, перепробовал много всякого, помоголо очень простое решение сразу после приветствия (после загрузки винды) вирусня еще не успела запустится я запускаю ярлык «мой компьютер» и тут же диспетчер задач, спустя пару секунд после этого запускается вирусня и блокирует винду, но alt + tab работает и я перехожу в диспетчер задач и снимаю задачи с неизвестных мне приложений (которые были запущены администратором).

Этот вирус оказался под названием 114.ехе, после того как я его закрыл через диспетчер задач (винда разблокировалась), нашел его поиском в document and settings . а второй в system 32, удалил оба и очистил корзину, потом прогнал на антивирус и ВСЕ!

У меня такая же ситуация, как у hum! Только при нажатии этих трёх клавиш окошко, где есть возможность снять задачу или сменить пользователя сразу же исчезает и я ничего не успеваю нажать! Помогите, пожалуйста, я в этом вообще не разбираюсь.

Это у меня на ноуте такая проблема. Сейчас сижу с компа. Даже не могу найти способа, который бы помог.

Ещё когда это окошко выскакивает, то там написано, что программа, которая работает (вирус) называется zero1. Возможно от него избавиться как-то?((

Ну дак все эти способы должны помочь, либо этот метод, либо эти два:

Появились программы антивинлокеры AntiSMS 2.3.0 и програмный пакет Stop SMS Live CD («SS» 32) v.2.6.15 — вроде, говорят, помогает неслабо, но сам пока не пробовал — жду случая ))). Кто нибудь пробовал? Просьба отписать. И сам отпишусь как протестирую.

Неа не пробовали, отпишитесь пожалуйста, когда протестируете, если протестируете!) Я уже подумываю заразить какой-то ПК, чтобы проверить данный способ. )

Когда протестирую — обязятельно))) Если протестирую — маловероятно :D. Последний раз пытался задавить зверя замаскированого под Скаймонк. У человека начал тупить инет. И всплывало кратко какое то окошко — так было около недели. Потом позвонил мне. Думал щас прогоню скриптом AVZ и все путем, были такие рецидивы не раз. Вижу в процесах висит типа Скаймонк — говорят не ставили, и удалить не можем. Пробовал зайти через безопаску — не пускает. Вылетает и все. Ну думаю щас тупо грохну. Токо удалил — банер на весь экран -уплатите 800 грн. После чего никакой софт, включая вышеупомянутый, всеразличные лыв сиди , антивирусные лыв сиди, чистка , восстановление реестра и прочие пляски с бубном результата не дали. После 3 часов гемороя перебил Винду

В первую очередь. Ни в какую. В безопасный войти тоже не получилось, даже когда банер еще не появился. Обычно стандартными методами как то выруливал. Не хотелось ОС переустанавливать — месяц как поставил. Перепробовал все методы какие знаю. Смотрел автозагрузку, винлогон,шелл,юзеринит — все нормально — без изменений. Где то ж он прописался. Но счас уже сказать тяжело. Если б комп у меня дома стоял, думаю разрулил бы, а так. прищлось рубить с плеча.

Пробовал Stop SMS Live CD («SS» 32) v.2.6.15 и AntiSMS 2.3.0 который собственно включен в вышеупомянутый пакет. Четко. 10 минут и система работает.

Сегодня два случая винлокера было в обеих просили по 850 грн

В одном из случаев Нод когда расчехлился чуть чуть — выдал: 06.07.2012 17:32:26 Модуль сканирования файлов, исполняемых при запуске системы загрузочный сектор MBR-сектор физического диска 0 Win32/MBRlock.C троянская программа Ошибка при очистке, (там у меня косяк один немного с флешкой вышел, в результате чего банер в один раз не загрузился ))) )

Требовали перевести на U кошелек 820 грн. Подключил винт к другому компу и запустил утилиту DoctorWeb z4czytnd. Все. Сейчас пришла мысль, а что если положить не 820, а 1 грн, думаю, что чек будет одинаковый. Но скорее всего код не поможет независимо от суммы.

Ну там фишка в том, что там и чека как такового скорей всего не будет. Не будет ничего!) Просто перечислите деньги кому-то на счет и все. (

Способ №3 помог! Делал, как на показано на видео.

Способ №3 помог! Делал, как показано на видео.

О. Это очень хорошо, как правило помогали другие способы. Но и этот значит способ не менее сильный) Он мне когда-то тоже помог.

Меньше по порно-сайтам лазить нужно — и вирусов не будет. Хахахахахахах))))

Это кстати не всегда так!) Я поймал такой вирусняк, когда фильмец качал с шары какой-то. )

Рома, ты не прав. Я вот хотела книжку с сайта скачать, зашла на сайт книжек, дальше сам загрузился какой-то порносайт в соседней вкладке. И тут же ноут автоматом начал перегружаться и по включении появился банер с требованием отправить 1500 грн на кошелек, иначе комп не разблокируется. Гребаные уроды те кто это делает, чтоб им мало места было.

Я только юзер, но пока искала что делать, узнала что такое биос, безопасный режим, загрузочное меню, столько нового, так что теперь кое в чем разбираюсь.

Оно заблокировало безопасный режим, командную строку, биос. Перезагружаюсь,жму F1 F2 F8 F11 F12 — сперва ноут сильно пищал и был только чисто черный экран- первые раза 3, а потом стал грузиться сразу этот банер при нажатии любой клавиши F.

В общем, удалось загрузиться с ЛивСД Др.Веб, не смотря на пищание, спасибо автору на этом сайте, нашла тут описание как загружаться с лив СД. Чистит пока, там посмотрю.

Ну вот, Др.Веб закончил, нашел 4 вируса, удалила. Выключила ноут на ночь, утром включаю -он начинает грузиться, тут же выключается сам и снова сам включается — и тот же банер. Помогите, что делать?

Ну так просто от него не избавишься загрузкой LiveCD, а потом проверкой на ДР.ВЕБ. Вы кстати каким др.Вебом проверяли? Одноразовым? Или тот который в ЛайвСиди?

Евгений, проверяла тем что на ЛивСД.

Скачала с сайта Др.Веб вот отсюда ссылка образ. Записала диск, загрузилась с него.

Дальше выбрала режим DrWeb-LiveCD (Default). Выбрала «сканер» и проверила весь компьютер.

Это все. Я думала, что если вирус найти и удалить, этого достаточно. Оказывается нет(.

Ну я если честно не пробовал вариант такой с ихним ЛайфСиди — ДокторВебовским. Я использую свой ЛайфСиди, скачать можно тут — evgmoskalenko.com/soft/alkid-livecd.html. Загружаюсь с него и использую одноразовый антивирусник, самой последней версии.

Сразу объясню почему!) Тратится вечно на обновленные версии ихнего ЛайфСиди (на диски), не очень хочется, а свой всегда под рукой. Остается только скачать одноразовый антивирусник и закинуть на флешку, да и версия у него точно последняя!)

Такие Баннеры так просто не убираются. Это надо сами файлы реанимировать, а вот потом уже прогонять Антивирусниками, причем я бы посоветовал парочкой разных!

Сперва ЛивСд Др.Веб — нашел 4 вируса

второе — АнтиВинлокер — как описано вот здесь evgmoskalenko.com/virusy/. -trojan-awl.html, которым были восстановлены файлы + вручную удалила подозрительный файл x2z8.exe (точно совпадал по дате и времени с появлением проблемы)

и сразу после него — Рискдиск10 Касперского, который нашел сразу троянов в системных файлах.

После чего -ура! заработало))

Мне Вот такое написало. Через ф8 зайти в биос не могу- так как блокировка на весь екран появляется через секунду после надписи Самсунг и такой синенькой линеечки загрузки внизу экрана(секунды через 3 после нажатия кнопки запуска). Это вирус или меня реально заблокировал администратор? И как его вылечить если вирус

Я там чегото много наклацала по рекламе. даже вроде как-то скачать чтото нажала. Потом хотела открыть что же это такое мне скачало непонятное -файл 18 килобайт — ну никак видео не могло быть. И видимо после этого такая фигня и случилась. Компьютор резко затормозил — ничего переключить и выключить не смогла. Потм как то странно выключился — я думала перезагруззка и появилось таке сообщение. Я бы еще фото сюда поставила — но не знаю как.

Вирусов на самом компе наверно уже много, так как антивирусник не обновляла уже более полугода — он у меня вообще пробный был Аваст.

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементам педофилии, детского порно и гей порно. Для снятия блокировки вам необходимо оплатить штраф в размере 1500 гривен. Для этого в любом терминале оплаты пополните счет WEBMONEY U38067 @номер напоминает номер мобильного= там еще 7 цифр имеется@9057645″ на указанную выше сумму. В случае оплаты суммы рравной штрафу, либо превышающей ее, на фискальном чеке в терминале, вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все мтериалы содержащие елементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем персональном компьютере будут безвозвратно уничтожены. И снизу в левом углу желтыми буквами Enter code: и мигающий курсорчик красный _

Текст весь либо: темно розовый либо красный.

Это сегодня ночью мне такое произошло — где-то около двенадцати. На сколько максимум времени нужно расчитывать по леччению и т.д. чтобы мне в компьютере с информацией ничего не случилось?

И еще -как ни старалась — не смогла вынуть батарею (- испугалась что нотик сломаю) — это тоже изза вируса

Ссори, что так поздно отвечаю, переезд был. Это Вирус и Вам необходимо проделать все что написано выше, попробовать все способы! Редко у кого получается воспользоватся тремя клавишами.

я столкнулся с такой же проблемой на 1500 грн 🙂

1. Вставил диск с виндой (у меня ХР home edition)

2. Запустил режим восстановления

3. Ввел поочередно две комманды:

и можна еще третью:

После перегрузки ПК все заработало:)

Большое спасибо Вам, M.E.S и Korbino.

А если я сделаю так как Вы посоветовали Korbino, то информация, которая была на моем компьютере, на диске С включительно, останется? или ее нужно специальными програмами как то с неработающего нотика списать и залить потом снова?

И еще вопрос: к Администратору M.E.S и пользователю Korbino

у меня дисковода там нету, есть только разъемы для флеш накопителей. В связи с этим: КАК ПРАВИЛЬНО записать Доктор Веб или ВебКюре на флешку, чтобы оно производило автоматическую загрузку лечащей программы еще до загрузки системы(то есть чтобы успело включить лечащую программу еще до появления Сообщения вируса-вымогателя)?

У меня Виндоус ХР пиратская версия — скопированная — даже не знаю у кого через третьи лица, так как тетя брала сначала себе у своих знакомых, а потом и на мой нотик установила, но стаким вирусом мы еще не сталкивались, да и не хотелось бы ее вмешивать, так как с трояном блокиратором вконтакте-все таки сама разобралась.

Что можете посоветовать, насчет винды, в этом случае?

А я смогу все что вы Марине советовали(сообщение от 29.08) и она сама использовала(сообщение 2.09.2012) на одну флешку записать(там 2Гб) ? Или оно не будет знать чем сначала лечить и нужно поетапнодействовать: Записала одно — вылечила — записала 2е- вылечила, и так далее.

Попробуйте вот эту ссылочку — DrWeb LiveUSB если нет сидирома. Или можете Лайв Сиди, который я советовал выше записать на Флеш, но флешку надо сделать загрузочной, где-то в нете видел как она делается.

Команда FIXBOOT записывает новый загрузочный сектор. Параметр FixMbr записывает в системный раздел основную загрузочную запись, этот параметр не перезаписывает существующую таблицу разделов. Данный параметр следует использовать для устранения проблем, связанных с повреждением основной загрузочной записи, или если необходимо удалить из основной загрузочной записи нестандартный код.

По поводу пиратской ХРюшки — буз разници. Эффект должен быть тот же, что и с лицензией.

По поводу отсутствия привода два варианта:

1) Найти в инете как сделать загрузочную флешку а потом туда добавить образ винды (только он должен быть уже не сборочный ибо чаще всего там отсутствует консоль восстановления)

2) Найти\одолжить юсбишный привод CD\DVD и уже туда вставить диск и загрузится с него.

*при всем при этом — не забыть в биосе выставить приоритет загрузки (с USB дэвайсов первыми).

По поводу данных — MES прав.

вчера: А что мне за Фиксбут писали?

Я из той части сообщения не поняла ровнім счетом ничего: кроме части последнего предложения))) «

Это значит, что после live usb я должна эту команду Выполнить?

А яЛайв ЮеСБі запустила———УРРРРРРРРРРРРРрАААААААААААа Теперь оно мнесистему сканирует. тільки что дальше делать не разобралась)))

У меня там 4 файла не возможно отсканировать пишет:

один архив, 3 не понятно откуда -не может получить атрибути файла c ошибкой нет такого файла или направления(только там не , а).

Из этих 3х==2файла /lib/modules/2.6.30-drweb-6.0.0/build

Что мне с ними сделать надо будет — найти и удалить?

А если я удалю тот что мазила—мне настройки браузера сохраняться==а то у меня все пароли там, и не все из них я помню(((

поврежденных и так далее пока не нашло — в процессе)))

Какие мои дальнейшие шаги должны быть?

Kaspersky Windows Unlocker очень мощный и эффективный сканнер. А вот Dr.Web Live-CD — уже не тот.

Да мощный, но и Др.Веб тоже, как правило в последнее время пользуюсь только им!)

самый простой способ припопадании банера получить контроль над компом

в биос переставить дату назад

Очень интересное решение!) Надо будет как-то попробовать, когда поймаю такой вирус.) В принципе логика в этом есть, но с другой стороны откатывай время, не откатывай он все равно будет проявляться в загрузке. В общем надо будет обязательно попробовать.

Загрузить компьютер в безопасном режиме с вводом командной строки, когда загрузится в командной строке набрать regedit.

В редакторе реестра открыть — «HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon», если там есть ключ «Shell» то удалить его (предварительно скопировав из него значение) *.exe это вставить в правка\найти и далее всё что найдёт с этим *.exe удалить — БУДЬТЕ ВНИМАТЕЛЬНЫ . Далее проверить ключ реестра — «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» там есть ключ «Shell», его значение должно быть «Explorer.exe» вроде всё.

После всех этих манипуляций перезагрузить комп. Не забудьте удалить вирусный файл который сперва нашли в разделе реестра — «HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell\*.exe»

Рекомендую еще поставить antimalwarebytes и почистить комп — ссылка . Удачи!

Загрузить компьютер в безопасном режиме с вводом командной строки, когда загру­зится в командной строке набрать regedit.

О как!! А если в безопасный хрен зайдеш, потому что больше нифига кроме настроек биоса не работает? )))

Кстати я выше писал о проге AntiSms. Че, прога не работает разве ? У меня банеры рубит на раз два)))

А не как не зайдешь, у некоторых получается сочетанием клавиш, а у некоторых нет) Прога работает, но разве Вас так угнетают баннеры? Вроде на моем блоге они нормально внедрены в дизайн)

Не . Не угнетают)). Немного угнетают токо те, которые просят отправить смс, перевести N-ую сумму на такой то номер телефона или счет вебмани.)) Другие методы ,как убрать банер, конешно отрицать нельзя (случаи всякие бывают). Антисмсом уже кучу таких «просилок» снес. После чистки прошелся несколькими антивирами и в ручную пересмотрел. Чисто. Системы тоже нормально работают.

Не ну такие баннеры конечно нужно убирать, я если честно даже не знаю зачем их ставят, ведь на них особо не заработаешь, если учесть, что они раздражают посетителя!)

Это точно))) . Сам устанавливаю крайне редко ))))

У Вас есть сайт, на котором Вы ставите такие баннеры?)

Сайты есть, но такие банеры на них ,слава богу, не ставлю )). Пользователи ПК сами ставят на свои компы периодически / регулярно )). А потом звонят мне и говорят: «Я ничего не делал, и на порносайты на которых такие банеры стоят не лазил, я включил комп, а оно появилось». Я сам бывало по началу попадал , то псевдорусификатор устанавливал )), то еще что нибудь подобное. Щас вроде как чуйка на вирусню выработалась — не попадается пока.)))

Ясненько! Главное качественный антивирусник ставить.) У меня NOD-32-ой стоит, еще иногда одноразовыми проверяю, вирус как правило не бывает!)

Анологично НОД 32 антивирус в связке с фаерволом Comodo. Ну периодически дефендер сканирует. Нод ничем не хуже Каспера — груза хваленого, который вообще рубит все шо шевелится ))) Все равно бывает проскакивают. Полгода назад на Файлзилле пароли FTP забыл почистить — через пару дней сайт упал. Хорошо бекапы регулярно делаю. А сайт серьезной организации.

Но это не из данной темы. Сорри за флуд ))

И такое бывает в нашей практике, та ниче!)

я заразился на этом сайте!

как то странно долго страничка загружалась, а потом выскочило в полне обычное обновлелие адобе флеш плеера! я нажал принять через секунд 15 синий экран у угрозами и щетом для перевода денег

Вряд ли Вы заразились именно на этом сайте, так как там нет ничего подозрительного, но за сайтец спасибо, навеяло старыми добрыми временами про WOW, про моих персонажей 80-ого левела: «Мага», «Друида» и «Вора».

Источник: http://evgmoskalenko.com/virusy/virus-blokiruet-windows.html

Войдите в ОК

Не спешите обращаться в техсервис, если вашу Windows заблокировал троянский вирус Winlock. Разблокировать систему и удалить вредоносное ПО можно и самому.

В данной статье мы рассмотрим варианты, как разблокировать Виндовс 7, 8, Vista или XP, если на компьютер проник вирус-вымогатель. Как правило, это «троян» из семейства Winlock. Определить его легко: если на экране появляется изображение порнографического или, наоборот, делового характера, и при этом компьютер прекращает отвечать на команды – это наш клиент.

Баннер при этом часто содержит сообщение «Ваш компьютер заблокирован» и предложение отправить платное SMS или перевeсти дeньги на кaкой-то счёт, — якобы только после этого вредный баннер (а с ним и блокировка ПК) исчезнет. На изображении даже есть поле, куда нужно вписать специальный код, который должен прийти после выполнения вышеуказанных требований. Принцип действия таких вредоносных элементов сводится к подмене параметров Shell в оболочке операционной системы и нивелированию функций проводника Виндовс.

Есть несколько поколений вирусов-вымогателей. Некоторые из них обезвреживаются в пару кликов, другие требуют манипуляций посерьезней. Мы приведём способы, применив которые, вы сможете справиться с любым трояном такого рода.

Способ №1
Диспетчер задач

Этот метод сработает против примитивных троянов. Попробуйте вызвать диспeтчер зaдач (комбинация клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC). Если это удастся, найдите в перечне процессов то, что не должно быть запущено, и завершите его.

Если диспетчер не вызывается, можно еще воспользоваться менеджером процессов через клавиши Win+R. В поле «Открыть» впишите слово «notepad» и нaжмите ENTER, — тeм сaмым вы откроете приложение Блокнот. В отрывшемся окне приложения наберите произвольные символы и коротко нажмите кнопку включения/выключения на кoмпьютере. Все прoцессы, в том числе, и троянский, тут же завершатся, но компьютер не выключится. Пока вирус деактивирован, вы сможете найти егo фaйлы и удaлить их или же выполнить проверку антивирусом.

Если вы не успели установить антивирусное ПО, вы спросите: как удалить вирус-вымогатель с компьютера? В большинстве случаев отпрыски злобного семейства Winlock пробираются в кaталоги врeменных файлов пoльзователя или временные файлы браузера. Прежде всего, проверьте пути:

C: \ Documents and Settings \ кaталог с имeнем вaшего пoльзователя \ и

C: \ Users \ кaталог с именем вaшего пoльзователя \ AppData \ Roaming \.

Там ищите «ms.exe», а также подозрительные файлы с произвольным набором символов вроде «0.277949.exe» или «Hhcqcx.exe» и удалите их.

Способ №2
Удаление файлов вируса в безoпасном рeжиме

Если первый способ не подействовал и Виндовс заблокирован — что делать в таком случае? Здесь также расстраиваться не стоит. Значит, мы имeем дело с продвинутым троянчиком, который подменяет системые компоненты и блoкирует зaпуск диспeтчера задач.

В этом случае нам придётся выбрать работу в безопасном режиме. Перезагрузите компьютер. При стaрте систeмы удерживайте F8. В пoявившемся меню выберите «Бeзопасный режим с поддержкой кoмандной стрoки».

Пути к файлам злопакостного компонента будут, скорее всего, в ключaх Shell и Userinit (в первом он прописывается explorer.exe, а в «Userinit» его легко определить по запятой). Дальше порядок действий таков: копируем полное имя обнаруженного вирусного файла правой кнопкой в буфер oбмена, в кoмандной стрoке пишем «del», после чего ставим пробел и вставляем скопированное имя. ENTER – и готово. Теперь вы знаете, как удалить вирус-вымогатель.
Также делаем и с остальными заразными файлами.

Способ № 3
Восстановление системы

Загружаем систему в безoпасном рeжиме, как это описано выше. В командной строке прописываем: «C:\WINDOWS\system32\Restore\rstrui.exe». Современные версии поймут и просто «rstrui». Ну и, естественно, ENTER.

Способ №4.
Аварийный диск

Этот способ предполагает, что у вас есть время загрузить софт с другого компьютера или сходить за ним к другу. Хотя, может быть, вы предусмотрительно им уже обзавелись?

Специальное ПО для экстренного лечения и восстановления системы многими разработчиками поставляется прямо в антивирусных пакетах. Однако аварийный диск можно также скачать отдельно — бесплатно и без регистрации.

Вы можете воспользоваться ESET NOD32 LiveCD, Comodo Rescue Disk, Kaspersky Rescue Disk или Dr.Web LiveDisk. Все эти приложения работают по одному принципу и могут быть размещены как на CD, DVD, так на USB-накопителе.

Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно — вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.

Вывод:
Если разблокировка Windows, удаление баннера с рабочего стола проведены успешно, не спешите на радостях обо всём забыть и дальше так же беспечно бороздить просторы Интернета. Раз в вашей системе безопасности есть брешь, поторопитесь скачать антивирус. Мы рекомендуем выбрать один из лучших вариантов бесплатной защиты от всех типов вирусов – Avast Free Antivirus, AVG Antivirus Free или 360 Total Security.

Источник: http://m.ok.ru/comp.security/topic/68237264297984

Как разблокировать ноутбук от вируса самому. Как разблокировать Windows от вируса-вымогателя

Вирус вымогатель – это крайне опасная вредоносная программа, что при попадании в операционную систему персонального компьютера полностью блокирует ее работу. Чтобы разблокировать компьютер от вируса вымогателя, требуется оплата специального кода путем отправки СМС или перевода по указанным реквизитам. В противном случае, он угрожает уничтожить все имеющиеся на ПК данные.

Что делать в сложившейся ситуации и как предотвратить заражение, мы и поговорим в данной статье.

Вирусы-вымогатели существуют нескольких видов, а именно те, которые:

  • Блокируют сайты.
  • Блокируют работу браузера.
  • Блокируют работу операционной системы.

Конечно, это далеко не весь список подобных угроз, их существует огромное множество, все они разные и требуют разных сумм.

Какими бы они ни были, атака вируса вымогателя нацелена на то, чтобы испугать вас и получить ваши деньги. И что неудивительно, многие действительно оплачивают код, чтобы избавиться от проблемы. Но дело в том, что отправка сообщениями не поможет убрать вирус вымогатель с компьютера, и вы просто-напросто зря потратите деньги. Именно поэтому ни в коем случае нельзя отсылать деньги! Этим вы не спасете ситуацию и не решите возникшую проблему.

Принимаем меры по защите ПК

Вредоносные утилиты водятся везде, в том числе и на многочисленных сайтах для взрослых, файлообменниках и прочих подобных ресурсах. Крайне часто они прячутся в файлах с расширениями exe, zip, rar, .msi, cmd, bat. Они могут маскироваться под обычный флеш-плеер, установив который, операционная система полностью заблокируется. Более того, можно заразиться как по сети, так и через съемные носители.

Несколько советов, как защитить свой ноутбук :

Если вы пренебрегли вышеуказанными советами и ваш ПК был атакован то, как удалить вирус вымогатель мвд рб или любую другую вредоносную программу мы поговорим дальше.

Как избавиться от угрозы и восстановить работу Windows

Если вы не знаете, как работает стандартный вирус вымогатель или шифровальщик, то для вас будет сюрпризом известие, что простой процедурой удаления от него не избавишься. Это значит, что вирус должен быть удален автоматически при помощи надежного антивируса, который будет способным обнаружить вредоносную программу и удалить ее.

Однако такие вирусы, как предупреждение мвд в интернете, могут блокировать работу антивируса, а то и вовсе не дать системе загрузиться, в таком случае вылечить компьютер становится значительно сложнее.

Удаление с помощью антивирусного ПО с загрузкой в безопасном режиме

Шаг 2: Удаление вируса:

Откат системы до точки восстановления

Очень эффективный способ, который позволит откатить все изменения Windows до момента, когда ПК или ноутбук еще не был заражен вымогателем.

Инструкция для Windows XP/Vista/7

  1. Делаем так же, как и указано для вышеописанного способа, только в окне «Advanced Boot Options» выбираем «Command Prompt».

Шаг 2: Проводим восстановление.

Инструкция для Windows 10/8

После того, как система будет восстановлена, включите и просканируйте на всякий случай ПК на наличие вредоносного ПО. Таким образом, вы в корне избавитесь от угрозы.

Если ни один способ вам не помог, всегда можно переустановить виндовс или обратиться в сервис-центр, специалисты помогут вам быстро решить данную проблему.

Еще одно решение разобрано в этом видео

Итак, сегодня мы поговорим с вами о том, как разблокировать компьютер от вируса «МВД». Это современный вид компьютерной заразы, которую можно легко подцепить в интернете. А вот избавиться от нее будет довольно трудно, особенно если не знать, что делать. Так что давайте поскорее попробуем разобраться, как бороться с проблемой.

Внешний вид

Но перед тем от вируса «МВД», давайте подумаем, с чем же нам придется иметь дело. Ведь всегда хорошо знать врага в лицо. Это поможет нам поскорее найти путь обхода той или иной компьютерной заразы.

Итак, вирус «МВД» — это так называемый блокиратор доступа в интернет. При работе в сети он выскакивает поверх страницы, не давая вам продолжать действия. При всем этом, если вам удалось перезагрузить компьютер, то данная дрянь будет все время выскакивать при запуске браузера. И работать в интернете теперь будет просто невозможно.

Если вы думаете, от вируса «МВД РФ», то ни в коем случае не отправляйте СМС-сообщение, которое требует баннер. Вы просто потеряете деньги — никакого кода для разблокировки вам не придет. Вы так и останетесь с проблемой, да еще и без денег. Теперь давайте посмотрим, откуда может браться данная зараза, а также как ведет себя компьютер, когда он инфицирован. После этого можно будет говорить о том, как разблокировать компьютер от вируса «МВД РФ».

Где встречается

Что ж, каким образом можно напороться на нашу сегодняшнюю заразу? Дело все в том, что просто так блокираторы не появляются в операционной системе. Надо очень постараться, чтобы наткнуться на подобный вирус.

В отличие от спама или «МВД» (как удалить его, мы поговорим позже) встречается преимущественно на разнообразных сайтах. Это не обязательно рекламная страница. Можно сказать, что ни один пользователь не застрахован от данной заразы. Правда, есть один маленький совет, которому можно последовать. Он поможет избежать раздумий о том, как разблокировать компьютер от вируса «МВД России» самостоятельно.

Совет прост — не посещайте сайты, которые выглядят подозрительно, а также рекламируют что-то запрещенное правительством. Например, страницы интимного характера или же торрент-трекеры с пиратским программным обеспечением. Как правило, именно на таких сайтах наиболее часто встречается наш сегодняшний «герой» обзора. А удалить его бывает довольно трудно. Так что давайте теперь посмотрим, как ведет себя компьютер после инфицирования, а также изучим методы исцеления системы.

Поведение

Итак, что же происходит с вашей операционной системой после того, как в нее попал наш сегодняшний блокировщик? Наверное, стоит обсудить ряд особенностей, которые можно выделить. Особенно если вам удалось просто закрыть браузер и перезагрузить систему, а после этого работать в интернете вы не пытались.

Для начала стоит отметить, что у вас тут же начнет тормозить операционная система. Дело все в том, что вирус прописывается в автозапуске, а это довольно сильно загружает процессор. Кроме того, зараза оставляет свои файлы в «Виндовс», тем самым замедляя работу. Если вы заметили что-то подобное, то, скорее всего, в ближайшем будущем вам придется задуматься, как разблокировать компьютер от вируса «МВД» самому.

Кроме того, если вы попытаетесь поработать в интернете, то у вас этого не получится — вместо браузера выскочит окно-блокиратор, которое сообщит о том, что вы должны выслать СМС-сообщение с определенным кодом, для получения разблокировки. Естественно, как уже было сказано, делать этого не надо. Так что, если вы лишились своего браузера, то стоит подумать о том, как разблокировать компьютер от вируса «МВД». Существует несколько хороших способов. Правда, использовать их надо комплексно.

Проверка

Итак, первый шаг, который потребуется сделать для проведения очистки вашего компьютера от сегодняшнего вируса — это самая банальная проверка операционной системы на наличие вирусов и троянов. Этот ход не избавит вас от заразы полностью, зато поможет исцелить большую часть файлов.

Для того чтобы практически ответить на вопрос о том, как разблокировать компьютер от вируса «МВД», придется купить Здесь прекрасно подойдет Dr.Web. Если он не нравится вам, то воспользуйтесь Nod32. Обновите базу данных о вирусах, а потом начните глубокое сканирование. Этот процесс может отнять довольно много времени. Тем не менее дождитесь результатов.

Все, что было обнаружено, придется вылечить. Будьте готовы к тому, что не все файлы поддадутся терапии. В этом случае их достаточно просто удалить. Закройте антивирусную программу, а потом приступайте к следующему этапу. Правда, если вы не особо беспокоились за безопасность вашего компьютера, то можно пропустить данный шаг из-за невозможности его использования.

Антишпион

Данное приложение прекрасно справляется с поиском и папок, которые содержат в себе вредоносное и опасное программное обеспечение. Проверка такой утилитой после антивируса -это прекрасный способ избавить систему от вирусов, которые очень хорошо шифруются. Запустите проверку, а потом удалите все то, что будет найдено. Если у вас не была установлена данная программа, то можно пропустить этот шаг. Ведь скачать Spy Hunter у вас не выйдет, пока вы не избавитесь от компьютерной заразы.

Работа в системе

Итак, теперь давайте посмотрим, что нам надо для того, чтобы ответить, как разблокировать компьютер от вируса «МВД». После сканирования придется проделать еще парочку манипуляций, после чего можно будет перезагрузиться.

Итак, первым делом отправляемся в реестр. Открыть его можно после выполнения команды «regedit». Перед этим нажмите Win+R, а потом напишите данную функцию. Зайдите в «Правку», а потом в «Поиск». Напишите в открывшейся строчке «МВД», а потом начните проверку. Удалите все, что было обнаружено, затем закрывайте реестр.

Теперь переходите в «Мой компьютер». Тут придется залезть в системную папку «Windows». Найдите там «System32», а в ней «Drivers». Загляните туда. Дважды кликните по надписи «etc», а затем откройте блокнотом «host». Вы увидите какие-то надписи. Не будем вникать в них — сейчас нам надо избавиться от блокировщика. Поэтому смело стираем все, что там написано, а потом сохраняем изменения. Теперь достаточно перезагрузить компьютер. Не помешает и заново переустановить браузер. Вот и все. Теперь вы знаете, как разблокировать компьютер от вируса «МВД» самому.

В данной статье будут рассмотрены способы разблокировки и удаления вируса-вымогателя для систем Windows 7, 8, XP или Vista. В основном, подобного рода вирусами являются «трояны» из плеяды Winlock. Узнать, что это действительно вирус-вымогатель достаточно просто.

В случае заражения ПК, на мониторе появится изображение различного характера. Компьютер перестанет отвечать на команды. На очно, перед глазами появится баннер по типу окна с надписью «» и предложит для разблокировки отправить платное смс или перевести деньги на конкретный счет, после чего придет специальный код, который нужно ввести в появившемся окне. После этого, якобы, система должна разблокироваться. Вирусы вымогатели бывают разных типов, и от этого будет зависеть сложность удаления каждого из них.

Способ 1. Диспетчер и менеджер задач

Если попался примитивный «троян», то можно воспользоваться диспетчером задач. Вызвав диспетчер комбинацией CTRL+SHIFT+ESC или CTRL+ALT+DEL, необходимо завершить процесс, который не должен быть запущен.

В ситуации, если диспетчер невозможно вызвать, можно воспользоваться менеджером процессов при помощи комбинации Win+R. В окне менеджера нужно вписать слово «notepad » и нажать ENTER . Таким образом, откроется приложение Блокнот. Затем в Блокноте нужно набрать любые символы и коротко нажать кнопку включения ПК. После этого все процесс завершаться, но компьютер выключаться не будет. Таким образом, пока вирус отключен, можно проверить ПК с помощью антивируса на предмет вредоносного ПО. В случае, если на компьютере отсутствует антивирус, то файлы вредоносные файлы можно попробовать удалить вручную. Как правило вымогатели Winlock оседают в каталогах временных файлов системы или браузера.

Нужно проверить пути:

C: \ Documents and Settings \ имя пользователя ПК \

C: \ Users \ имя пользователя ПК \ AppData \ Roaming \.

В данных директориях нужно найти файл «ms.exe » и другие файлы со странным именем, например, «Hhcхcx.exe » или «0.287999.exe » и удалить их.

Способ 2. Восстановление системы.

Нужно загрузить систему в безопасном режиме. В нужно прописать: «C:\WINDOWS\system32\Restore\rstrui.exe » и нажать ENTER .

Откроется окно восстановления операционной системы, где нужно выбрать точку восстановления из предложенных.

Необходимо выбрать ту точку, когда можно со 100% вероятностью утверждать, что компьютер был полностью работоспособный и «чистый» от вирусов.

Способ №3. Безопасный режим

Если предыдущие способы не принес результата, значит, пользователь имеет дело с более продвинутым вирусом. В таком случае удаление вируса придется выполнять в

Наверняка, Вы слышали, а может быть даже попадали в такую ситуацию, когда после скачивания какого-то файла или посещения сомнительного сайта в интернете.

ПК вдруг становился неуправляем и появлялся банер с требованием ввести код для того чтобы разблокировать компьютер, который можно получить, отправив СМС или пополнив счёт указанного телефона на определённую сумму.

Что же в этом случае делать? Подчиниться вымогателям или всё-таки есть шанс как — то разблокировать компьютер без СМС? Давайте разберём несколько вариантов наших действий для того чтобы не стать «дойной коровой» для аферистов.

Ведь после пополнения счёта они уже будут знать Ваш телефон и скорее всего смогут авторизоваться у Вашего сотового оператора. А значит и снимать с Вашего телефона денежки им не составит большого труда. Но не будем отчаиваться и сначала попытаемся справиться с проблемой самостоятельно. Итак, как?

Попытка разблокировать от банера через диспетчер задач

Это один из самых простейших методов. Кто знает, может быть мошенники не настолько грамотны и всего лишь блефуют? Итак, вызываем диспетчер задач и снимаем задачу, выполняемую нашим браузером. Для этого нажимаем одновременно клавиши Ctrl+Alt+Del (плюсики, конечно, не нажимаем). Затем в открывшемся окне нажимаем “Запустить диспетчер”:

Это окно может иметь разные виды, в зависимости от операционной системы, но суть надеюсь ясна. Далее появляется диспетчер задач. Тут-то мы и должны снять задачу нашего браузера. Щёлкаем по строчке с браузером и потом по кнопке “Снять задачу”:

Кстати, этот метод применим как для этой, так и для любой другой задачи. Для закрытия зависшей программы, например. Надо сказать, не всегда получается это сделать с первой попытки, иногда окно диспетчера задач мигает и пропадает вновь.

В таких случаях бывает, что помогает повторное нажатие Ctrl+Alt+Del и неоднократное, и до 10-ти раз подряд! Больше, наверное, не имеет смысла. Получилось – хорошо. Нет — действуем дальше.

Попытка разблокировать компьютер через реестр

Теперь пробуем следующий вариант – посложнее. Ставим курсор в поле ввода кода, нажимаем Ctrl+Alt+Del и внимательно смотрим на банер.

Он, конечно, не обязательно будет такой же как у меня, но предложение отправить СМС или пополнить номер и строка для ввода кода или пароля должны присутствовать обязательно. Если в результате наших действий курсор исчез, значит внимание клавиатуры переключилось на диспетчер задач:

Теперь можно нажимать Tab, а потом Enter и перед Вами должен открыться пустой рабочий стол, скорее всего, даже без “Пуска”. Если это произошло, теперь чтобы “разблокировать нашего узника” нужно зайти в реестр, так как вирусы обычно прописываются там.

Нажимаем Ctrl+Alt+Del. Потом “Запустить диспетчер задач”. В новом появившемся окне — “Файл”, потом в выпадающем меню “Новая задача(Выполнить…)”:

В следующем прописываем команду “regedit” после чего нажимаем “ОК”:

Команду “Выполнить” можно вызвать и проще если, конечно, получиться — нажав на клавиатуре кнопки Win+R. Кто не знает, Win – это клавиша с картинкой Windows, обычно внизу в левом конце клавиатуры.

Если всё получилось мы окажемся в редакторе реестра. Вот тут будьте очень внимательны и осторожны. Ничего лишнего не трогайте. Потому как неправильные действия могут привести к неприятным, а порой и непредсказуемым последствиям в работе компьютера.

Итак нам нужно попасть сюда: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Winlogon . Покажу Вам два окна чтобы было понятно где и что нажимать для осуществления этой затеи.

В первом окне находите строчку с надписью “HKEY_LOCAL_MACHINE” и кликаете по треугольничку слева от неё:

Список под этой строчкой развернётся. Там необходимо найти строку “SOFTWARE” и тоже щёлкнуть по треугольничку:

Не пугайтесь списки там очень большие, не забывайте про нижний ползунок – двигайте его, чтобы видеть надписи полностью.

Когда таким образом дойдёте до Winlogon, уже нажимаете не на треугольничек слева, а на само слово “Winlogon”. После чего переводите взор на правую панель, где нужно будет проверить параметры: “Shell” и “Userinit” (Если плохо видно щёлкните по картинке — она увеличиться):

Смотрим на параметр Shell – его значение только «explorer.exe». Userinit» должно выглядеть так: «C:\WINDOW\Ssystem32\userinit.exe,» .

Обратите внимание на то, что в конце после “exe” стоит запятая! Если там какие-то другие значения, то исправляем на указанные выше. Для этого достаточно нажать на «Shell» или «Userinit» правой кнопкой мыши, щёлкнуть “Изменить”, во всплывшем окне написать нужное значение.

Это, я думаю, не вызовет у Вас особых затруднений.

Заключительные работы и действия при неудаче

В некоторых случаях бывает, что эти параметры в порядке. Тогда находим такой раздел: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Image File Execution Options и развертываем его. Если там окажется подраздел explorer.exe, удаляем без сожаления. Ну вот мы и сделали всё для того чтобы разблокировать нашего “узника”.

Теперь можете перезагружать компьютер. Если вирус не более коварный, всё должно вернуться на свои места. Если так, то можем посмеяться над горе — СМС — вымогателями. Ну и конечно же после всей проделанной работы обязательно произведите полную проверку антивирусником. Да и чистильщиком перед этим не помешает пройтись — типа CCleaner.

Если ничего не помогло или же Вы не решаетесь проделать описанные выше действия обратитесь к специалисту. Но СМС не отправляйте в любом случае. Можете также ознакомиться с другими методами разблокировки от Вируса Trojan Winlock на сайте VirusStop или на сайте Касперского.

На этом всё. Теперь Вы, знаете как разблокировать компьютер без СМС. Но было бы лучше, если бы Вам этого делать никогда не понадобилось, по крайней мере на своём компьютере.

Источник: http://thesaker.ru/personal-account-beeline/kak-razblokirovat-noutbuk-ot-virusa-samomu-kak-razblokirovat-windows-ot/

Как разблокировать вирус вымогатель

Приветствую вас, уважаемые читатели моего блога!

p, blockquote 1,0,0,0,0 —>

На днях столкнулся с одним вирусом, который блокирует доступ к рабочему столу, браузеру и всей операционной системе. Называют его вирус-вымогатель.

p, blockquote 2,0,0,0,0 —>

Он маскируется под какую-нибудь авторитетную службу, например, под М инистерство Внутренних Дел. Как было у меня. Но к счастью это был один из старых вирусов, который не блокирует безопасный режим, через него мы и будем удалять этот вирус.

p, blockquote 3,0,0,0,0 —>

Что такое вирус вымогатель?

Своё название он получил от того, что когда компьютер заражается им, на весь экран (рабочий стол) появляется заставка, где пользователю показывается текст примерно с таким содержанием, что пользователь сделал какое-то противоправное действие (скачал пиратскую программу, посетил порно ресурсы и т. д.), которая в свою очередь блокирует доступ к рабочему столу, к браузеру, к диспетчеру задач, и ко всем программам.

p, blockquote 4,0,0,0,0 —>

Более новые вирусы блокируют даже доступ к безопасному режиму.

p, blockquote 5,0,1,0,0 —>

p, blockquote 6,0,0,0,0 —>

После чего он предлагает отправить СМС на определенный номер, или перевести определенную сумму денег на банковскую карточку или webmoney. После перевода средств вы получите код для разблокировки.
Разумеется никаких денег переводить не нужно.

p, blockquote 7,0,0,0,0 —>

Как бесплатно удалить вирус?

Итак, приступим к делу.

p, blockquote 8,0,0,0,0 —>

  • Перезагружаем компьютер, нажимаем клавишу F8, далее выбираем вкладку:

безопасный режим с поддержкой командной строки.

p, blockquote 9,0,0,0,0 —>

  • Ждем полной загрузки, затем при помощи команды regedit запускаем редактор реестра и начнем поиск подозрительных записей.
  • Для начала нужно проверить ветку HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows /NTCurrentVersion/Winlogon.

При обычной работе операционной системы в этой ветке в параметре shell должно быть значение explorer.exe, а в параметре userinit, который находится в пути C:/WINDOWS/System32/userinit.exe,.

p, blockquote 10,0,0,0,0 —>

Обратите внимание слово userinit.exe обязательно с запятой и с маленькой буквы!

p, blockquote 11,1,0,0,0 —>

Если Вы заметили значения указанные в параметрах другие отличающихся от требуемых, их нужно вручную изменить на правильные.

p, blockquote 12,0,0,0,0 —>

  • Если же там все в порядке, далее проверьте еще эту ветку

p, blockquote 13,0,0,0,0 —>

здесь тоже могут быть подозрительные записи.

p, blockquote 14,0,0,0,0 —>

Например, параметр «explorer»=»C:\Documents and Settings\Admin\2823123.exe».

p, blockquote 15,0,0,0,0 —>

Если таковой обнаружен, его следует удалить. Далее перезагружаем компьютер в обычный режим.

p, blockquote 16,0,0,0,0 —>

Если Вы все сделали правильно то вирус вымогатель пропадет, после чего следует проверить свою систему хорошим и обновленным антивирусом.

p, blockquote 17,0,0,1,0 —>

p, blockquote 18,0,0,0,0 —>

Разблокировка с помощью антивирусов

Если же безопасный режим тоже заблокирован, то в этом случае нам потребуется утилита Dr. Web LiveCD или Kapsersky Rescue Disk.

p, blockquote 19,0,0,0,0 —>

Их можно найти на официальных сайтах производителей данного антивирусного ПО.

p, blockquote 20,0,0,0,0 —>

Далее один из образов Kapsersky Rescue Disk или Dr. Web LiveCD записываем на CD-диск или флеш-накопитель, затем настраиваем в BIOS загрузку одного из этих устройств (на CD-диск или флеш-накопитель).

p, blockquote 21,0,0,0,0 —>

После загрузки утилиты следует проверить компьютер на вирусы, программа найдет «вируса-вымогателя» и удалит его.

p, blockquote 22,0,0,0,0 —> p, blockquote 23,0,0,0,1 —>

Но не расслабляйтесь после удачной загрузки операционной системы, обязательно проверьте весь компьютер хорошим антивирусом.

Источник: http://komputerwzhik.ru/poleznye-sovety/udalenie-virusa-vymogatelya-s-kompyutera/

Компьютер заблокирован! Новый вариант вымогателей

Ваш компьютер заблокирован за посмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер Билайн 8-909-151-56-52. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала буде напечатан код разблокировки. Его нужно ввести в поле в нижней чати окна и нажать кнопку «Разблокировать». После снятия блокироки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течении 12 часов штраф не будет оплачен, все данные на Вашем компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч.1 УК РФ.
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.

Буквально за пару дней поступило несколько пациентов с подобыми симптомами. С Первого взгляда ничего особенного — обычный блокиратор, уже не раз писал о них в разделе вирусология. Однако этот тип немного отличается от описанных ранее, например Internet Security и отличие это поганенькое.

Данный вымогатель заменяет собой системый файл userinit.exe, находящийся в каталоге C:\WINDOWS\system32\, чего не замечалось за его предшественниками.

По доброй традиции, для лечения понадобится загрузочный диск или флешка. Получив доступ к системе, после загрузки с диска или флешки выполните следующие действия:

  1. В каталоге C:\Documents and Settings\All Users\Application Data\ удаляем файл с названием 22CC6C32.exe
  2. В каталоге C:\WINDOWS\system32\ удаляем файл userinit.exe
  3. В этом же каталоге находим и переименовываем файл 03014D3F.exe в userinit.exe
  4. Для Windows XP проверяем размер файла userinit.exe в каталоге C:\WINDOWS\system32\dllcache\ с тем, который мы только что сделали. Если размер не совпадает, заменяем его переименованным файлом.
  5. Подключаем реестр больной системы, как это сделать вручную читаем тут. Заходим в следующую ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметру Shell прописываем его исходное значение explorer.exe

Параметр Userinit исправляем на C:\WINDOWS\system32\userinit.exe, (всё лишнее убрать)

  • Поиском в реестре находим и удаляем все записи, где содержится 22CC6C32.exe
  • Перезагружаем компьютер

    Если считаете статью полезной,
    не ленитесь ставить лайки и делиться с друзьями.

    Комментариев: 29

    1. 2011-06-28 в 00:34:55 | Елена

    Спасибо, помогло. Уже хотела компьютер в ремонт отдавать. А каким диском вы сами пользуетесь для восстановления?

    Спасибо! Были в шоке! Попробуем!

    Благодарю за инструкцию ! Только файла 03014D3F.exe в system32 у меня не оказалось, пришлось взять userinit.exe со второго компа. Теперь система здорова и чувствует себя хорошо )

    Спасибо))) полчаса мучалась)) а тут сразу за пару минут сделала))

    Сделал все по инструкции,перезагрузил и теперь нет рабочего стола. картинка только есть и курсор мышки,ничего больше нету)

    Извините,сам намутил с реестром, огромное спасибо.

    У меня тоже синий баннер. Компьютер заблокирован телефон 89117062264 ничего не помагает нет ни пуска ни диспетчера задач в безопасном режиме все равно высвечивается синий экран ПОМОГИТЕ ПОЖАЛУЙСТА.

    проблема нет рабочего стола

    какие там замуты в реестре

    Вариант, который я изучал, имеет размер файла 22016 байт, датирован 15.05.2011. Использует для сокрытия своего кода внутренний алгоритм шифрования, поверх сжат утилитой компрессии UPX версии 3.03, а поверх всего этого ещё обработан какой-то специальной утилитой модификации UPX-паковщика (в результате, если снять UPX-компрессию, файл оказывается нерабочим).

    При запуске вирус копирует свой файл в 5-ть мест (названия копий на всех компьютерах всегда одни и те же):

    \Documents and Settings\All Users\Application Data\22CC6C32.exe

    Оригинальные системные файлы userinit.exe и taskmgr.exe, изначально расположенные в указанных папках, являются, соответственно, программами авторизации пользователя при входе в систему и Диспетчером задач, поэтому вирус перезаписывает их своими копиями. При этом, чтобы сохранить возможность корректного запуска системы, вирус оставляет копию оригинального файла userinit.exe в подкаталоге \System32\, переименовывая его в 03014D3F.exe

    Чтобы пользователь ничего не узнал о подмене этих системных программ, вирус, на время их перезаписи, отключает службу мониторинга изменений системных файлов, перезаписывает обе программы своим кодом и запускает службу снова – т.о., система не только не выдаёт никаких предупредительных сообщений, но и воспринимает уже вредоносные файлы как свои родные системные.

    Также вирус модифицирует оригинальное значение параметра “Shell” в нижеприведенном разделе ключей системного реестра на следующее:

    «Shell»=»[системный диск]:\\Documents and Settings\\All Users\\Application Data\\22CC6C32.exe»

    Т.о., вирус одновременно получает и возможность запуска с двух мест при старте системы – вместо оригинальных программ userinit.exe и интерфейсной оболочки Виндовс — explorer.exe. Кроме того, изменение местоположения объекта в записи параметра “Shell” приводит к автоматической блокировке командной строки, сервиса просмотра объектов автозагрузки и списка запущенных служб и некоторых других вещей. Также в системе более нет службы Диспетчера задач, посокльку его файл – taskmgr.exe – перезаписан копией вируса. В довершение всего, вирус становится как бы связующим звеном между моментами запуска системы и её полной загрузкой: сначала управление получает вредоносный userinit.exe, который запускает копию системного авторизатора пользователя из файла 03014D3F.exe, затем управление получает вредоносный 22CC6C32.exe, который запускает интерфейсную оболочку системы – explorer.exe. При отсутствии любой из этих двух копий вируса система просто-напросто не сможет нормально загрузиться.

    Для того, чтобы не создавать повторно копию системного файла userinit.exe как 03014D3F.exe, любая копия вируса, получив управление, сопоставляет себя файлу userinit.exe – если они идентичны, значит система уже инфицирована и повторно копировать этот файл не нужно (по понятной причине).

    Учитывая тот факт, что окно зловреда с требованием заплатить вымогателям закрывает большую часть экрана и висит поверх остальных окон как в обычном, так и в Безопасном режимах работы ОС, рекомендую следующий способ удаления вируса и восстановления системного реестра:

    1. Перезагружаем компьютер, заходим в настройки БИОС и устанавливаем первую загрузку с привода чтения компакт-дисков

    2. Вставляем в дисковод загрузочный диск с, например, Windows PE

    3. Загрузившись с диска, удаляем вручную следующие файлы:

    \Documents and Settings\All Users\Application Data\22CC6C32.exe

    4. Файл \WINDOWS\System32\03014D3F.exe переименовываем в userinit.exe и дополнительно копируем его в каталог \WINDOWS\System32\dllcache\

    5. Копируем файл \WINDOWS\explorer.exe в подкаталог \Documents and Settings\All Users\Application Data\ и переименовываем в 22CC6C32.exe

    6. Перезагружаем компьютер (диск извлекаем из дисковода)

    7. При запуске системы мы пока получили доступ только к окну Проводника Windows; создаём текстовый файл, в который записываем следующий текст (смотри между полосами из звёздочек – сами полоски копировать в файл не нужно):

    8. Созданный текстовый файл запоминаем, после чего заменяем у него расширение TXT на REG, а затем запускаем этот файл на выполнение и разрешаем системе внести записанные в нём данные в ключи реестра;

    9. Перезагружаем компьютер – всё работает!

    Файл \Documents and Settings\All Users\Application Data\22CC6C32.exe теперь можно удалить, а файл с программой taskmgr.exe берём с компакт-диска дистрибутива Виндовс и копируем как

    При этом, на запрос системы “Системные файлы были изменены, вставьте диск с дистрибутивом Винды” жмём “Отмена”, а на предупреждение “Вы действительно хотите сохранить эти нераспознанные копии файлов?” жмём “Да”

    У меня такая же проблема как и у Сергея, нет файла 03014D3F.exe Как этот файл вставить со здороваго кампа

    Спасибо за инструкцию, все получилось сразу. Интересно, куда в таком случае смотрит лицензионный NOD?

    у меня проблема, не могу запустить загрузочный диск на зараженном компе, и через биос не получается это сделать((( помогите пожалуйста.

    В чем именно проблема? Вирус никак не может помешать загрузиться с диска. Так что либо диск не загрузочный, либо что-то не так делаете.

    У меня немного другая проблема, тоже просит положить денежку на счет, но userinit и explorer стоят оригинальные файлы, в реестре все пути к ним правильные, но эта гадость все равно блокирует систему, снимал жесткий провирял каспером, кое что удалил, но гадость как была, так и осталась. Может кто нибудь помочь? userinit и explorer заменил на всякий случай на оригинал, тоже не помогло.

    картинка именно такая как в начале статьи?

    сотрудница в офисе словила подобный вирус, огромное спасибо за мануал. помогло

    Спасибо. Хороший совет, помог на сто процентов.

    Добрый день здесть есть кто нибудь кто может помочь?

    Словил этот вирус, поправил реестр, а после загрузки винды вирус вновь вылазит, грозясь через 12 часов уничтожить весь комп. Скажите какова вероятность того, что все унижтожиться через 12 часов.

    Вероятность практически нулевая. Не для того этот вирус создавался 🙂 Что-то не дочистили значит — должен уйти.

    Почитайте другие статьи в блоге по этой теме — все вирусы подобного плана ведут себя практически одинаково.

    Если в кратце вирус создал диск «X:» и все, что обычно с «С:» изменено на тот же путь в «Х:»

    «Shell»= не «Explorer.exe», а что-то другое (. \. не помню)

    В место «С:\WINDOWS\System32\winlogon.exe» стоит «Х:\WINDOWS\System32\winlogon.exe»

    Удалить его не получается, т.к. он используется, как процесс в Диспетчере, если его работу завершить — то комп долго грузится, затем просит имя и пароль домена! (с этим проблема — хозяйка его не помнит -_-), думаю если бы помнила — это бы не помогло.

    Вопрос: как убрать эту заразу, может надо что-то отключить. или с диском «Х:» что-то сделать.

    Для начала давайте разберемся как вы попали в систему. Наверняка грузились не с флешки или CD, потому вирус вам и не дает изменять значения в реестре.

    Специально привел скриншот, что должно быть указано в параметрах shell и userinit. Пробуйте и все получится.

    в дисководе диск «Shell Swapper», включаю комп и когда идет загрузка диска (об этом «говорит» соответствующее сообщение) нажимаю Enter ()если ничего не делать — идет обычная загрузка.

    И попадаем в меню «Shell Swapper» «Восстановление W-S’7х86» не подходит, т.к. была переустановка на ХР. я пользуюсь «W-S PE» там есть доступ и к реестру и к тоталкоммандеру и к диспетчеру.

    параметры shell и userinit после перезагрузки возвращают свои прежние значения cmd.exe / k start cdm.exe и «Х:\WINDOWS\System32\userinit.exe,» соответственно!

    Все системные процессы ссылаются не на диск С а на Х.

    При обычной загрузке, вызывая диспетчер (на заднем плане картинки баннера) смоuла увидеть название запущенного приложения — «LokoMoTo», но сделать от туда с ним ничего не получается.

    Появился модифицированный вирус этой проблемы.

    Быстро исправляем проблему самостоятельно. Четыре способа.

    Читаем здесь Fixtoolz.ru

    Все, что написанно выше не как не помогает. Вирус, у меня он как LoKoMoTo. Не дает возможности загрузиться с диска с флешки и с помощью безопасного запуска тоже смысла нет. Система пишет, что ваш комп подвержен вирусу, сначала устраните вирус, а потом заходите. Видимо производитель поработал над вирусом и теперь вытащить его реальная проблема.

    Какие-то мистические свойства вы вирусу приписали, такое может быть возможно, только в случае модификации BIOS. Сильно сомневаюсь, что все именно так, как вы пишете.

    Загрузка с флешки или диска не затрагивает вашу установленную систему, потому и писать сообщение о вирусе не может (при учете что ваши загрузочные диски/флешки сами не заражены).

    Почитайте, с блоге я писал как сделать флешку восстановления.

    Trojan.Winlock.6999 или 6613 в диспетчере задач висит приложение LokoMoTO (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)

    Сам лично друзям вылечил недуг.

    Быстро исправляем проблему самостоятельно, в два шага

    Источник: http://mdex-nn.ru/page/kompjuter-zablokirovan-novyj-variant-vymogatelej.html

    Как избавиться от троянов-вымогателей и разблокировать Windows

    Содержание

    • Голыми руками
    • Простым коням — простые меры
    • Военная хитрость
    • Старая школа
    • Операция под наркозом
    • Борьба на раннем этапе
    • В крестовый поход с крестовой отвёрткой

    С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

    Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

    Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

    Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

    Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

    Голыми руками

    Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

    Сервис разблокировки Windows компании «Доктор Веб»

    Сервис разблокировки Windows компании «Лаборатория Касперского»

    Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

    После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.

    Простым коням — простые меры

    Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL + ALT + DEL или CTRL + SHIFT + ESC . Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

    Подозрительный процесс в диспетчере задач

    Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

    Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win + R . Вот как выглядит подозрительный процесс в System Explorer

    Расширенный менеджер запущенных процессов System Explorer

    Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

    Файл -> Новая задача (выполнить)-> c:\Windows\explorer.exe.

    Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

    Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns

    AutoRuns покажет все объекты автозапуска (на скриншоте видна лишь малая часть)

    Военная хитрость

    Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN + R , напишите notepad и нажмите ENTER . Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

    Блокнот — коня на скаку остановит и доступ админу вернёт!

    Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

    Старая школа

    Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

    В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER – запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск

    Ключи реестра, часто модифицируемые троянами семейства Winlock

    Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

    Удаление трояна из консоли (полное имя файла взято из реестра и скопировано в буфер обмена)

    В нём выбираем команду «вставить» и нажимаем ENTER . Один файл трояна удалён, делаем тоже самое для второго и последующих

    Удаление трояна из консоли — файл находился во временной папке.

    Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

    Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ

    Восстановление сетевых сервисов с помощью AVZ

    Операция под наркозом

    Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

    Создание загрузочной флэшки из образа Kaspersky Rescue Disk

    Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

    При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2 , а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

    Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12 , F11 либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk

    Загрузка Kaspersky Rescue Disk

    Kaspersky Rescue Disk в графическом режиме

    Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

    Борьба на раннем этапе

    Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

    Троян семейства Winlock, заразивший MBR

    Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши R вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей Y и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

    После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

    В крестовый поход с крестовой отвёрткой

    На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

    Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

    Отключение автозапуска с помощью AVZ

    Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

    Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите ENTER . Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

    Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

    • старайтесь работать из-под учётной записи с ограниченными правами;
    • пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
    • отключайте Java-скрипты на неизвестных сайтах;
    • отключите автозапуск со сменных носителей;
    • устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
    • всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
    • блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
    • своевременно устанавливайте обновления браузеров, общих и системных компонентов;
    • выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

    Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

    В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

    Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.

    Источник: http://www.windxp.com.ru/articles121.htm