Трояны-винлокеры - это разновидность вредоносного ПО, которое путем блокировки доступа к рабочему столу вымогает у пользователя деньги - якобы если тот переведет на счет злоумышленника требуемую сумму, получит код разблокировки.
Если включив однажды ПК вы видите вместо рабочего стола:
Либо что-то еще в том же духе - с угрожающими надписями, а иногда с непристойными картинками, не спешите обвинять своих близких во всех грехах. Они, а может быть и вы сами, стали жертвой вымогателя trojan.winlock.
Чаще всего блокировщики попадают на компьютер следующими путями:
Внимание! Порнографические баннеры далеко не всегда загружаются с порносайтов. Могут и с самых обычных.
Такими же способами распространяется другой вид вымогателей - блокировщики браузеров. Например, такой:
Они требуют деньги за доступ к просмотру веб-страниц через браузер.
При блокировке рабочего стола, когда вирусный баннер препятствует запуску любых программ на компьютере, можно предпринять следующее:
Способ 1. Удаление винлокера из безопасного режима с поддержкой консоли.
Итак, как удалить баннер с компьютера через командную строку?
На машинах с Windows XP и 7 до старта системы нужно успеть быстро нажать клавишу F8 и выбрать из меню отмеченный пункт (в Windows 8\8.1 этого меню нет, поэтому придется грузиться с установочного диска и запускать командную строку оттуда).
Вместо рабочего стола перед вами откроется консоль. Для запуска редактора реестра вводим в нее команду regedit и жмем Enter.
Следом открываем редактор реестра, находим в нем вирусные записи и исправляем.
Чаще всего баннеры-вымогатели прописываются в разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - здесь они изменяют значения параметров Shell, Userinit и Uihost (последний параметр есть только в Windows XP). Вам необходимо исправить их на нормальные:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - смотрите параметр AppInit_DLLs. В норме он может отсутствовать или иметь пустое значение.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - здесь вымогатель создает новый параметр со значением в виде пути к файлу блокировщика. Имя параметра может представлять собой набор букв, например, dkfjghk. Его нужно удалить полностью.
То же самое в следующих разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Для исправления ключей реестра кликните правой кнопкой по параметру, выберите «Изменить», введите новое значение и нажмите OK.
После этого перезапустите компьютер в нормальном режиме и сделайте сканирование антивирусом Он удалит все файлы вымогателя с жесткого диска.
Способ 2. Удаление винлокера с помощью ERD Commander.
ERD commander содержит большой набор инструментов для восстановления Windows, в том числе при поражении троянами-блокировщиками. C помощью встроенного в него редактора реестра ERDregedit можно проделать те же операции, что мы описали выше.
ERD commander будет незаменим, если Windows заблокирован во всех режимах. Его копии распространяются нелегально, но их несложно найти в сети.
Наборы ERD commander для всех версий Windows называют загрузочными дисками MSDaRT (Microsoft Diagnostic & Recavery Toolset), они идут в формате ISO, что удобно для записи на DVD или переноса на флешку.
Загрузившись с такого диска, нужно выбрать свою версию системы и, зайдя в меню, кликнуть редактор реестра.
В Windows XP порядок действий немного другой - здесь нужно открыть меню Start (Пуск), выбрать Administrative Tools и Registry Editor.
После правки реестра снова загрузите Windows - скорее всего, баннера «Компьютер заблокирован» вы не увидите.
Способ 3. Удаление блокировщика с помощью антивирусного «диска спасения».
Это наиболее легкий, но и самый долгий метод разблокировки. Достаточно записать образ Dr.Web LiveDisk или Kaspersky Rescue Disk на DVD, загрузиться с него, запустить сканирование и дождаться окончания. Вирус будет убит.
Удалять баннеры с компьютера как с помощью диска Dr.Web, так и Касперского одинаково эффективно.
В настоящее время мы живем в компьютерную эру. Компьютер есть теперь в каждом доме и офисе, и даже не по одной штуке. Компьютеры используются для обучения и развлечения. А если есть интернет, то можно оплатить коммунальные услуги и совершить банковский перевод. Это действительно очень удобно и сильно облегчает нашу жизнь. И все бы хорошо, если бы в этой области не совершались преступления, называемые кибер преступностью , портящие нам настроение и облегчающие наш кошелек:-).
Давайте разберем подробнее, что это такое и как мы можем с этим бороться.
Электронные платежные системы Webmoney, Qiwi, Яндекс деньги и другие – все мы пользовались ими и по достоинству оценили их возможности. Некоторые из них более защищены и имеют привязку к определенному компьютеру, двойную аутентификацию через СМС и мобильное приложение, устанавливаемое на ваш смартфон или планшет. Некоторые менее защищены и хранят сохраненные пароли прямо в браузере, откуда, если очень захотеть, их можно скопировать и получить доступ к вашему счету. Чтобы этого не случилось, нужно обязательно защитить свой компьютер с помощью антивирусных программ.
Поэтому, у вас всегда на компьютере должна быть установлена антивирусная программа со свежими обновлениями!
Для самых чайников будет достаточно установить бесплатный антивирус Avast. Хоть что-то, чем вообще ничего.
Давайте разберем ситуацию, когда на компьютере вообще нет антивируса . Чем это грозит? Даже пользование интернетом в течении двух-трех часов при неустановленном или отключенном антивирусе обеспечит вам высокую вероятность “нахватать” вредоносных программ из интернета. С какой целью пишутся эти программы? А цель простая: преступник, когда за это ему грозит уголовная ответственность, не будет заниматься распространением вирусов, если не будет иметь с этого существенного дохода… Так и вирусы. В последнее время они пишутся с целью отъема ваших денег скрытым или явным способами.
При скрытом способе к вам на компьютер устанавливается вредоносная программа, так называемый “троян”. Она проникает через уязвимость компьютера, например, при отключенном брандмауэре или при заходе на определенную группу сайтов. Чаще всего к ним относятся сайты эротического содержания. При явном способе отъема денег вы сами переводите деньги за разблокировку компьютера тем или иным способом на счет преступников. Причем разблокировки на самом деле может и не быть, так как вы после перечисления денег будете преступникам просто не интересны.
Решил провести рискованный эксперимент). Обновил базы антивируса и зашел на явно подозрительный сайт, чтобы показать вам, как это выглядит. Сходу нам предлагают скачать непонятно какой файл драйвера, даже без уточнения модели вебкамеры.
Название сайта видно на скриншоте и оно не несет никакой смысловой нагрузки. Скорее всего, это сделано умышленно, чтобы ассоциировать данный сайт по названию под как можно большее количество запросов в поисковике, для того чтобы вы не могли заметить несоответствие тематики. Причем на экране мы видим большое количество скачавших и, якобы, поблагодаривших.
Очень часто при поиске мы видим имитацию страниц форума с непонятным названием и с предложением скачать нужный нам файл. Далее идет вопрос от “пользователя”: Просят отправить СМС для скачивания этого файла. Ему с радостью поясняют, что это защита от ботов, все проверено, не беспокойтесь
Разумеется, после того как вы отправите СМС, которая окажется платной, с вашего счета снимут кругленькую сумму под надуманным предлогом оказания развлекательных или информационных услуг.
Также никогда не устанавливайте различного рода Тулбары на свой компьютер, несмотря на все плюсы от этой установки, которые вам красочно распишут специально нанятые опытные авторы:
Лучше воздержаться от захода на сайты, если мы видим такое предупреждение:
Хотя возможно – это просто перестраховка от программистов Яндекса. Это относится и к различным расширениям из непроверенных источников. Под видом этого часто скрываются всевозможные вирусы.
Давайте разберем, как заражается компьютер с установленным антивирусом, но не с последними базами и включенным брандмауэром?
Чаще всего неопытный пользователь сам скачивает к себе на компьютер вредоносное программное обеспечение, не подозревая об этом. Оно может быть замаскировано под что угодно, например, под утилиту или драйвер с самораспаковывающимся архивом с расширением *.exe, или даже, как это произошло с моим начальником, под важное письмо, якобы от арбитражного суда. Так выглядит один из возможных баннеров-вымогателей, который может появиться на вашем рабочем столе:
Люди бизнеса часто имеют много заморочек. Потеряв голову, они сразу скачивают вложение из письма и открывают его. Причем в этом случае файл так и назывался “Письмо”. И даже иконка была в виде конверта. Для малообразованных в компьютерной области людей, этого, к сожалению, бывает достаточно. Это нас, более опытных пользователей, насторожит нестандартное расширение файла и его иконка
После этого на рабочем столе появился баннер с названием Watnik 91
Кого они собирались таким образом ввести в заблуждение – непонятно, видимо это все, на что была способна их фантазия.
Так вот на этом баннере был напечатан текст, что все ваши файлы с расширением DOC, PDF, XLS, JPEG, и возможно какие-то еще были зашифрованы. Расшифровать их удалось, но только после двух недель переписки и отправки образцов зашифрованных файлов на спец сайт, по оказанию помощи хелперам.
Я сталкивался ранее с баннерами-вымогателями. У меня на этот случай есть загрузочный диск под названием Anti SMS , специально созданный для борьбы с баннерами-вымогателями. Работать с ним очень просто. Достаточно в первые 5 секунд после старта компьютера нажать несколько раз клавишу входа в BIOS. Для разных версий материнских плат это разные клавиши, например Delete, F2, F11 и другие, смотрите подсказки на экране монитора сразу после старта ПК.
После того как урезанная версия ОС (операционной системы) загрузится в оперативную память компьютера, мы должны нажать всего одну кнопку-иконку на экране монитора и дождаться сообщения, что компьютер очищен. Будет очищен автозапуск компьютера в который сам себя прописывает вирус. После перезагрузки компьютера мы увидим, что баннер – вымогатель пропал.
Как быть, если ваш компьютер заражен, на экране висит подобный баннер, который блокирует выход в интернет и работу компьютера, а у вас нет такого диска? Ну вот оказались вы не готовы к такому повороту событий!?
Тогда можно загрузится с Live Cd диска Linux, например Ubuntu или Runtu, с поддержкой по умолчанию выхода в интернет, через Ethernet. Кто в теме те поймут
И затем скачать утилиту Dr web CureIt на флешку
Либо зайти и совершить эти действия с другого компьютера. Данная утилита позволит очистить ваш компьютер от вирусов, после того как вы загрузитесь в Windows в безопасном режиме. Для этого нужно записать утилиту на флешку, а после загрузки Windows в безопасном режиме, запустить данную утилиту с флешки.
Эта утилита является полностью бесплатной и поставляется с последними версиями баз.
Надеюсь, что после прочтения этой статьи ваш компьютер будет надежно защищен. А в случае если баннер-вымогатель, все-таки появится на вашем рабочем столе, вы сможете его быстро и самостоятельно убрать.
Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер :«Отправьте смс», операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим войти не могу, но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы и вышла ошибка- На системном диске этого компьютера нет точек восстановления.
Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.
Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос - есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете?
Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.
Начнём с самого простого и закончим сложным. Как убрать баннер с помощью безопасного режима . Если ваш интернет-серфинг закончился неудачно и вы непреднамеренно установили себе вредоносный код, то нужно начать с самого простого - попытаться зайти в Безопасный режим (к сожалению, в большинстве случаев у вас это не получится, но стоит попробовать), но Вам точно удастся зайти в (больше шансов), делать в обоих режимах нужно одно и тоже , давайте разберём оба варианта.
В начальной фазе загрузки компьютера жмите F-8 , затем выбирайте , если вам удастся зайти в него, то можно сказать вам сильно повезло и задача для вас упрощается. Первое, что нужно попробовать, это откатиться с помощью точек восстановления на некоторое время назад. Кто не знает как пользоваться восстановлением системы, читаем подробно здесь - . Если восстановление системы не работает, пробуем другое.
В строке Выполнить наберите msconfig ,
В папке у вас тоже ничего не должно быть, . Или она расположена по адресу
C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .
Важное замечание : Друзья, в данной статье Вам придётся иметь дело в основном с папками, имеющими атрибут Скрытый (например AppData и др ), поэтому, как только вы попадёте в Безопасный режим или Безопасный режим с поддержкой командной строки , сразу включите в системе отображение скрытых файлов и папок , иначе нужные папки, в которых прячется вирус, вы просто не увидите. Сделать это очень просто.
Windows XP
Откройте любую папку и щёлкните по меню «Сервис
», выберите там «Свойства папки
», далее переходите на вкладку «Вид
» Далее в самом низу отметьте пункт «» и нажмите ОК
Windows 7
Пуск
->Панель управления
->Просмотр
: Категория
-Мелкие значки
->Параметры папок
->Вид
. В самом низу отметьте пункт «Показывать скрытые файлы и папки
».
Итак возвращаемся к статье. Смотрим папку , у вас в ней ничего не должно быть.
Убедитесь, что в корне диска (С:), нет никаких незнакомых и подозрительных папок и файлов, к примеру с таким непонятным названием OYSQFGVXZ.exe, если есть их нужно удалить.
Теперь внимание: В Windows ХР удаляем подозрительные файлы (пример виден выше на скришноте) со странными названиями и
с расширением.exe из папок
C:\
C:\Documents and Settings\Имя пользователя\Application Data
C:\Documents and Settings\Имя пользователя\Local Settings
С:\Documents and Settings\Имя пользователя\Local Settings\Temp
- отсюда вообще всё удалите, это папка временных файлов.
Windows 7 имеет хороший уровень безопасности и в большинстве случаев не позволит внести изменения в реестр вредоносным программам и подавляющее большинство вирусов так же стремятся попасть в каталог временных файлов:
C:\USERS\имя пользователя\AppData\Local\Temp
, отсюда можно запустить исполняемый файл.exe. К примеру привожу заражённый компьютер, на скришноте мы видим вирусный файл 24kkk290347.exe и ещё группу файлов, созданных системой почти в одно и тоже время вместе с вирусом, удалить нужно всё.
В них не должно быть ничего подозрительного, если есть, удаляем.
И ещё обязательно:
В большинстве случае, вышеприведённые действия приведут к удалению баннера и нормальной загрузки системы. После нормальной загрузки проверяйте весь ваш компьютер бесплатным антивирусным сканером с последними обновлениями - Dr.Web CureIt, скачайте его на сайте Dr.Web.
Безопасный режим с поддержкой командной строки .
Если после всего этого ваш баннер ещё живой, не сдаёмся и читаем дальше.
Или хотя бы пройдите в середину статьи и ознакомьтесь с полной информацией о исправлении параметров реестра, в случае заражения баннером-вымогателем.
Что делать, если в безопасный режим войти не удалось? Попробуйте Безопасный режим с поддержкой командной строки
, там делаем то же самое, но есть разница
в командах Windows XP и Windows 7 .
Применить Восстановление системы.
В Windows 7
вводим rstrui.exe
и жмём Enter
- попадаем в окно Восстановления системы.
Или попробуйте набрать команду: explorer – загрузится подобие рабочего стола, где вы сможете открыть мой компьютер и проделать всё то же самое, что и безопасном режиме -проверить компьютер на вирусы, посмотреть папку Автозагрузка и корень диска (С: ), а так же каталог временных файлов: отредактировать реестр по необходимости и так далее.
Что бы попасть в Восстановление системы Windows XP , в командной строке набирают- %systemroot%\system32\restore\rstrui.exe ,
что бы попасть в Windows XP в проводник и окно Мой компьютер , как и в семёрке набираем команду explorer .
здесь сначала нужно набрать команду explorer и вы попадёте прямо на рабочий стол. Многие не могут переключить в командной строке выставленную по умолчанию русскую раскладку клавиатуры на английскую сочетанием alt-shift, тогда попробуйте наоборот shift-alt.
Уже здесь идите в меню Пуск , затем Выполнить ,
далее выбирайте Автозагрузку - удаляете из неё всё, затем делаете всё то, что делали в и корень диска (С: ), удаляете вирус из каталога временных файлов: C:\USERS\имя пользователя\AppData\Local\Temp, отредактируйте реестр по необходимости (с подробностями всё описано выше ).
Восстановление системы . Немного по другому у нас будут обстоять дела, если в Безопасный режим и безопасный режим с поддержкой командной строки вам попасть не удастся. Значит ли это то, что восстановление системы мы с вами использовать не сможем? Нет не значит, откатиться назад с помощью точек восстановления возможно, даже если у вас операционная система не загружается ни в каком режиме. В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки компьютера жмёте F-8 и выбираете в меню Устранение неполадок компьютера ,
В окне Параметры восстановления опять выбираем Восстановление системы,
Теперь внимание, если при нажатии F-8 меню Устранение неполадок не доступно, значит у вас повреждены файлы, содержащие среду восстановления Windows 7.
Теперь давайте подумаем, как будем действовать, если Восстановление системы запустить нам не удастся никакими способами или оно вовсе было отключено. Во первых посмотрим как убрать баннер с помощью кода разблокировки, который любезно предоставляется компаниями разработчиками антивирусного ПО- Dr.Web, а так же ESET NOD32 и Лабораторией Касперского, в этом случае понадобится помощь друзей. Нужно что бы кто-нибудь из них зашёл на сервис разблокировки- к примеру Dr.Web
https://www.drweb.com/xperf/unlocker/
http://www.esetnod32.ru/.support/winlock/
а так же Лаборатории Касперского
http://sms.kaspersky.ru/ и ввёл в данное поле номер телефона, на который вам нужно перевести деньги для разблокировки компьютера и нажал на кнопку- Искать коды. Если код разблокировки найдётся, вводите его в окно баннера и жмите Активация или что там у вас написано, баннер должен пропасть.
Ещё простой способ убрать баннер, это с помощью диска восстановления или как их ещё называют спасения от и . Весь процесс от скачивания, прожига образа на чистый компакт-диск и проверки вашего компьютера на вирусы, подробнейшим образом описан в наших статьях, можете пройти по ссылкам, останавливаться на этом не будем. Кстати диски спасения от данных антивирусных компаний совсем неплохие, их можно использовать как и LiveCD - проводить файловые различные операции, например скопировать личные данные с заражённой системы или запустить с флешки лечащую утилиту от Dr.Web - Dr.Web CureIt. А в диске спасения ESET NOD32 есть прекрасная вещь, которая не раз мне помогала - Userinit_fix , исправляющая на заражённом баннером компьютере важные параметры реестра - Userinit, ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Как всё это исправить вручную, читаем дальше.
Ну друзья мои, если кто-то ещё читает статью дальше, то я сильно рад Вам, сейчас начнётся самое интересное, если вам удастся усвоить и тем более применить данную информацию на практике, многие простые люди, которых вы освободите от баннера вымогателя, вполне посчитают вас за настоящего хакера.
Давайте не будем обманывать себя, лично мне всё что описано выше помогало ровно в половине встречающихся случаев блокировки компьютера вирусом –блокировщиком - Trojan.Winlock . Другая же половина требует более внимательного рассмотрения вопроса, чем мы с вами и займёмся.
На самом деле блокируя вашу операционную систему, всё равно Windows 7 или Windows XP, вирус вносит свои изменения в реестр
, а также в папки Temp
, содержащие временные файлы и папку С:\Windows->system32
. Мы должны эти изменения исправить. Не забывайте так же про папку Пуск->Все программы->Автозагрузка. Теперь обо всём этом подробно.
В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
.
В идеале они должны быть такими:
Userinit - C:\Windows\system32\userinit.exe
,
Shell - explorer.exe
Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs
в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
, если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce , в них ни должно быть ничего подозрительного.
И ещё обязательно:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (должен быть пустой) и вообще здесь тоже ничего не должно быть лишнего. ParseAutoexec должен быть равен 1 .
Ещё нужно удалить ВСЁ из временных папок (на эту тему тоже есть статья), но в Windows 7 и в Windows XP они расположены немного по разному:
Windows 7
:
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\
Windows XP
:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32
, все файлы оканчивающиеся на .exe
и dll
с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.
А теперь смотрите, как всё это будет осуществлять начинающий, а затем опытный пользователь. Начнём с Windows 7, а потом перейдём к XP.
Как убрать баннер в Windows 7, если Восстановление системы было отключено?
Представим худший вариант развития событий. Вход в Windows 7 заблокирован баннером - вымогателем. Восстановление системы отключено. Самый простой способ - заходим в систему Windows 7 с помощью простого диска восстановления (сделать его можно прямо в операционной системе Windows 7 –подробно описано у нас в статье), ещё можно воспользоваться простым установочным диском Windows 7 или любым самым простым LiveCD . Загружаемся в среду восстановления, выбираем Восстановление системы- далее выбираем командную строку
и набираем в ней –notepad, попадаем в Блокнот, далее Файл и Открыть.
Заходим в настоящий проводник, нажимаем Мой компьютер.
Идём в папку C:\Windows\System32\Config , здесь указываем Тип файлов – Все файлы и видим наши файлы реестра, так же видим папку RegBack ,
в ней каждые 10 дней Планировщик заданий делает резервную копию разделов реестра - даже если у вас Отключено Восстановление системы. Что здесь можно предпринять – удалим из папки C:\Windows\System32\Config файл SOFTWARE , отвечающий за куст реестра HKEY_LOCAL_MACHINE\SOFTWARE, чаще всего вирус вносит свои изменения здесь.
А на его место скопируем и вставим файл с таким же именем SOFTWARE из резервной копии папки RegBack.
В большинстве случаев это будет достаточно, но при желании можете заменить из папки RegBack в папке Config все пять кустов реестра: SAM , SEСURITY , SOFTWARE , DEFAULT , SYSTEM .
Далее делаем всё как написано выше- удаляем файлы из временных папок Temp, просматриваем папку С:\Windows->system32 на предмет файлов с расширением.exe и dll с датой на день заражения и конечно смотрим содержимое папки Автозагрузка.
В Windows 7 она находится:
C:\Users\ALEX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
Windows XP :
C:\Documents and Settings\ All Users\Главное меню\ Программы\Автозагрузка.
Кстати может прекрасно подключиться к вашей операционной системе Windows 7. Загрузив компьютер с диска восстановления Microsoft (DaRT), можно редактировать реестр, переназначить пароли, удалять и копировать файлы, пользоваться восстановлением системы и многое другое. Без сомнения далеко не каждый LiveCD обладает такими функциями.
Загружаем наш компьютер с данного, как его ещё называют -реанимационного диска Microsoft (DaRT), Инициализировать подключение к сети в фоновом режиме, если нам не нужен интернет - отказываемся.
Назначить буквы дискам так же как на целевой системе- говорим Да, так удобней работать.
Раскладка русская и далее. В самом низу мы видим то, что нам нужно- Microsoft Diagnostic and Recovery Toolset. в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.
Так же мы с вами можем зайти в автозагрузку с помощью инструмента Управление компьютером.
Инструмент проводник – без комментариев, здесь мы можем проводить любые операции с нашими файлами: копировать, удалять, запустить с флешки антивирусный сканер и так далее.
В нашем случае нужно почистить от всего временные папки Temp, сколько их и где они находятся в Windows 7, вы уже знаете из середины статьи.
Но внимание! Так как Microsoft Diagnostic and Recovery Toolset полностью подключается к вашей операционной системе, то удалить к примеру файлы реестра -SAM, SECURITY, SOFTWARE, DEFAULT, SYSTEM, у вас не получится, ведь они находятся в работе, а внести изменения пожалуйста.
Как убрать баннер в Windows XP
Опять же дело в инструменте, я предлагаю использовать ERD Commander 5.0 (ссылка на статью выше), как я уже говорил в начале статьи он специально разработан для решения подобных проблем в Windows XP. ERD Commander 5.0 позволит непосредственно подключиться к операционной системе и проделать всё то же, что мы сделали с помощью Microsoft Diagnostic and Recovery Toolset в Windows 7.
Загружаем наш компьютер с диска восстановления . Выбираем первый вариант подключение к заражённой операционной системе.
Выбираем реестр.
Смотрим параметры UserInit и Shell в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Как я уже говорил выше, у них должно быть такое значение.
Userinit - C:\Windows\system32\userinit.exe,
Shell - explorer.exe
Так же смотрим HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs -он должен быть пустой.
Далее идём в проводник и удаляем всё из временных папок Temp.
Как ещё можно удалить баннер в Windows XP с помощью ERD Commander (кстати такой способ применим для любого Live CD). Можно попытаться сделать это даже без подключения к операционной системе. Загружаем ERD Commander и работаем без подключения к Windows XP,
в этом режиме мы с вами сможем удалять и заменять файлы реестра, так как они не будут задействованы в работе. Выбираем Проводник.
Файлы реестра в операционной системе Windows XP находятся в папке C:\Windows\System32\Config . А резервные копии файлов реестра, созданные при установке Windows XP лежат в папке repair , расположенной по адресу С:\Windows\repair .
Поступаем так же, копируем в первую очередь файл SOFTWARE ,
а затем можно и остальные файлы реестра - SAM , SEСURITY , DEFAULT , SYSTEM по очереди из папки repair и заменяем ими такие же в папке C:\Windows\System32\Config. Заменить файл? Соглашаемся- Yes .
Хочу сказать, что в большинстве случаев хватает заменить один файл SOFTWARE. При замене файлов реестра из папки repair, появляется хороший шанс загрузить систему, но большая часть изменений произведённая вами после установки Windows XP пропадёт. Подумайте, подойдёт ли этот способ вам. Не забываем удалить всё незнакомое из автозагрузки. В принципе клиент MSN Messenger удалять не стоит, если он вам нужен.
И последний на сегодня способ избавления от баннера вымогателя с помощью диска ERD Commander или любого Live CD
Если у вас было включено восстановление системы в Windows XP, но применить его не получается, то можно попробовать сделать так. Идём в папку C:\Windows\System32\Config содержащую файлы реестра.
Открываем с помощью бегунка имя файла полностью и удаляем SAM, SEСURITY, SOFTWARE, DEFAULT, SYSTEM. Кстати перед удалением их можно скопировать на всякий случай куда-нибудь, мало ли что. Может вы захотите отыграть назад.
Далее заходим в папку System Volume Information\_restore{E9F1FFFA-7940-4ABA-BEC6- 8E56211F48E2}\RP\ snapshot , здесь копируем файлы представляющие из себя резервные копии ветки нашего реестра HKEY_LOCAL_MACHINE\ рассказ , можете почитать.
Сегодня я хочу поговорить об SMS-вымогательстве посредством Интернета и компьютера . То есть случаям, когда ваш компьютер после посещения определенных сайтов заражается баннерами, которые блокируют работу системы полностью или частично. Для разблокирования требуется отправить сообщение на короткий номер.
Вначале разберемся, какие типы баннеров-вымогателей бывают. К первому типу относят баннеры, которые появляются только при запуске интернет-браузеров (Internet Explorer, Opera, Mozilla Firefox, Google Chrome, и т.д.). Данные баннеры еще называют информерами .
Второй тип баннеров размещается на рабочем столе и занимает большую его часть, при этом не блокируя запуск других программ, позволяя открывать Главное меню, Диспетчер задач, и т.д.
Третий тип баннеров – самый противный. Он полностью блокирует работу компьютера, требуя отправки СМС-сообщения на короткий номер. В ответ обещается код разблокировки. В систему невозможно нормально зайти даже в Безопасном режиме. Помните одно: никогда не отправляйте SMS на указанные номера! Это мошенничество чистой воды, попадающее под соответствующие статьи Уголовного кодекса. Еще ни разу ни одному пользователю не пришло ответное СМС-сообщение с кодом разблокирования баннера.
Итак, неизвестно каким способом, но баннер проник к вам на компьютер. То ли это произошло после того, как вы прошли по ссылке, указанной в электронном письме, то ли просто скачали что-то — вариантов множество. Что же делать в таком случае? Вначале нужно определиться, какого типа баннер-вымогатель засел в вашем компьютере. Если он закрывается вместе с браузером – это первая их разновидность, если запускаются Диспетчер задач, Блокнот, Ворд или любые другие приложения – вторая разновидность, если же ничего не помогает и баннер висит – третья.
Для удаления первой разновидности вымогателя Вам необходимо тщательно просмотреть все настройки браузера и удалить все плагины, дополнения и расширения, которые Вы не устанавливали. То же самое делаем для апплетов JavaScript и DLL-библиотек.
Второй тип SMS -вымогателей не настолько легко вычистить из системы, но и это возможно. Путь первый заключается в том, чтобы посетить сайт какой-либо антивирусной компании. Все более-менее крупные компании уже довольно давно разместили на своих официальных сайтах информацию о том, как можно удалить баннер-вымогатель «легальными» способами. Нужно найти на сайте информацию, которая относится именно к тому короткому номеру, на который Вам предлагается отправить СМС-сообщение. Там же, на сайте, дается и код разблокировки, причем абсолютно бесплатно. После разблокировки обновите базы антивирусных сигнатур для того антивируса, который у вас установлен, и запустите полную проверку всего компьютера. Всю найденную заразу безжалостно удаляйте. Если же у Вас не установлено никакого антивируса, то скачайте с сайта Dr.Web бесплатную утилиту CureIt, и проверьте компьютер ею. После проверки почистите реестр специальной утилитой – чистильщиком реестра, или сделайте это вручную, если, конечно, вы в этом разбираетесь.
Если же у Вас третий тип баннера-вымогателя, то без LiveCD диска или без снятия вашего винчестера и подсоединения его к другому компьютеру не обойтись. Порядок действий здесь такой: загружаетесь с диска, запускаете CureIt, проверяете компьютер на заразу, и все найденное удаляете. Опять же запускаете чистильщик реестра, и удаляете ключи, которые имели отношение к вредоносным программам. Если LiveCD диска у Вас нет, то подсоедините Ваш винчестер к другому компьютеру, и запустите антивирус уже на нем, предварительно, конечно, обновив вирусные базы. После этого перезагружаемся и наслаждаемся жизнью.
Здравствуйте уважаемые читатели блога сайт Давненько я хотел написать статью о том как удалить вирус вымогатель (Winlocker) блокирующий вход в систему вашего компьютера.
Чаще всего с такой проблемой сталкиваются неопытные пользователи, которые по чистой случайности или из-за своей халатности стали жертвами мошенников. По своей неопытности многие отправляют СМС для разблокировки баннера с надеждой получить код и тратят при этом не мало денег, прежде чем становиться ясно, что это всего лишь вирус вымогатель заразивший ваш компьютер, с которым можно бороться и без денежных вложений.
Скажу сразу, что ни в коем случае не платите деньги мошенникам, все что написано на таком смс баннере является разводом чистой воды. Даже если вы надумали пойти по наименьшему сопротивлению и собираетесь заплатить то не факт, что это решит вашу проблему.
Также не прибегайте к крайней мере – не переустанавливайте систему. Любую вредоносную программу можно удалить простым способом и без последствий. Переустановка системы может повлечь за собой полное удаление всей необходимой информации. К ней можно прибегать только в том случае если ничего ценного на вашем компьютере нет.
Winlocker полностью приостанавливает работу операционной системы, закрывает доступ к запуску программ и рабочего стола. Вирус вымогатель блокирует доступ к диспетчеру задач и запускается сразу после начала загрузки windows. Иногда случается так, что вредоносная программа закрывает возможность запуска системы в безопасном режиме, в этой ситуации решение проблемы будет на много более сложным.
Вирусная программа попадая на устройство записывает себя несколько раз в разные места, чтобы ее было сложно идентифицировать и тем более удалить.
Расскажу пару слов в связи с чем происходит такая ситуация. Чаще всего появление такого типа вируса можно наблюдать на тех компьютерах где отсутствует антивирусная защита. Чтобы защитить ваше устройство от вредоносных программ советую прочитать статью . Также необходимо понимать что на сайтах с нужно быть предельно аккуратными и не переходить по незнакомым ссылкам. Еще очень большая вероятность подцепить такую заразу может возникнуть после скачивания и установки программы с непроверенного ресурса. При работе в интернете не забывайте защищать свой ПК, малейшая бдительность поможет избежать дальнейших проблем.
Обязательно производите профилактику компьютера, обновляйте антивирус, проводите периодическое сканирование вашего устройства на наличие вредоносных программ (можете настроить автоматическое сканирование в определенный день и время). Если соблюдать простые правила, то можно избежать заражения.
Итак, если вы все-таки решили бороться с этой проблемой самостоятельно то давайте рассмотрим несколько вариантов как разблокировать вирус вымогатель. Начнем мы с самого простого способа и будем постепенно двигаться к более сложному. Если какой-то из вариантов вам поможет, то останавливайтесь на нем.
Недавно узнал о существовании самого простого способа, но он не на всех машинах способен устранить проблему.
Первое что нам необходимо сделать, это . Перегружаем компьютер и во время загрузки периодически нажимаем клавишу F8. Если вы все правильно делали, то перед вами должно отобразиться меню дополнительных вариантов загрузки Windows. В данном меню выбираете возможность запуска системы в Безопасном режиме с поддержкой командной строки и нажимаете Enter. После загрузки появиться только командная строка без рабочего стола и присутствующих на нем ярлыков и иконок. По очереди вводим следующие команды
После последовательного ввода команд, перегружаем компьютер и проверяем наличие баннера. Если он отсутствует, то этот способ нам помог, если нет, то переходим к следующему.
Как и в первом способе запускаем устройство и нажатием клавиши F8 загружаем меню дополнительных вариантов. После чего выбираем пункт Безопасный режим и нажимаем Enter. Запускаем функцию Выполнить, через меню Пуск или одновременным нажатием клавиш Ctrl+R и в поле выполнить вводим команду msconfig. После чего запустится окно параметров загрузки Windows. Открываем вкладку Автозагрузка и стараемся найти подозрительные программы.
Чаще всего название таких программ состоит из беспорядочного набора букв. Если такая программа была вами обнаружена, то снимаем галочку напротив нее. Также необходимо посмотреть в какой папке она храниться и удалить ее. Перед тем как произвести эти действия советую ознакомиться с материалами статьи
После проделанных операций перезагружаем компьютер и проверяем устранена ли проблема. Если смс вирус все еще запрещает доступ, то переходим к следующему способу.
Если вы дошли до этого пункта и предыдущие попытки оказались тщетными, то данный способ должен помочь вам разблокировать вирус вымогатель на 98%.
Хочу отметить, что все действия перечисленные ниже необходимо проводить предельно аккуратно и строго по инструкции. Редактируя разделы реестра, неправильными действиями можно нанести непоправимый вред системе и останется только переустановить windows.
Итак, запускаем систему в безопасном режиме, о том как это сделать описано выше. Дожидаемся загрузки и запускаем опцию “Выполнить” в поле открывшегося окна вводим команду regedit. После ввода команды перед вами откроется окно редактора реестра.
Затем перейдите по следующему пути HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
В правой колонке вы сможете увидеть два параметра Shell и Userinit. Напротив этих параметров есть столбец значение. В этих столбцах не должно быть ничего лишнего (напротив параметра Shell должно быть значение explorer.exe, напротив Userinit значение userinit.exe). Если там присутствуют дополнительные значения, то это результат действия вируса и вы смело можете все удалять.
Также для успокоения совести советую пройти по следующему адресу в настройке реестра …..
\
Microsoft
\
Windows
\
CurrentVersion
\
Run
и проверить нет ли в правом поле окна лишних и незнакомых вам программ, если такие обнаружены, то удаляйте их.
Перезагружаем компьютер и радуемся исчезновению вируса.
Я почти на сто процентов уверен, что если все сделано правильно то баннер блокирующий запуск windows исчезнет. Но на всякий случай приведу еще один способ как удалить вымогатель. Он конечно не такой серьезный как остальные, но порой бывает не менее действенным.
При загрузке системы заходим в Bios и изменяем дату и время на неделю вперед. Случается так, что баннер пропадает, но это случается очень редко.
Обязательно после того, как вы смогли избавиться от блокировщика Windows, просканируйте свой компьютер на наличие вредоносных программ. Сканирование обязательно провести полное, а не быстрое. А также необходимо подумать над качественной защитой вашего устройства. Если у вас нет денег на платный антивирус такой как , то можете скачать бесплатный антивирус под названием .
И окончательным этапом будет проверка вашего ПК на наличие вредоносных программ. Для этого существует несколько бесплатных программ, о которых я расскажу в следующих статьях своего блога
Очень надеюсь, что я помог вам разобраться в том как удалить баннер вымогатель, но если остались вопросы, задавайте их смело в комментариях и я с радостью постараюсь помочь.
