Блокировка компьютера. Журнал работы Kaspersky WindowsUnlocker

Как сегодня люди только не пытаются заработать денег, да и побольше, забывая то человеческое, что вложил в нас Господь. Просто удивляет, насколько люди теряют, обманывая и обворовывая других. Ведь Закон нашего мира, который гласит: «Что человек посеет, то и пожнет» еще никто не отменил. А через какое-то время возникают вопросы: «За что?».

В данной статье, дорогие читатели, я расскажу вам об одном из мошеннических действий, направленного на обворовывание ваших карманов — когда компьютер атакует выпущенный «умными» людьми вирус блокирующий ОС Windows, причем не важно, как версия у Вас операционная система — XP, 7, 8, 10 или другие. Наверняка Вы знаете о чем я, не так ли, по крайней мере думаю что многие из Вас сталкивался с подобной неприятностью? Да, да, я говорю о баннере-вымогателе , который появляется сразу после включения компьютера и блокирует Windows. На этом баннере может быть написано, что мол вы посмотрели какое-то запрещенное видео, и теперь Вам надо срочно отправить кому-то денег, например через Webmoney, и ответно получить СМС с кодом разблокировки операционной системы.

Даже не вздумайте никому ничего платить, т.к. никакие СМС с кодом разблокировки Вам не пришлют. Пусть этими злоумышленниками лучше Господь разбирается, а я Вам тем временем постараюсь помочь разблокировать компьютер.

Как «баннер вымогатель» попадает на компьютер?

1. Вирус «Баннер вымогатель» может попасть на компьютер вместе с бесплатными программами или играми, скачанными с сомнительных источников.

2. Если Вы качаете из интернета фото, музыку, видео и т.д., и эти файлы имеют расширение.exe (имя-файла.exe), вместо соответствующих.jpg, .mp3, .avi, .mkv (имя-файла.jpg).

3. Если на некоторых сайтах Вы видите баннер, который говорит, что мол Вам надо что-то обновить или переустановить, и нажимая на которые Вы переходите не на официальные сайты Ваших программ, а на их клоны.

4. Если на компьютере/ноутбуке не установлен антивирус, тогда вирус может проникнуть на компьютер просто со страницы различных сайтов.

Разблокировать Windows, т.е. убрать баннер вымогатель, из-за которого компьютер заблокирован можно следующими способами:

1. Переустановить Windows.
2. Почистить реестр Windows, т.е. убрать баннер из автозагрузки системы.
3. С помощью загрузочного диска со специальным антивирусным софтом (программами) для удаления вирусов из системы.

В сегодняшнем посте речь пойдет о втором способе – убрать баннер вымогатель из автозагрузки операционной системы.

Способ №1: Как разблокировать Windows с помощью чистки системного реестра

Как бы сложно это не звучало, на самом деле все просто. Просто придерживайтесь дальнейшей инструкции, и будьте внимательными.

1. Заходим в безопасный режим работы Windows. Для этого, после включения ПК, во время загрузки операционной системы нажимайте клавишу «F8» . Должен появиться черный экран, на котором можно выбрать варианты загрузки системы. Выбирайте «Безопасный режим» .

2. Когда Windows загрузится, нажмите сочетание клавиш «Win+R» . Или же «Пуск — Выполнить» .

3. В появившемся окошке введите: regedit

Важно! Если в «Безопасном режиме» также появляется баннер вымогатель, тогда снова перезагрузите ПК и через «F8», в меню выберите «Безопасный режим с поддержкой командной строки». Когда ПК загрузится и появиться черный экран с мигающим курсором, наберите также «regedit», и нажмите «Enter». Появиться то же окно с реестром.

4. Переходим по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon, и проверяем, чтобы следующие значения имели такие настройки:

Shell – напротив должно быть только «explorer.exe».
Userinit – напротив должно быть только «C:\Windows\system32\userinit.exe,». Если Windows установлен не на диск C:, то буква здесь будет иная.

Если значения отличаются, тогда исправьте, чтобы вышло так, как я написал выше. Для этого нажмите правой клавишей на строку, в которой нужно изменить значение, и выберите «Изменить».

5. Переходим по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Смотрим, чтобы здесь не было записей «Shell» и «Userinit». Если есть, удаляем их.

6. Проверяем следующие адреса на наличие подозрительных записей, типа – fgkthsinlr.exe , которые необходимо удалить:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если Вы не уверены, что та запись, которую Вы обнаружили, является вирусом, тогда нажмите на нее правой клавишей мышки, и выберите «Изменить». Значение поставьте «1». Таким образом, Вы отключите эту запись, и если что-то пойдет не так, сможете все исправить.

7. Перезагружаем компьютер и радуемся! Windows уже должен быть разблокирован.

Способ №2: Как разблокировать Windows с помощью утилит (антивирусного ПО)

Если Вам было сложно разобраться с разблокировкой компьютера методом чистки системного реестра Windows, тогда можете попробовать использовать специальные антивирусные утилиты (программы), с помощью которых это можно сделать всего в несколько кликов.

Программы для разблокировки Windows

— AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
— Kaspersky Rescue Disk : Скачать можно по этой ссылке: http://sms.kaspersky.ru/
— Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
— утилита AVZ . Скачать можно по этой ссылке: http://www.z-oleg.com/secur/avz/download.php

В основном порядок действий по разблокированию компьютера с помощью утилит сводиться к записи их образов на флешку (USB накопитель), включить загрузку компьютера с USB, и во всплывающих окнах просто нажать «Старт», «Анти SMS», «Очистить» и т.д.

Подробнее о данных программах я напишу позже, а на сегодня все. Если у Вас что-то не получилось, пишите в комментариях, попробуем разобраться вместе.

Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.

Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:

Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.

Пути попадания вируса в компьютер

Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает .

Windows может быть заблокирован из-за скачанного файла с расширением «.exe ». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe » может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!

Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.

И последнее, устаревшие обновления Windows ослабляют защиту системы. Чтобы компьютер был защищенным, старайтесь вовремя устанавливать обновления. Эту функцию можно настроить в «Панели управления -> Центр обновления Windows» на автоматический режим, чтобы не отвлекаться.

Как разблокировать Windows 7/8/10

Один из простых вариантов убрать баннер-вымогатель – это . Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.

После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!

Kaspersky Rescue Disk + WindowsUnlocker нам поможет!

Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и или (пролистайте статьи, там есть).

Когда это будет готово, нужно . В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.

При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»

Откроется чёрное окошко, куда пишем команду:

windowsunlocker

Откроется небольшое меню:

Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»

Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.

Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker

Разблокировка в безопасном режиме, без специальных образов

Сегодня вирусы типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.

Перезагружаем компьютер. Во время загрузки нужно нажимать клавишу F8, пока не появится меню дополнительных вариантов запуска Windows. Нам нужно с помощью стрелочек «вниз» выбрать из списка пункт, который называется «Безопасный режим с поддержкой командной строки» .

Вот сюда мы должны попасть и выбрать нужную строку:

Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!

Лечимся средствами Windows

Нужно восстановить систему , когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.

Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:

regedit

Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Теперь по порядку проверяем такие значения:

• Shell – здесь обязательно должно быть написано «explorer.exe», других вариантов быть не должно
• Userinit – здесь текст должен быть «C:\Windows\system32\userinit.exe,»

Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:

Затем проверяем:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.

Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:

cleanmgr

Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»

И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.

Утилита AVZ

Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.

Исправление проблем после удаления вируса-вымогателя

Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.

Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского : XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.

Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.

При загрузке с помощью Google Chrome может возникнуть проблема, т.к. этот браузер считает программу вредоносной и не даёт её скачать! Этот вопрос уже поднимался на официальном форуме гугла, и на момент написания статьи всё уже нормально .

Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!

Распаковываем архив с программой, записываем на внешний носитель и запускаем на заражённом компьютере. Идём в меню «Файл -> Восстановление системы» , отмечаем галочки как на картинке и выполняем операции:

Теперь идём по следующему пути: «Файл -> Мастер поиска и устранения проблем» , далее переходим в «Системные проблемы -> Все проблемы» и кликаем по кнопке «Пуск». Программа просканирует систему, и затем в появившемся окне выставляем все галочки кроме «Отключение обновления операционной системы в автоматическом режиме» и тех, которые начинаются с фразы «Разрешён автозапуск с…».

Кликаем по кнопке «Исправить отмеченные проблемы». После успешного завершения переходим по: «Настройки и твики браузера -> Все проблемы» , здесь выставляем все галочки и точно так же нажимаем на кнопку «Исправить отмеченные проблемы».

То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».

Под конец закрываем окно, при этом не выходя из AVZ. В программе находим «Сервис -> Редактор расширений проводника» и убираем галочки с тех пунктов, которые помечены черным цветом. Теперь переходим по: «Сервис -> Менеджер расширений Internet Explorer» и полностью стираем все строки в появившемся окне.

Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»

Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.

Запуск с установочного диска Windows

Ещё один верный способ – это загрузиться с любого установочного диска Windows 7-10 и выбрать там не «Установку» , а «Восстановление системы» . Когда средство устранения неполадок запущено:

• Нужно там выбрать «Командная строка»
• В появившемся чёрном окне пишем: «notepad», т.е. запускаем обычный блокнот. Его мы будем использовать как мини-проводник
• Идём в меню «Файл -> Открыть», тип файлов выбираем «Все файлы»
• Далее находим папку с программой AVZ, кликаем правой кнопкой по запускаемому файлу «avz.exe» и запускаем утилиту с помощью пункта меню «Открыть» (не пункт «Выбрать»!).

Если ничего не помогает

Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.

Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте . Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!

Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:

PS: какой способ помог Вам? Напишите об этом в комментариях ниже.

Проблемы возникающие при получении на свой компьютер различных программ-вымогателей в виде баннеров-блокираторов, не являются чем то новым и неожиданным. Известны такие, совсем уж не честные способы отъема «кровных» у интернет-жителей, довольно давно. Баннеры — блокираторы со временем видоизменяются, камуфлируются под различные, вроде бы совсем безобидные и порой даже очень нужные, на взгляд неискушенного пользователя, программы.

В отношении баннеров-блокеров нарушающих работу системы, описано не мало методик избавления от заразы, но в основном затронуты простейшие и не глубоко окопавшиеся программы-вымогатели, не блокирующие в полном объеме работу операционной системы, то есть позволяющие выполнять пользователю конкретные задачи после загрузки системы. Все чаще стали появляться вопросы относительно тех случаев, когда вирус полностью блокирует систему сразу после загрузки, оставляя активным лишь пределы окна баннера.

Получая такую бяку к себе на машину(компьютер), пользователь чаще всего впадает в ступор, и это понятно, как тут не запаниковать, блокируются все сервисы и службы, системные утилиты и диспетчер задач становятся недоступны. В понимании простого пользователя это полная жо... Банальной зачисткой темповых папок, истории и кеша браузера здесь не обойтись. Тем более правка реестра в таких случаях просто не доступна, даже при запуске через безопасный режим. Вот именно о том, как в таких случаях можно победить заразу, мы с вами и поговорим сегодня, рассмотрим некоторые способы эффективного устранения банеров-блокираторов системы.

И так, что делать когда вы заполучили совсем не желанный сюрприз в виде баннера с убедительным требованием отправить СМС или пополнить счет, обозначенного в сообщении, телефона?

Способ 1 (копаем глубоко)

У вас тяжелый случай, проводник, меню «Пуск» и диспетчер задач полностью недоступны. Онлайн-сервисы типа бессильны.
Первым делом надо успокоится и не мельтешить, вся эта бяка создавалась людьми, а значит и удалить ее под силу каждому человеку, нужно лишь немного терпения.

Теперь по пунктам и без лишней лирики:

Главное: Не спешите переустанавливать !

• Ни в коем случае не отправляйте смс и не пополняйте счет телефона злыдня .
• При загрузке Windows смело жмете F8 или F5 , чаще эти клавиши выводят окно выбора вариантов загрузки — смотрите подсказку или инструкцию.
• Выбираете Безопасный режим с поддержкой командной строки (когда простой безопасный режим не помогает)
• Когда загрузитесь жмете три заветных клавиши: Alt+Ctr+Del , вызывая тем самым диспетчер задач.
• В диспетчере делаем следующее: Файл — Новая задача(Выполнить) .
• В открывшимся окошке пишите: (Добрались до редактора реестра, облегченно вздохнули...)
• Идем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• В правом окне находим параметр Shell , у него должно быть значение explorer.exe и ничего другого.
• А у вас там (скорее всего) в довесок и прописан путь к зараженному файлу. Стираете все лишнее, предварительно записав куда-нибудь путь до заразы, должно остаться только explorer.exe
• Находите параметр userinit , у которого должно быть значение (удаляем там всё лишнее), не забываем записать на бумажке путь до вражины.

• Далее необходимо проверить раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр «AppInit_DLLs» по умолчанию значение должно быть пустым, а значит при наличии какой бы то нибыло записи следует зачистить.

• Постучав по дереву, помолясь или произнеся заклинание, перезагружаете ваш многострадальный компьютер и подхихикивая радуетесь воскрешению, от баннера не должно остаться и следа.
• После перезагрузки зачищаете нечисть по заблаговременно записанным вами на бумажке путям, удаляете заразный файл без сомнений, не забыв почистить и корзину.

После всех проделанных манипуляций с реестром, чтобы окончательно покончить с заразой рекомендую проделать следующее:

Прибить (полностью удалить) на всех разделах HDD:
RECYCLER
System Volume Information

Удалить из каталогов:
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp & Temporary Internet Files

Проверить корень каталога на подозрительные файлы:
C:\Documents adns Settings\%name%\ApplicationData
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents adns Settings\%name%\ApplicationData\StartMenu\Programs\Startup
или

Таким вот не очень простым (просто вляпаться), но действенным способом вы всегда сможете избавиться от практически любого баннера-блокиратора или другой программы-вымогателя, поразившей вашу систему, особенно если другие методы оказались бессильны вам помочь.

Не плохо иметь под рукой один из , о которых я детально расписывал в одной из предыдущих статей, хотя стоит признать, что чаще всего приходится копать в ручную.

Способ 2 (простейший)

Метод устранения блокератора, о котором пойдет речь дальше, на самом деле прост до смешного, но походит только к определенным видам баннеров-вымогателей. Рассмотрим ситуевину когда вы зацепили на свой компьютер вредоносную программу(попросту вирус) Trojan.Winlock.5293 , блокирующий систему банером с требованием пополнить счет абонента МТС на номер телефона: +7987071641

Кода разблокировки вы не найдете, так как его просто не существует. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), но это не конец, лечение системы возможно и заложено, как ни странно в самом блокираторе. Что это ошибка злоумышленников или элементарный стеб, не знаю, главное решение проблемы существует и оно на поверхности.

А теперь, внимательно посмотрите на скрин баннера-зловреды! Если у вас при загрузке системы всплывает такая же болячка, просто в тексте сообщения баннера отыщите слово: «являются „ и нажмите на него. Все! Блокировщик исчезнет с рабочего стола и на какое то время откроет доступ к диспетчеру задач, редактору реестра, и другим инструментам Windows. Не откладывая в долгий ящик, следует зачистить все следы пребывания вредоносной программы в системе. Действуете по накатанной, т.е чистите пользовательскую папку Temp и удаляете исполняющую программу из автозагрузки. Расширение у программы-вредителя в большинстве случаев бывают следующего типа: .0xxxxxxxxxxxx.exe . Не забывайте копнуть в реестре на наличие сторонних записей (смотрим первый способ).

Способ 3 (восстановление системных файлов)

Давайте рассмотрим совсем уж сложный случай заражения, когда нет ни малейшей возможности загрузиться ни в одном из режимов. Ваша система блокируется вредоносной программой Trojan.Winlock.3278 , при загрузке вместо привычного рабочего стола всплывает страшный и ужасный бннер типа этого:

При заражении системы троянские программы такого типа извлекают из себя вредоносные файлы и подменяют ими системные файлы:

С:\Windows\System32\taskmgr.exe - диспетчер задач,
C:\Windows\System32\userinit.exe - файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe - резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe - резервная копия загрузчика.

Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения - в этом случае оригинальные файлы могут сохраняться в директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe .

Затем две копии троянца размещаются в папке C:\Documents and Settings\All Users\Application Data\ . Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe). Также троянец модифицирует ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon , задавая в параметр Shell=“C:\Documents and Settings\All Users\Application Data\22CC6C32.exe» .

Лечение:

Совсем плохо дело когда оригиналы файлов taskmgr.exe и userinit.exe удалены с компьютера. Для восстановления работоспособности системы необходимо выполнить следующие действия:

• С помощью любого исправного ПК создайте загрузочный USB-накопитель и скопируйте на него файлы userinit.exe и taskmgr.exe , соответствующие вашей ОС. Скачать их можно по ссылке:

• Загрузите зараженный ПК с Dr.Web LiveUSB. Для загрузки с USB-Flash/USB-HDD необходимо при загрузке кoмпьютера выбрать в меню загрузки соответствующий носитель. Это можно сделать либо в BiOS, либо в меню Quick Boot /вызывается в момент инициализации BiOS, обычно по клавишам Esc, F11, F12, F8 — смотрите подсказку или инструкцию/. USB-Flash часто в Quick Boot спрятано в подменю HDD (загрузочная флешка воспринимается как загрузочный винт). Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) — выбираем USB-HDD.

• Проверьте ПК на с помощью сканера Dr.Web.

Если сканер обнаружил вредоносные файлы, к ним необходимо применить действие Удалить. Если это были файлы userinit.exe и taskmgr.exe, с помощью Midnight Commander восстановите их с загрузочного USB-накопителя. Для этого скопируйте (клавиша F5 ) файлы userinit.exe и taskmgr.exe с USB-накопителя в папку: C/Windows/System32 /.

Все! После всех треволнений и проделанных манипуляций, ваша система должна ожить. Хочу заметить, что вылечить систему можно не используя сканер Dr.Web, достаточно для начала восстановить системные файлы и в ручную выковырять заразу из пользовательской папки, а так же корня системы, тем более места расположения и примерные расширения вирусных файлов вам известны.

Смею тихо надеяться, что кому то да пригодятся способы расписанные в этой статье, если вы знаете другие методы борьбы с заразой такого рода, пишите в комментариях, так сказать делитесь опытом, пострадавшие оценят, тут уж точно "к бабке не ходи..."

С Уважением, Андрей

В этой заметке я расскажу о том, как можно удалить порнобаннеры и СМС-блокировщики windows, для которых не нашлось никаких кодов разблокировки.

Как их можно поискать описано в предыдущей статье вот тут:

Для проведения мероприятий по чистке компьютера нам понадобятся:

• Незараженный компьютер (компьютер соседа, брата или кума тоже сойдет) — 1 штука
• Флешка или пустой компакт-диск (самый обычный USB-flash накопитель объемом минимум на 256 Мегабайт или CD/DVD-R болванка) — 1 штука
• Доступ к интернету (нужно будет скачать примерно 200 Мегабайт) — 1 штука
• Терпение и сообразительность — по 1 штуке

Если при работе с компьютером на экране появился баннер (рекламный модуль) с требованием пополнить счет или отправить смс на указанный в сообщении номер, это значит, что вы стали жертвой вымогателя-блокера. Целью действий программ-вымогателей является блокирование доступа пользователя к данным или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы.

Для борьбы с программами-вымогателями специалисты Лаборатории Касперского разработали специальную утилиту Kaspersky WindowsUnlocker . Утилита запускается при загрузке компьютера со специальной версии образа Kaspersky Rescue Disk 10 и позволяет работать как в графическом режиме загрузки Kaspersky Rescue Disk , так и в текстовом.

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10 ).

2. Загрузка компьютера с Kaspersky Rescue Disk

Для записи Kaspersky Rescue Disk на СD/DVD-диск или USB-носитель вам потребуется незараженный компьютер, подключенный к сети Интернет.

1. Скачайте специальную версию образа Kaspersky Rescue Disk, в комплект которого включена утилита Kaspersky WindowsUnlocker.

5 . Журнал работы Kaspersky WindowsUnlocker

Журнал (лог) работы утилиты может понадобиться специалистам Службы технической поддержки при анализе вашего запроса. Вы можете отправить запрос через сервис Личный кабинет .Чтобы просмотреть журнал работы утилиты, выполните следующие действия:

1. На рабочем столе двойным щелчком откройте Диспетчер файлов (если вы работаете в текстовом режиме, закройтеМеню пользователя , нажав F10 ).

1. В меню Диспетчера файлов (в текстовом режиме — Midnight Commander ) найдите папку /var/kl (или /var/tmp в случае недоступности первой папки) и откройте ее.
2. В папке находится текстовый файл вида WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt . В этом файле находится журнал работы Kaspersky WindowsUnlocker .

После завершения работы с Kaspersky WindowsUnlocker перезагрузите компьютер и в параметрах BIOS на закладке Boot задайте в качестве загрузочного диска ваш жесткий диск.

Обновление от 17.12.2011

Кстати, зачастую после успешного удаления вируса, в системе остаются его «следы» в виде, например, заблокированного диспетчера задач.

Если у вас возникли какие-либо вопросы по использованию утилиты или при выполнении шагов инструкции, пишите либо в комментарии, либо .

Существует несколько способов избавиться от баннера вымогателя. Самое надёжное удаление этого вируса-это вручную. Как говорят ручная работа больше ценится .

Но, не каждому под силу разобраться в системных файлах. Так как для меня, это каторжная работа, я отдаю предпочтение предназначенным для этого программам или сервисам.

Приведу вам пример самого простого метода, поскольку знание программирования здесь не нужны. Нам в этом помогут специальные сервисы от антивирусных компаний таких как Dr.Web (Доктор Веб) и ESET NOD32

Что такое «баннер вымогатель » ?
Его еще называют «блокирующее окно » или «блокиратор экрана ».

На самом деле это троянский вирус, которого зовут «trojan winlock « И самое интересное то, что антивирусные программы его не видят, так как он маскируется и придает облик системного файла.

Он блокирует экран монитора и не даёт возможность войти в систему windows. При этом мышка и клавиатура становится парализованными и не реагируют не на какие действия с вашей стороны. Операционная система становится неработоспособной даже после перезагрузки компьютера. Вирус находится в автозагрузке. То-есть запускается вместе с операционной системой и успевает обезоружить антивируску.

Разработчики этого «trojan winlock » надежно позаботились о том, чтобы вы сами отдавали им деньги. Всплывающие окна бывают разные, но смысл содержит один и тот же-заставить вас заплатить за то, что якобы они разблокируют ваш компьютер. На картинке ниже надпись в окне.

За просмотр или посещение запрещённых интернет ресурсов Microsoft Windows Internet Security блокировал вашу систему.

А по сути, кто может запретить просмотр сайтов которые находятся в общем доступе. Там же не написано “не заходи-убьёт”. Значит, это не тысячи пользователей интернета нужно штрафовать. а как раз пару запрещённых сайтов. Видите, логики нет.

В окне устрашающая надпись,

Попытка перезагрузить или переустановить систему может привести к потере важной информации и нарушения работы компьютера.

Если течение 12 часов с момента появления данного сообщения, не будет введен код, все данные, включая windows и bios БУДУТ БЕЗВОЗВРАТНО УДАЛЕНЫ! попытка переустановить систему приведёт к нарушениям работы компьютера.

Которая психологически вас атакует и под воздействием страха утерять все данные с компьютера, отдаёте им свои деньги. И все! На этом процесс разблокировки закончен. Ну сами подумайте. Перевели на банковскую карточку мошенникам деньги, а куда код разблокировки они вам пришлют? Да и возится с вами ни кто не собирается.

В большинстве случаев вымогатели предлагают оплатить суму на какой-то номер телефона. или виртуальные интернет кошельки WebMoney либо Яндекс Кошелек . Сразу видно, что это не законно. Ну какая же государственная служба будет принимать оплату за услугу или штраф на номер телефона?

Им так спокойней, так как вычислить владельца данного номера будет сложно. А вот по банковской карточке можно пробить некоторые данные, такие как: адрес проживания, Фамилию и даже фотографию владельца счёта.

Хочу развеять один распространённый миф. Судя по надписям или картинкам в окне блокирующего баннера, жертвы заблокированного экрана верят в то, что действительно подхватили вирус на сайте с порно тематикой. Далеко не правда! Хотя и этот вариант я не вычёркиваю. «trojan winlock» можно подхватить на любом хорошем сайте. В моем случае это был не плохой музыкальный сайт. Вот и заразился два раза вирусом при скачивание музыки.

Его даже могут заправить в простой текстовый файл, после чего поменять расширение на “bat” и всё готово. Остаётся лишь щёлкнуть по нему мышкой для запуска.

Хакеры продолжают добиваться своего, а антивирусные компании им по рукам бить.

Смотрите видео, как избежать этой проблемы.

• Dr.Web

• Сервис разблокировки компьютеров ESET NOD32

• Аварийное восстановление системы с диска CD/DVD или загрузочного USB-накопителя Скачать утилиту Dr.Web

• Аварийное восстановление системы с помощью CD Скачать утилиту ESET NOD32

• Аварийное восстановление системы с помощью CD Скачать утилиту Kaspersky

Это полезно знать:

• 
  
•