Разблокировка Windows, выбрав безопасный режим с поддержкой командной строки, последовательность шагов:
1. Перезагрузите систему в безопасном режиме с поддержкой командной строки. В то время как компьютер загружается нажимайте » клавишу F8 » на вашей клавиатуре несколько раз. Это приведет вас к «Меню дополнительных вариантов загрузки Windows«, как показано ниже. Применить клавиши со стрелками для перехода на безопасный режим с поддержкой командной строки, а затем нажмите Enter. Внимание! Вы должны зайти под тем же именем, что и ранее заходили в систему с в нормальном режиме Windows.
2. Ждите пока не пройдет полностью загрузка ОС Windows и не появится окно с командной строкой, как показано на скриншоте ниже. В командной строке нужно прописать » Regedit «(без кавычек) и нажмите Enter.
3. Найдите следующий параметр реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
В правой панели выберите ключ реестра под названием Shell. Щелкните правой кнопкой мыши на этом ключе реестра и выберите Изменить.
Значение по умолчанию: Explorer.exe.
Теперь вы должны изменить значение данных на iexplore.exe. Нажмите OK, чтобы сохранить изменения и закрыть редактор реестра.
Теперь вернемся в » Обычный режим «. Для того, чтобы перезагрузить компьютер, введите в командной строке команду » shutdown / R / T 0 «(без кавычек) и нажмите Enter.
4. Как только Виндовс загрузиться вы не увидите никаких значков на рабочем столе. Не паникуйте, эта проблема будет решена в ближайшее время. Прежде всего, используйте комбинацию клавиш » Ctrl + Alt + Del «или» Ctrl + Shift + Esc «(рекомендуется) и запустить Диспетчер задач. Выберите в меню Файл → Новая задача (Выполнить …)
Введите iexplore и нажмите OK или нажмите кнопку Enter.
5. Это откроет Internet Explorer окно браузера, чтобы мы могли скачать антивирус. Переходим на сайт http://www.malwarebytes.org/products/malwarebytes_pro/ с бесплатной версией антивируса, которая была протестирована, чтобы удалить этот вирус успешно. Как только загрузка началась нажмите кнопку » Выполнить «. Когда установится антивирус обновите его, а после просканируйте вашу систему. Удалите все элементы обнаруженные антивирусом.
6. Если программа попросит вас перезагрузить компьютер, нажмите кнопку » Отмена «. Так как сначала нужно поменять значение параметра Shell обратно перед перезагрузкой.
7. Откройте диспетчер задач с помощью комбинации клавиш » Ctrl + Alt + Del «или» Ctrl + Shift + Esc «(рекомендуется).
8. Найдите следующую запись в реестре:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
В правой панели выберите ключ реестра под названием Shell . Щелкните правой кнопкой мыши на этом ключе реестра и выберите Изменить.
Верните его значение по умолчанию обратно на Explorer.exe .
9. Откройте диспетчер задач снова с помощью комбинации клавиш » Ctrl + Alt + Del «или» Ctrl + Shift + Esc «(рекомендуется). Выберите вкладку » Выключить » и перезагрузите компьютер. Вирус должны исчезнуть к этому времени.
10. Антивирусное решение описанное в этом методе поможет удалить эту инфекцию бесплатно, без каких-либо затрат для вас.
Если это решение проблемы не помогло, пожалуйста, рассмотрите еще один похожий способ удаления здесь или тут, либо звоните по телефону: 8(800)800-80-80.
Если, в очередной раз включив компьютер, вы увидели сообщение о том, что Windows заблокирован и нужно перевести 3000 рублей для того, чтобы получить номер разблокировки, то знайте несколько вещей:
- Вы не одиноки — это один из самых распространенных видов вредоносного ПО (вируса)
- Никуда и ничего не отправляйте, номера вы скорее всего не получите. Ни на счет билайн, ни на мтс ни куда-либо еще.
- Любой текст о том, что полагается штраф, грозит УК, упоминания о Microsoft security и прочее — это не более чем выдуманный горе-вирусописателем текст, чтобы ввести вас в заблуждение.
- Решить проблему и убрать окно Windows заблокирован довольно просто, сейчас мы и разберем, как это сделать.
Типичное окно блокировки Windows (не настоящее, сам нарисовал)
Надеюсь, вводная часть была достаточно ясной. Еще один, последний момент, на который обращу ваше внимание: не стоит искать по форумам и на специализированных сайтах антивирусов коды разблокировки — навряд ли вы их найдете. То, что в окне имеется поле для ввода кода, не означает, что такой код есть на самом деле: обычно мошенники не «заморачиваются» и не предусматривают его (особенно в последнее время). Итак, если у вас любая версия ОС от Microsoft — Windows XP, Windows 7 или Windows 8 — то вы потенциальная жертва. Если это не совсем то, что вам нужно, посмотрите другие статьи в категории: Лечение вирусов.
Как убрать Windows заблокирован
Первым делом, я расскажу, как проделать эту операцию вручную. Если вы хотите использовать автоматический способ удаления этого вируса, то перейдите к следующему разделу. Но отмечу, что несмотря на то, что автоматический способ, в целом, проще, возможны и некоторые проблемы после удаления — наиболее распространенная из них — не загружается рабочий стол.
Запуск безопасного режима с поддержкой командной строки
Первое, что нам потребуется для того, чтобы убрать сообщение Windows заблокирован — зайти в безопасный режим с поддержкой командной строки Windows. Для того, чтобы это сделать:
- В Windows XP и Windows 7, сразу после включения начните лихорадочно нажимать клавишу F8, пока не появится меню альтернативных вариантов загрузки и выберите соответствующий режим там. Для некоторых версий BIOS нажатие F8 вызывает выбор меню устройств для загрузки. Если такое появится, выберите ваш основной жесткий диск, нажмите Enter и в ту же секунду начинайте нажимать F8.
- Зайти в безопасный режим Windows 8 может оказаться сложнее. О различных способах сделать это вы можете прочитать здесь. Самый быстрый — неправильно выключить компьютер. Для этого, при включенном ПК или ноутбуке, глядя на окно блокировки, нажмите и удерживайте кнопку питания (включения) на нем в течение 5 секунд, он выключится. После очередного включения вы должны попасть в окно выбора вариантов загрузки, там нужно будет отыскать безопасный режим с поддержкой командной строки.
Введите regedit, чтобы запустить редактор реестра
После того, как командная строка запустилась, введите в нее regedit и нажмите Enter. Должен открыться редактор реестра, в котором мы и будем проделывать все необходимые действия.
Прежде всего, в редакторе реестра Windows следует зайти в ветку реестра (древовидная структура слева) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, именно здесь, в первую очередь располагают свою записи вирусы, блокирующие Windows.
Shell — параметр, в котором наиболее часто запускается вирус Windows Заблокирован
Обратите внимание на два параметра реестра — Shell и Userinit (в правой области), их правильные значения, вне зависимости от версии Windows, выглядят следующим образом:
- Shell — значение: explorer.exe
- Userinit — значение: c:\windows\system32\userinit.exe, (именно с запятой на конце)
Вы же, скорее всего, увидите несколько иную картинку, особенно в параметре Shell. Ваша задача — кликнуть правой кнопкой мыши по параметру, значение которого отличается от нужного, выбрать «Изменить» и вписать нужное (правильные написаны выше). Также обязательно запомните путь к файлу вируса, который там указан — мы его чуть позже удалим.
В Current_user параметра Shell быть не должно
Следующий шаг — зайти в раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и обратить внимание на тот же параметр Shell (и Userinit). Тут их быть вообще не должно. Если есть — нажимаем правой кнопкой мыши и выбираем «Удалить».
Далее идем в разделы:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
И смотрим, чтобы ни один из параметров этого раздела не вел к тем же файлам, что и Shell из первого пункта инструкции. Если таковые имеются — удаляем их. Как правило, имена файлов имеют вид набора цифр и букв с расширением exe. Если есть что-то подобное, удалите.
Закройте редактор реестра. Перед вами снова будет командная строка. Введите explorer и нажмите Enter — запустится рабочий стол Windows.
Быстрый переход к скрытым папкам с использованием адресной строки проводника
Теперь зайдите в проводник Windows и удалите файлы, которые были указаны в удаленных нами разделах реестра. Как правило, они находятся в глубине папки Users и добраться до этого месторасположения не так-то просто. Самый быстрый способ это сделать — указать путь к папке (но не к файлу, иначе он запустится) в адресной строке проводника. Удалите эти файлы. Если они находятся в одной из папок «Temp», то можно без страха очистить эту папку вообще от всего.
После того, как все эти действия были совершены, перезагрузите компьютер (в зависимости от версии Windows, возможно потребуется нажать Ctrl + Alt + Del.
По завершении вы получите работающий, нормально запускающийся компьютер — «Windows заблокирован» больше не появляется. После первого запуска рекомендую открыть Планировщик заданий (Расписание выполнения задач, можно найти через поиск в меню Пуск или на начальном экране Windows 
Убираем Windows заблокирован автоматически с помощью Kaspersky Rescue Disk
Как я уже сказал, этот способ убрать блокировку Windows несколько проще. Вам потребуется с работающего компьютера скачать Kaspersky Rescue Disk с официального сайта http://support.kaspersky.ru/viruses/rescuedisk#downloads и записать образ на диск или загрузочную флешку. После этого, нужно загрузиться с этого диска на заблокированном компьютере.
После загрузки с Kaspersky Rescue Disk вы сначала увидите предложение нажать любую клавишу, а после этого — выбор языка. Выбираем тот, который удобнее. Следующий этап — лицензионное соглашение, для того, чтобы его принять, нужно нажать 1 на клавиатуре.
Меню Kaspersky Rescue Disk
Появится меню Kaspersky Rescue Disk. Выберите Графический режим.
Настройки сканирования на вирусы
После этого запустится графическая оболочка, в которой можно делать очень многие вещи, но нас интересует быстрая разблокировка Windows. Отметьте галочками «Загрузочные сектора», «Скрытые объекты автозагрузки», а заодно можно отметить и диск C: (проверка займет намного больше времени, но будет более эффективной). Нажмите «Выполнить проверку».
Отчет о результатах проверки в Kaspersky Rescue Disk
После завершения проверки вы можете посмотреть отчет и увидеть, что именно было проделано и каков результат — обычно, чтобы убрать блокировку Windows, такой проверки оказывается достаточно. Нажмите «Выход», а затем выключите компьютер. После выключения вытащите диск или флешку Kaspersky и снова включите ПК — Windows больше не должен быть заблокирован и вы сможете вернуться к работе.
Баннер-вымогатель — казнить, нельзя помиловать
Время на прочтение9 мин
Количество просмотров33K
Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.
Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.
С кем боремся?
Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.
Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.
Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.
В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.
Пути распространения Trojan.Winlock
В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др.
Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:
- Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
- Баннеры, остающиеся на рабочем столе после закрытия браузера.
- Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.
В последнем случае для совершения минимума нехитрых манипуляций, нужных злоумышленнику, в распоряжении пользователя остается мышь для ввода кода на цифровом экранном интерфейсе.
Вредные привычки Trojan.Winlock
Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:
-[…\Software\Microsoft\Windows\CurrentVersion\Run] ‘svhost’ = ‘%APPDATA%\svhost\svhost.exe’
-[…\Software\Microsoft\Windows\CurrentVersion\Run] ‘winlogon.exe’ = ‘<SYSTEM 32>\winlogon.exe’
С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:
- %APPDATA%\svhost\svhost.exe
Запускает на исполнение:
- <SYSTEM 32>\winlogon.exe
- %WINDIR%\explorer.exe
- <SYSTEM 32>\cmd.exe /c «»»%TEMP%\uAJZN.bat»» «
- <SYSTEM 32>\reg.exe ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» /v «svhost» /t REG_SZ /d «%APPDATA%\svhost\svhost.exe» /f
Завершает или пытается завершить системный процесс:
- %WINDIR%\Explorer.EXE
Вносит изменения в файловую систему:
Создает следующие файлы:
- %APPDATA%\svhost\svhost.exe
- %TEMP%\uAJZN.bat
Присваивает атрибут ‘скрытый’ для файлов:
- %APPDATA%\svhost\svhost.exe
Ищет окна:
- ClassName: ‘Shell_TrayWnd’ WindowName: »
- ClassName: ‘Indicator’ WindowName: »
Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона
Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.
Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web
На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.
Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.
Способ 3. Утилиты – разблокировщики
Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.
Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.
В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать здесь.
Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.
AntiWinLockerLiveCD
Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.
Основные функции программы:
- Фиксирование изменений важнейших параметров Операционной системы;
- Фиксирование присутствия в области автозагрузки не подписанных файлов;
- Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
- Защита от отключения вирусами Диспетчера задач и редактора реестра;
- Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
- Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.
Автоматическое восстановление системы:
- Восстанавливает корректные значения во всех критических областях оболочки;
- Отключает не подписанные файлы из автозагрузки;
- Устраняет блокировку Диспетчера задач и редактора реестра;
- Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
- Устранение всех системных отладчиков (HiJack);
- Восстановление файлов HOSTS к первоначальному состоянию;
- Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
- Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
- Удаление всех найденных файлов Autorun.inf на всех дисках;
- Восстановление загрузочного сектора (в среде WinPE).
Лечение с использованием утилиты AntiWinLocker LiveCD – не панацея, но один из самых простых и быстрых способов избавиться от вируса. Дистрибутив LiveCD, даже в своей облегченной бесплатной Lite версии располагает для этого всеми необходимыми инструментами – файловым менеджером FreeCommander, обеспечивающим доступ к системным файлам, доступом к файлам автозагрузки, доступом к реестру.
Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.
Последовательность действий предельно проста:
Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.
- Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
- Ожидаем загрузки образа LiveCD в оперативную память.
- После запуска окна программы выбираем заблокированную учетную запись;
- Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
- После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.
Для чистоты эксперимента можно отметить галочками все пункты меню, кроме последнего (восстановить загрузочный сектор).
Нажимаем ”Старт”/”Начать лечение”.
Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.
Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.
В числе дополнительных полезных инструментов программы:
- Редактор реестра;
- Командная строка;
- Диспетчер задач;
- Дисковая утилита TestDisk;
- AntiSMS.
Проверка в автоматическом режиме утилитой AntiWinLockerLiveCD не всегда дает возможность обнаружить блокировщика.
Если автоматическая чистка не принесла результатов, вы всегда можете воспользоваться возможностями Менеджера Файлов, проверив пути C: или D:\Documents and Settings\Имя пользователя\Local Settings\Temp (Для ОС Windows XP) и С: или D:\Users\Имя пользователя\AppData\Local\Temp (Для Windows 7). Если баннер прописался в автозагрузке, есть возможность анализа результатов проверки в ручном режиме, позволяющего отключить элементы автозагрузки.
Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.
Профилактика
Чисто не там, где часто убирают, а там, где не сорят! — Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.
Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.
В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.
Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).
Сохраните установочный диск с виндой и всегда помните, где он находится. В час «Ч» из командной строки вы сможете восстановить жизненно важные файлы системы до исходного состояния.
Не реже чем раз в две недели создавайте контрольную точку восстановления.
Любой сомнительный софт — кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.
Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
Удачи вам в начинаниях и только приятных, а главное — безопасных встреч!
Послесловие от команды iCover
Надеемся, что предоставленная в этом материале информация будет полезна читателям блога компании iCover и поможет без особого труда справиться с описанной проблемой за считанные минуты. А еще надеемся, что в нашем блоге вы найдете много полезного и интересного, сможете познакомиться с результатами уникальных тестов и экспертиз новейших гаджетов, найдете ответы на самые актуальные вопросы, решение которых зачастую требовалось еще вчера.).
С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.
Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.
Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.
Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.
Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.
Голыми руками
Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.
Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.
После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.
Простым коням — простые меры
Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.
Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.
Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer.
Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.
Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.
Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.
Военная хитрость
Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.
Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.
Старая школа
Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.
В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.
Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.
В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.
Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.
Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.
Операция под наркозом
Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.
Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.
При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.
Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.
Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.
Борьба на раннем этапе
Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.
Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:
Bootrec.exe/FixMbr
После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.
В крестовый поход с крестовой отвёрткой
На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.
Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».
Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.
Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.
Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени. Большой выбор антивирусов можно найти в одном из крупнейших маркетплейсов цифровых товаров ggsel.com.
Также рекомендуем придерживаться общих правил безопасности:
- старайтесь работать из-под учётной записи с ограниченными правами;
- пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
- отключайте Java-скрипты на неизвестных сайтах;
- отключите автозапуск со сменных носителей;
- устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
- всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
- блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
- своевременно устанавливайте обновления браузеров, общих и системных компонентов;
- выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.
Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows «Архивация и восстановление»). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.
В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.
Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, «поиграть в доктора» можно и на виртуальной машине с гостевой ОС Windows.
Все способы:
- Вариант 1: Отключение функции SmartScreen
- Вариант 2: Отключение контроля учетных записей
- Вариант 3: Отключение антивирусной программы
- Вариант 4: Добавление директории в исключения антивируса
- Вопросы и ответы: 3
Вариант 1: Отключение функции SmartScreen
Чаще всего Windows 10 блокирует установку программ посредством функции SmartScreen, которая может ошибочно распознать инсталлятор как вредоносный. В таком случае предварительно необходимо отключить соответствующую опцию в параметрах операционной системы. Делается это следующим образом:
- Откройте окно параметров любым доступным способом. Сделать это можно, например, через контекстное меню кнопки «Пуск». Вызовите его правой кнопкой мыши, после чего в появившемся списке выберите пункт «Параметры».
Читайте также: Как открыть «Параметры» в Windows 10
- В появившемся окне параметров перейдите в раздел «Обновление и безопасность», щелкнув левой кнопкой мыши по одноименному элементу интерфейса.
- Воспользуйтесь навигационной панелью в левой части, чтобы проследовать во вкладку «Безопасность Windows», а затем кликните по кнопке «Открыть службу «Безопасность Windows»».
- В новом появившемся окне перейдите в раздел «Управление приложениями/браузером», воспользовавшись для этого навигационной панелью в левой части. Затем щелкните по ссылке «Параметры защиты на основе репутации», расположенной в блоке «Защита на основе репутации».
- В открывшемся меню первостепенно отключите общую службу SmartScreen, которая контролирует запуск приложений рабочего стола операционной системы. Для этого переведите в неактивное положение переключатель, расположенный в блоке «Проверка приложений и файлов».
- Немного ниже на странице отключите опцию «SmartScreen для Microsoft Edge», чтобы убрать контроль запуска программ в штатном браузере операционной системы. Также следует деактивировать функцию «Блокировка потенциально нежелательного приложения».
- Переместившись далее по странице, переведите в неактивное положение параметр «SmartScreen для приложений из Microsoft Store». Это отключит блокировку установки программ в штатном магазине приложений.
Примечание! Это не единственный способ отключения функции SmartScreen в операционной системе Windows. Если при выполнении описанной инструкции у вас возникли трудности, можете воспользоваться альтернативными методами. Все они описаны в другой статье на нашем сайте, при необходимости перейдите по ссылке ниже, чтобы ознакомиться с изложенной там информацией.
Подробнее: Как отключить фильтр SmartScreen в Windows
Если блокировка запуска установщика программ происходит в браузере Internet Explorer, потребуется отключить защиту SmartScreen и в нем. Делается это в окне свойств веб-обозревателя. Чтобы в него перейти, сначала кликните по кнопке в виде шестерни, расположенной в верхнем правом углу, а затем в появившемся списке опций выберите пункт «Свойства браузера».
В появившемся окне проследуйте во вкладку «Безопасность», а затем в блоке «Уровень безопасности для этой зоны» снимите галочку с опции «Включить защищенный режим», после чего опустите ползунок уровней разрешений в самый низ на позицию «Средний». Чтобы сохранить внесенные изменения, щелкните по кнопке «ОК».
Вариант 2: Отключение контроля учетных записей
Блокировать запуск инсталлятора программного обеспечения может встроенное средство контроля учетных записей. При необходимости его тоже можно отключить, делается это следующим образом:
- Откройте «Панель управления» любым доступным способом. Сделать это можно, например, посредством поискового запроса. Сначала установите курсор в соответствующее поле на панели задач, введите «Панель управления», а затем в списке результатов щелкните по одноименному приложению.
Читайте также: Как открыть «Панель управления» в Windows 10
- В появившемся окне первостепенно удостоверьтесь, что у вас выбран режим просмотра «Категория». Сделать это можно в верхнем правом углу окна. При необходимости выберите это значение самостоятельно в выпадающем списке. После этого перейдите в раздел «Система и безопасность».
- Далее проследуйте в меню «Центр безопасности и обслуживания». Для этого щелкните левой кнопкой мыши по одноименной ссылке, находящейся первой в списке.
- Щелкните по пункту «Изменение параметров контроля учетных записей», расположенной в левой части окна. Точное месторасположение этого элемента показано на изображении ниже.
- В отобразившемся меню переведите ползунок в крайнее нижнее положение, выбрав режим «Никогда не уведомлять». Сохраните внесенные изменения, щелкнув по кнопке «ОК».
После этого попробуйте снова запустить процесс установки программы. Если проблема заключалась в контроле учетных записей, на этот раз она должна быть устранена.
Вариант 3: Отключение антивирусной программы
На запуск инсталлятора программного обеспечения может негативно влиять установленный в операционной системе антивирус, который блокирует эту операцию. Для решения возникшей проблемы можно временно отключить защитный софт. Если вы пользуетесь стандартным антивирусом «Защитник Windows», сделать это можно несколькими способами — как с помощью встроенных средств операционной системы, так и путем использования программного обеспечения от сторонних разработчиков. Подробнее об этом вы можете узнать в отдельной статье на нашем сайте. Воспользуйтесь для этого представленной ниже ссылкой.
Подробнее: Как отключить «Защитник» в Windows 10
Если же в вашей системе установлено антивирусное программное обеспечение от стороннего разработчика, инструкция по его отключению будет отличаться в зависимости от выбранного вами приложения. В отдельном материале на нашем сайте есть руководства для наиболее распространенных программ. При необходимости обратитесь за помощью к изложенной там информации, перейдя по ссылке ниже.
Подробнее: Как отключить антивирус
Вариант 4: Добавление директории в исключения антивируса
Вместо отключения антивирусной программы можно просто поместить папку с инсталлятором в исключения, чтобы она не проверяла исполняемые файлы во время их запуска. В дальнейшем вы можете загружать все установщики именно в эту директорию, чтобы исключить вероятность их блокировки.
Если вы пользуетесь стандартным антивирусом «Защитник Windows», добавить папку в исключения можно через специальное меню параметров операционной системы. Подробнее об этом рассказывается в другом материале на нашем сайте. Воспользуйтесь приведенной ниже ссылкой, чтобы ознакомиться с ним.
Подробнее: Как добавить исключение в Защитник Windows 10
Если в вашей системе установлено антивирусное программное обеспечение от стороннего разработчика, руководство по добавлению директории в его исключения будет отличаться, в зависимости от версии приложения. На нашем сайте есть отдельная статья, в которой выполнение поставленной задачи осуществляется на примере популярных антивирусов. При необходимости вы можете ознакомиться с изложенной там информацией, перейдя по ссылке ниже.
Подробнее: Как добавить программу в исключение антивируса
Наша группа в TelegramПолезные советы и помощь
