Как разблокировать Windows от вируса-вымогателя. Пути попадания вируса в компьютер

Борьба с троянцами семейства WinLock и MbrLock

(блокировщики Windows)

Актуальность вопроса

Троянцы, блокирующие работу Windows, с сентября 2009 года - одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов - блокировщики Windows. Общее название подобных вредоносных программ - Trojan.Winlock.XXX, где XXX - номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.

Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.

Вот классический пример внешнего вида программы Trojan.Winlock:

Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.

Наша задача - научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.

Внимание! В текстах многих блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows все данные будут уничтожены» и т. д.). В основном это не более чем блеф.

Алгоритм действий по борьбе с Trojan.Winlock

Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:

1. Подбор кода разблокировки.

Коды разблокировки ко многим троянцам уже известны и занесены в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/ и попробуйте подобрать код. Инструкция по работе с базой разблокировки: http:// support. drweb. com/ show_ faq? qid=46452743& lng= ru

Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.

Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.

Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,

в поле Текст - текст сообщения.

Если сгенерированные коды не подошли - попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме кода, может быть выдана другая информация:

Win+D to unlock - нажмите комбинацию клавиш Windows+D для разблокировки.

any 7 symbols - введите любые 7 символов.

Воспользуйтесь генератором выше или use generator above - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Используйте форму или Пожалуйста, воспользуйтесь формой - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Если подобрать ничего чего не удалось

2. Если система заблокирована частично. Этот шаг относится к случаям, когда баннер «висит» в середине экрана, не занимая его целиком. Если доступ заблокирован полностью - переходите сразу к шагу 3. Диспетчер задач при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить вредоносный процесс обычными средствами нельзя.

Пользуясь остатками свободного пространства на экране, сделайте следующее:

1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус благополучно удален, дело можно считать сделанным, если ничего не найдено - переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу, перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если запуск удался -
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет процесс,
который отвечает за работу баннера.

3. Если доступа нет совсем. Обычно блокировщики полностью загромождают баннером экран, что делает невозможным запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB http://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему. Если нет - переходите к шагу 4 .

4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец - новинка, и искать его придется вручную.

Для удаления блокировщика вручную необходимо получить доступ к реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.

Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Путем подмены системных файлов(одного или нескольких) запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).

Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:

C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat

В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.

Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:

Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software , задайте имя (например, текущую дату) для раздела и нажмите ОK.

В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell должен быть равен Explorer.exe . Если перечислены любые другие файлы - необходимо записать их названия и полный путь к ним. Затем удалить все лишнее и задать значение Explorer.exe .

Параметр userinit должен быть равен C:\Windows\system32\userinit.exe, (именно так, с запятой на конце, где C - имя системного диска). Если указаны файлы после запятой - нужно записать их названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием Microsoft\WindowsNT\CurrentVersion\winlogon . Если эта ветвь есть, ее необходимо удалить.

Microsoft\Windows\CurrentVersion\Run - ветвь содержит настройки объектов автозапуска.

Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:

Имена напоминают системные процессы, но программы запускаются из других папок
(например, C:\Documents and Settings\Dima\svchost.exe ).

Имена вроде vip-porno-1923.avi.exe .

Приложения, запускающиеся из временных папок.

Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe ).

Имена состоят из случайных комбинаций букв и цифр
(например, C:\Documents and Settings\Dima\094238387764\094238387764.exe ).

Если подозрительные объекты присутствуют - их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.

Microsoft\Windows\CurrentVersion\RunOnce - тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.

Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Теперь необходимо проанализировать второй файл - NTUSER.DAT . Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст . В открывшемся окне укажите путь к файлу NTUSER.DAT , задайте имя для раздела и нажмите ОK.

Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.

Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.

Также обратите внимание на параметр Shell в ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon . Он должен иметь значение Explorer.exe . В то же время, если такой ветки нет вообще - все в порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:

Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.

Перенесите исправленные файлы реестра в соответствующие папки на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов). Файлы, информацию о которых вы записали в ходе работы - сохраните на флешке и удалите из системы. Их копии необходимо отправить в вирусную лабораторию компании «Доктор Веб» на анализ.

Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет - проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.

Внимание! Если после лечения с помощью Dr.Web LiveCD/USB компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:

Убедитесь, что в папке config находится один файл software . Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software - разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два - удалите более старый.

Если software один, а загрузка не происходит, высока вероятность, что система поражена «особенной» модификацией Winlock . Она прописывает себя в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , в параметр Shell и перезаписывает файл userinit.exe . Оригинальный userinit.exe хранится в той же папке, но под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего попробовать загрузиться с жесткого диска.

На каком бы из этапов ни кончилась битва с троянцем, необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и регулярно
обновляйте вирусные базы.

Если Вы читаете эту статью, то вероятно ваш компьютер подвергся вирусной атаке и он заблокировался, а чтобы разблокировать нужно отправить некую сумму на некий номер телефона.

Для этого лабораторией Касперского разработана утилита Kaspersky WindowsUnlocker с помощью которой можно разблокировать компьютерь, удалить вирус Trojan.Winlock и сделать проверку жёского диска на наличие вредоносных программ.

Чтобы разблокировать компьютер нам понадобится:

а. Второй компьютер, т.к. на заблокированном компьютере не удастся скачать эту программу

b. Флешка, объёмом не менее 256 мб (с файловой системой FAT32, если на флешке установлена файловая система NTFS, то необходимо отформатировать её в FAT32)

с. Образ диска для разблокировки (скачать с сервера Касперского)

d. Программа Kaspersky USB Rescue Disk Maker для записи образа диска на флешку (скачать с сервера Касперского)

Итак начнём...

Будем считать, что второй компьютер и флешку мы нашли, теперь скачиваем программу и образ, указанные в пункте c и d и приступаем непосредственно к установке.

1. Вставляем флешку и запускаем программу для записи образа, указанную в пункте d (утилита rescue2usb.exe ).

2. В окне Kaspersky USB Rescue Disk Maker выбираем образ, который скачали в пункте c.

5. В параметрах БИОС нужно выбрать вкладку Boot и выбрать в качестве первого пункта загрузочный диск или по другому флешку "Removable Devices " (это нужно чтобы операционная система загружалась не с жёсткого диска компьюте а с флеши).

6. Перегружаем компьютер и после загрузки операционной системы с флешки видим:

8. Читаем лицензионное соглашение и нажимаем "1 ".

9. Теперь выбираем пункт "Kaspersky Rescue Disk. Графический режим "

10. После того, как операционная системе загрузилась в графическом режиме, выбираем кнопку"К ", которая находится в левом нижнем углу и нажимаем пункт "Терминал ". В терминале пишем #Windowsunlocker .

13. Нажимаем 0 ("0-Выход ")

14. После очистки реестра нужно удалить остатки вымогателя-блокера с вашего ПК. Для этого в обязательном порядке нужно запустить проверку компьютера с помощью Kaspersky Rescue Disk (ярлык программы есть на рабочем столе ).

15. После очень длительной проверки перегружаем компьютер и смотрим разблокировался ли компьютер.

Загрузчик (bootloader, Hboot) – это программа, которая контролирует ядро операционной системы вашего девайса, что бы он загружлся в нормальном режиме. Причем это касается не только Android, но и других устройств имеющих ОС, например ПК, ноутбук и даже старый кнопочный телефон. Кроме того, именно загрузчик дает разрешение на установку каких-либо программ и прошивок. По этой причине пользователей интересует заводская разблокировка загрузчика на андроид телефоне.

Hboot активируется при включении устройства, и представляет собой аналог Bios в компьютере. Он подготавливает все данные для ядра, загружает его в память, после чего происходит непосредственный запуск системы. Если же её целостность нарушена или что-то мешает, благодаря загрузчику можно попасть в режим восстановления, что бы очистить данные, или произвести сброс до заводских установок. Для этого перед включением устройства, зажмите клавиши питания и понижения громкости, и не отпускайте их до момента загрузки (в некоторых случаях комбинация кнопок может отличаться).

Почему загрузчик заблокирован

Производители осуществляют блокировку по двум причинам:

1. Обязать владельца использовать ту операционную систему, которая была разработана для его устройства.

2. Обеспечения безопасности. Многие смартфоны и планшеты продаются через интернет или розничную сеть. И в том и другом случае, продавец или посредник может по своему усмотрению добавить софт рекламного или вредоносного характера, которого быть не должно. По этой же причине компания Xiaomi стала блокировать bootloader устройств, выпущенных после 2016 года, из-за многочисленных жалоб на наличие вирусов в их прошивке (которых изначально не было).

Преимущества разблокированного загрузчика

Разблокированный bootloader открывает перед пользователем ровно те же возможности, что и на ПК, а именно:

1. Прошить любую операционную систему (доступную для вашего устройства).
2. Установка отдельных модулей, ядер ОС, приложений, патчей.
3. Свободно мигрировать между стандартными прошивками, особенно если они основаны на разной версии Android.
4. Без особого труда создавать резервные копии текущей ОС и\или приложений, а также восстанавливать их без использования ПК.
5. Использовать Dual-Boot и устанавливать две и боле операционные системы, как во внутреннюю память, так и на внешнюю SD карту.
6. Шире возможности восстановления, в случае неудачной прошивки.

И это далеко не весь список возможностей после заводской разблокировки андроид.

Как снять блокировку

Каждое устройство имеет собственную версию загрузчика, а значит, способ разблокировки будет отличаться, в зависимости от модели и фирмы производителя. При подаче заявления блокировку может снять сама компания (особенно если вы разработчик Android), но чаще всего, это происходит путем взлома, найденных ранее уязвимостей в системе.

Риски и последствия

Самовольная разблокировка загрузчика, лишает вас гарантийного обслуживания. Кроме того, ваше устройство становится менее безопасным и уязвимым к хакерским атакам. Открытый bootloader позволяет обойти установленные пароли, получить доступ к личной информации или стереть всё и поставить другую прошивку.

Вывод

Сильно переживать из-за проблем с загрузчиком не стоит, особенно когда речь касается личной информации. В найденных или похищенных устройствах чаще всего стирают данные, и редко кто будет что-то восстанавливать. Открытый bootloader больше нужен продвинутым пользователям, которые знают, что с этим делать, регулярно что-то прошивают и экспериментируют.

Оставляйте ваши вопросы в комментариях к статье ниже – мы постараемся ответить.

Статья была Вам полезна?

Поставьте оценку - поддержите проект!

Программа для разблокировки Windows и предотвращения её блокировки, с помощью слежения за файловой системой, реестром и другими важными компонентами операционной системы.

ОС - операционная система (Windows, Android и т.д.).

Реестр

ABS или Анти Блокировочная Система позволяет отслеживать (вручную и автоматически) все изменения в реестре и файловой системе Windows, имеет справочник по кодам разблокировки ОС через СМС, а также включает в себе целый ряд сторонних системных утилит.

По принципу работы ближе всех к ней находится коммерческая разработка ADinf32:

Сравнение антиблокировочной системы ABS с платным аналогом ADinf32

По сути платный ADinf32 превосходит ABS только по степени стабильности (как-никак, а в этом году программе исполнится 20 лет!!!). В остальном же бесплатная Анти Блокировочная Система ничем не хуже, а даже и лучше! Но об этом позже, а пока, предлагаю установить утилиту.

Установка ABS

Трей - область уведомлений в правом нижнем углу Рабочего стола Windows.

С этим проблем у Вас не возникнет, если Вы хоть раз устанавливали программы в Windows. Просто запускаем исполняемый файл из скачанного архива и следуем подсказкам Мастера Установки.

Спустя пару минут программа полностью установится, и в системном трее Вы увидите ее значок:

Правый клик по значку позволяет нам быстро вызвать самые необходимые функции, а левый — открывает главное окно ABS:

Еще до загрузки основного окна программа, проведя оперативное сканирование, может выдать определенное предупреждение. У меня, например, при запуске появилось следующее сообщение:

hosts - текстовый файл со списком переадресаций для браузеров. Может быть подменён коварными троянами .

В данном случае ABS обнаружила изменения в системном файле hosts и предложила вернуть ему первоначальный вид. Это, несомненно, полезная функция, поскольку неправильная конфигурация данного файла может привести к неправильной работе отдельных сайтов или даже всего Интернета вообще на Вашем ПК.

Однако, не стоит соглашаться со всеми предложениями программы, поскольку среди них бывают и не очень полезные. Так, было замечено, что время от времени наш разблокировщик выдает сообщение следующего содержания:

Если Вы согласитесь с данным предложением, то при следующем запуске Windows обнаружите, что в трее нет ни одой программы, которые Вы привыкли использовать. Придется запускать все нужные утилиты вручную:(.

То есть я еще раз акцентирую Ваше внимание на том, что пользоваться программой нужно ВНИМАТЕЛЬНО и С УМОМ!!! Если не знаете, к чему приведет то или иное Ваше действие, лучше не совершайте его!

Интерфейс ABS

Интерфейс - всё то, посредством чего пользователь взаимодействует с компьютером.

Ну, а теперь вернемся к интерфейсу программы. В открывшемся окне (см. скриншот 2) мы можем видеть общую статистику работы Анти Блокировочной Системы. Здесь отображается информация о степени защиты компьютера, а также список событий.

При желании вместо списка можно отображать график. Для этого достаточно нажать кнопку «Показать график».

Проверка системы

Слева от информационного раздела мы видим меню программы, состоящее из восьми разделов. Перейдем во второй — «Проверка системы»:

По сути это самый главный раздел. Он позволяет произвести ручную проверку реестра и файловой системы на наличие новых или измененных записей. Для этого служат соответственно кнопки в нижней части окна программы. Можно производить и комплексное тестирование. Для этого достаточно нажать кнопку «Полная проверка».

Если при сканировании были обнаружены новые файлы, то вся доступная информация о них будет отображена в списке в центре окна. Непосредственно под списком мы обнаружим ряд кнопок, позволяющих совершать с найденными файлами определенные действия.

Сигнатура - характерная часть конкретной программы (например, вируса).

То есть, здесь все практически как в любой антивирусной программе за исключением возможности лечения и того, что ABS не использует для обнаружения сигнатур вирусов.

Последнее дает нам возможность выявлять при помощи Анти Блокировочной Системы даже неизвестные ранее вредоносные программы.

Единственное здесь, с чем нужно вести себя аккуратно, это кнопка «Удалить процессы». Нажав ее, Вы инициируете перезапуск explorer.exe , а заодно выгрузите все запущенные приложения. Более того, такая миниперезагрузка будет происходить теперь регулярно через определенный промежуток времени, пока Вы ее не отключите.

Самое обидное, что отключить ее можно только вкупе со всеми остальными настройками, сбросив их кнопкой «Снять все блокировки» в разделе «Инструменты» или «Сброс всех параметров» в разделе «Настройки».

База СМС кодов

В случае заражения при загрузке системы появляется окно, которое блокирует все попытки работы с Windows и для восстановления ее работоспособности требует отправить SMS-сообщение на определенный номер или пополнить счет какого-либо абонента мобильной связи.

Естественно, что никакого кода разблокировки Вы не получите, поэтому имеет смысл воспользоваться базой кодов ABS (естественно с другого компьютера).

Чтобы получить код разблокировки системы нужно в соответствующих полях указать номер, на который нужно отправить СМС и текст сообщения, который указан в уведомлении. После этого в списке ниже должен появиться один или несколько вариантов кодов разблокировки.

Если такого кода не обнаружилось, то можно воспользоваться одним из онлайн-сервисов от знаменитых антивирусных контор и там Вы точно найдете то, что ищете!

Не лишним будет также ознакомиться с полезной информацией по устранению некоторых неполадок. Вызвать ее можно, нажав кнопку «Показать советы».

Настройки ABS

Следующим разделом идут «Настройки»:

Настроить здесь можно первым делом Уровень Защиты (по умолчанию «подозрительный») и Оформление (доступно более 60 скинов!). Также обратите внимание на вкладку «Список доверенных процессов» и проверьте, все ли указанные там программы следует запускать.

В этом же разделе мы можем создать переносную версию своей ABS для запуска со съемных носителей . Для этого достаточно просто нажать кнопку «Создать Portabe ABS».

Также не стоит обходить вниманием пункт «Использовать оформление ABS 1.0». Активировав этот пункт, мы получим упрощенный вариант интерфейса программы, который использовался в ранних версиях:

Инструменты ABS

На этом с настройками закончим и перейдем в самый «Клондайк» функций, который Вы обнаружите в разделе «Инструменты»:

Итак, собственные инструменты, размещенные в первом ряду и представляют из себя всего три кнопки: две для включения/отключения защиты USB-носителей и одна для сброса всех блокировок программы.

Самое же интересное начинается с третьего ряда.

Например, нажав кнопку «Диспетчер задач», мы с радостью обнаружим запустившуюся утилиту Process Explorer :

Все программы от Sysinternal перед запуском покажут нам лицензионное соглашение, которое потребуется принять, после чего нужную софтину можно будет невозбранно использовать:)

Автозагрузка

В принципе практически все представленные здесь приложения являются полезными, однако особенно стоит отметить очень широкие возможности управления «Автозагрузкой» при помощи утилиты Autoruns от того же Руссиновича:

Драйвер - программа для управления определённым устройством.

В отличие от подобных решений других производителей, Autoruns позволяет управлять не только запуском отдельных программ, но и работает со всеми загружающимися драйверами, кодеками и даже системными процессами!!!

Монитор LAN-портов

Также лично мне понравился инструмент «Монитор LAN-портов», представленный утилитой CurrPorts (на сей раз разработка NirSoft):

Бэкдор (от англ. back door , задняя дверь) - вирус, создающий лазейку для повторного доступа к заражённому компьютеру.

Она отображает все активные сетевые подключения с указанием процесса и порта, через который он связывается с Интернетом. Это позволяет вовремя обнаружить подозрительную сетевую активность, а, соответственно, выявить вирусы, которые не пеленгуются антивирусными пакетами (новые трояны, бэкдоры, кейлогеры и т.д.).

Одним словом утилит достаточно много и на любой вкус, так что каждый найдет себе инструмент по душе.

Выводы

Утилита - программа узкого назначения.

Реестр - раздел для хранения всех настроек Windows.

файловой системе и/или реестре для своевременного выявления подозрительной активности.Именно об одной из таких программ и пойдет сегодня речь.

За время тестирования ABS показала себя неоднозначно. С одной стороны — она исправно выявляла все изменения, искусственно внесенные в реестр и системные каталоги, позволила мне даже исправить одну старую ошибку, связанную с «выпадением» ярлыков программ из трея.

Но, с другой стороны — Анти Блокировочная Система иногда вела себя довольно непредсказуемо. Чего стоят только исчезновения окна программы при поиске обновлений и изменений в реестре. Или, например, регулярное «убивание» explorer.exe описанное выше.

Поэтому, если Вы решили пользоваться данной программой, Вы должны отдавать себе отчет в том, чего именно хотите добиться, и к чему приведет Ваше то или иное действие. Ну и последний аргумент «за» — это, конечно же, очень хорошая подборка инструментов от сторонних производителей!

Поэтому окончательный вердикт — пользуйтесь на здоровье, но с умом и все будет хорошо (и даже лучше)! ;)

Послесловие

Вирусная активность в Интернете с каждым годом все возрастает, поэтому тема защиты пользовательского ПК также не устаревает.

Поскольку новые вирусы появляются практически ежедневно, то ясно, что нельзя быть полностью уверенным в неприступности своего компьютера, даже используя самые современные и мощные антивирусы.

Утилита - программа узкого назначения.

Поэтому для усиления эффекта некоторые пользуются сторонними утилитами, позволяющими производить мониторинг изменений в файловой системе и/или реестре для своевременного выявления подозрительной активности. Именно об одной из таких программ и шла речь в этой статье.

P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.

Как сегодня люди только не пытаются заработать денег, да и побольше, забывая то человеческое, что вложил в нас Господь. Просто удивляет, насколько люди теряют, обманывая и обворовывая других. Ведь Закон нашего мира, который гласит: «Что человек посеет, то и пожнет» еще никто не отменил. А через какое-то время возникают вопросы: «За что?».

В данной статье, дорогие читатели, я расскажу вам об одном из мошеннических действий, направленного на обворовывание ваших карманов — когда компьютер атакует выпущенный «умными» людьми вирус блокирующий ОС Windows, причем не важно, как версия у Вас операционная система — XP, 7, 8, 10 или другие. Наверняка Вы знаете о чем я, не так ли, по крайней мере думаю что многие из Вас сталкивался с подобной неприятностью? Да, да, я говорю о баннере-вымогателе , который появляется сразу после включения компьютера и блокирует Windows. На этом баннере может быть написано, что мол вы посмотрели какое-то запрещенное видео, и теперь Вам надо срочно отправить кому-то денег, например через Webmoney, и ответно получить СМС с кодом разблокировки операционной системы.

Даже не вздумайте никому ничего платить, т.к. никакие СМС с кодом разблокировки Вам не пришлют. Пусть этими злоумышленниками лучше Господь разбирается, а я Вам тем временем постараюсь помочь разблокировать компьютер.

Как «баннер вымогатель» попадает на компьютер?

1. Вирус «Баннер вымогатель» может попасть на компьютер вместе с бесплатными программами или играми, скачанными с сомнительных источников.

2. Если Вы качаете из интернета фото, музыку, видео и т.д., и эти файлы имеют расширение.exe (имя-файла.exe), вместо соответствующих.jpg, .mp3, .avi, .mkv (имя-файла.jpg).

3. Если на некоторых сайтах Вы видите баннер, который говорит, что мол Вам надо что-то обновить или переустановить, и нажимая на которые Вы переходите не на официальные сайты Ваших программ, а на их клоны.

4. Если на компьютере/ноутбуке не установлен антивирус, тогда вирус может проникнуть на компьютер просто со страницы различных сайтов.

Разблокировать Windows, т.е. убрать баннер вымогатель, из-за которого компьютер заблокирован можно следующими способами:

1. Переустановить Windows.
2. Почистить реестр Windows, т.е. убрать баннер из автозагрузки системы.
3. С помощью загрузочного диска со специальным антивирусным софтом (программами) для удаления вирусов из системы.

В сегодняшнем посте речь пойдет о втором способе – убрать баннер вымогатель из автозагрузки операционной системы.

Способ №1: Как разблокировать Windows с помощью чистки системного реестра

Как бы сложно это не звучало, на самом деле все просто. Просто придерживайтесь дальнейшей инструкции, и будьте внимательными.

1. Заходим в безопасный режим работы Windows. Для этого, после включения ПК, во время загрузки операционной системы нажимайте клавишу «F8» . Должен появиться черный экран, на котором можно выбрать варианты загрузки системы. Выбирайте «Безопасный режим» .

2. Когда Windows загрузится, нажмите сочетание клавиш «Win+R» . Или же «Пуск — Выполнить» .

3. В появившемся окошке введите: regedit

Важно! Если в «Безопасном режиме» также появляется баннер вымогатель, тогда снова перезагрузите ПК и через «F8», в меню выберите «Безопасный режим с поддержкой командной строки». Когда ПК загрузится и появиться черный экран с мигающим курсором, наберите также «regedit», и нажмите «Enter». Появиться то же окно с реестром.

4. Переходим по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon, и проверяем, чтобы следующие значения имели такие настройки:

Shell – напротив должно быть только «explorer.exe».
Userinit – напротив должно быть только «C:\Windows\system32\userinit.exe,». Если Windows установлен не на диск C:, то буква здесь будет иная.

Если значения отличаются, тогда исправьте, чтобы вышло так, как я написал выше. Для этого нажмите правой клавишей на строку, в которой нужно изменить значение, и выберите «Изменить».

5. Переходим по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Смотрим, чтобы здесь не было записей «Shell» и «Userinit». Если есть, удаляем их.

6. Проверяем следующие адреса на наличие подозрительных записей, типа – fgkthsinlr.exe , которые необходимо удалить:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если Вы не уверены, что та запись, которую Вы обнаружили, является вирусом, тогда нажмите на нее правой клавишей мышки, и выберите «Изменить». Значение поставьте «1». Таким образом, Вы отключите эту запись, и если что-то пойдет не так, сможете все исправить.

7. Перезагружаем компьютер и радуемся! Windows уже должен быть разблокирован.

Способ №2: Как разблокировать Windows с помощью утилит (антивирусного ПО)

Если Вам было сложно разобраться с разблокировкой компьютера методом чистки системного реестра Windows, тогда можете попробовать использовать специальные антивирусные утилиты (программы), с помощью которых это можно сделать всего в несколько кликов.

Программы для разблокировки Windows

— AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
— Kaspersky Rescue Disk : Скачать можно по этой ссылке: http://sms.kaspersky.ru/
— Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
— утилита AVZ . Скачать можно по этой ссылке: http://www.z-oleg.com/secur/avz/download.php

В основном порядок действий по разблокированию компьютера с помощью утилит сводиться к записи их образов на флешку (USB накопитель), включить загрузку компьютера с USB, и во всплывающих окнах просто нажать «Старт», «Анти SMS», «Очистить» и т.д.

Подробнее о данных программах я напишу позже, а на сегодня все. Если у Вас что-то не получилось, пишите в комментариях, попробуем разобраться вместе.