Как разблокировать компьютер от вируса-вымогателя. Вирус просит деньги за разблокировку компьютера — что делать? Что делать когда компьютер заблокирован вирусом

Отчего ваш мобильный телефон вдруг начал вести себя не так, как обычно, или вообще «зажил» своей «жизнью»? Возможно, оттого, что в нем поселилась вредоносная программа. Сегодня количество вирусов и троянов для Андроид растет в геометрической прогрессии. Почему? Да потому, что ушлые ребята-вирусописатели знают, что смартфоны и планшеты всё чаще используются нашими согражданами в качестве электронных кошельков, и делают всё, чтобы переместить средства со счетов владельцев в свой карман. Давайте поговорим о том, как понять, что мобильное устройство подхватило инфекцию, как удалить вирус с Андроида и обезопасить себя от повторных заражений.

Симптомы вирусного заражения Android-устройства

Гаджет включается дольше, чем обычно, тормозит или внезапно перезагружается.
В истории SMS и телефонных звонков есть исходящие сообщения и вызовы, которых вы не совершали.
Со счета вашего телефона сами по себе списываются деньги.
На рабочем столе или в браузере отображается реклама, не связанная с каким-либо приложением или сайтом.
Сами по себе устанавливаются программы, включается Wi-Fi, Bluetooth или камера.
Пропал доступ к электронным кошелькам, мобильному банку или по неизвестным причинам уменьшилась сумма на счетах.
Кто-то завладел вашим аккаунтом в социальных сетях или мессенджерах (если используются на мобильном устройстве).
Гаджет заблокирован, а на экране отображается сообщение, что вы что-то нарушили и должны заплатить штраф или просто перевести кому-то деньги за разблокировку.
Внезапно перестали запускаться приложения, пропал доступ к папкам и файлам, заблокировались какие-либо функции устройства (например, не нажимаются кнопки).
При запуске программ выскакивают сообщения, вроде «в приложении com.android.systemUI произошла ошибка».
В списке приложений появились неизвестные иконки, а в диспетчере задач — неизвестные процессы.
Антивирусная программа информирует вас об обнаружении вредоносных объектов.
Антивирусная программа самопроизвольно удалилась с устройства или не запускается.
Батарея телефона или планшета стала разряжаться быстрее, чем всегда.

Не все из этих симптомов стопроцентно указывают на вирус, но каждый является поводом немедленно просканировать устройство на предмет заражения.

Самый простой способ удаления мобильного вируса

Если гаджет сохранил работоспособность, проще всего убрать вирус с помощью установленного на Android антивируса. Запустите полное сканирование флеш-памяти телефона, при обнаружении вредоносного объекта выберите опцию «Удалить», сохранив обезвреженную копию в карантине (на случай, если антивирус обознался и принял за вирус что-то безопасное).

К сожалению, этот способ помогает примерно в 30-40% случаев, поскольку большинство вредоносных объектов активно сопротивляется своему удалению. Но управа существует и на них. Далее мы рассмотрим варианты действий, когда:

антивирус не запускается, не обнаруживает или не удаляет источник проблемы;
вредоносная программа после удаления восстанавливается;
устройство (или его отдельные функции) заблокированы.

Удаление вредоносной программы в безопасном режиме

Если вам не удается почистить телефон или планшет в обычном режиме, попытайтесь это сделать в безопасном. Основная масса вредоносных программ (не только мобильных) не проявляет в безопасном режиме никакой активности и не препятствует уничтожению.

Для загрузки устройства в безопасном режиме нажмите кнопку включения/выключения, установите палец на «Отключить питание» и держите его до тех пор, пока не появится сообщение «Переход в безопасный режим». После этого нажмите ОК.

Если у вас старая версия Android — 4.0 и ниже, выключите гаджет обычным способом и снова включите. При появлении на экране логотипа Android одновременно нажмите клавиши увеличения и уменьшения громкости. Удерживайте их, пока аппарат не загрузится полностью.

Находясь в безопасном режиме, просканируйте устройство антивирусом. Если антивируса нет или он по каким-то причинам не запускается, установите (или переустановите) его из Google Play.

Таким способом успешно удаляются рекламные вирусы типа Android.Gmobi 1 и Android.Gmobi.3 (по классификации Dr. Web), которые закачивают на телефон различные программы (с целью накрутки рейтинга), а также показывают на рабочем столе баннеры и объявления.

Если у вас есть права суперпользователя (root) и вы точно знаете, что именно вызвало проблему, запустите файловый менеджер (например, Root explorer), пройдите по пути расположения этого файла и удалите его. Чаще всего мобильные вирусы и трояны помещают свое тело (исполняемые файлы с расширением.apk) в каталог system/app.

Для перехода в нормальный режим просто перезагрузите устройство.

Удаление мобильных вирусов через компьютер

Удаление вирусов на телефоне через компьютер выручает тогда, когда мобильный антивирус не справляется со своей задачей даже в безопасном режиме или функции устройства частично заблокированы.

Удалить вирус с планшета и телефона, используя компьютер, тоже возможно двумя способами:

с помощью антивируса, установленного на ПК;
вручную через файловый менеджер для Андроид-гаджетов, например, Android Commander.

Используем антивирус на компьютере

Для проверки файлов мобильного устройства антивирусом, установленным на компьютере, подключите телефон или планшет к ПК USB-кабелем, выбрав способ «Как USB-накопитель».

Следом включите USB.

После этого в папке «Компьютер» на ПК появятся 2 дополнительных «диска» — внутренняя память телефона и SD-карта. Для запуска сканирования откройте контекстное меню каждого диска и кликните «Проверить на вирусы».

Удаляем зловреда через Android Commander

Android Commander — программа для обмена файлами между мобильным андроид-гаджетом и ПК. Запускаясь на компьютере, она предоставляет владельцу доступ к памяти планшета или телефона, позволяет копировать, перемещать и удалять любые данные.

Для полноценного доступа ко всему содержимому андроид-гаджета необходимо заранее получить root-права и включить отладку по USB. Последняя активируется через сервисное приложение «Параметры» — «Система» — «Параметры разработчика».

Далее подключите гаджет к ПК как USB-накопитель и запустите с правами администратора Android Commander. В нем, в отличие от проводника Windows, отображаются защищенные системные файлы и каталоги ОС Андроид — так же, как, например, в Root Explorer — диспетчере файлов для root-пользователей.

В правой половине окна Android Commander показаны каталоги мобильного устройства. Найдите в них исполняемый файл приложения (с расширением.apk), которое вызывает проблему, и удалите его. Как вариант — скопируйте подозрительные папки с телефона на компьютер и просканируйте каждую из них антивирусом.

Что делать, если вирус не удаляется

Если вышеописанные операции ни к чему не привели — вредоносная программа по-прежнему дает о себе знать, а также если операционная система после очистки перестала нормально функционировать, придется прибегнуть к одной из радикальных мер:

сбросу с восстановлением заводских настроек через системное меню;
hard reset через меню Recovery;
перепрошивке аппарата.

Любой из этих способов приведет устройство к состоянию как после покупки — на нем не останется никаких пользовательских программ, личных настроек, файлов и другой информации (данных об SMS, звонках и т. п.). Также будет удалена ваша учетная запись Google. Поэтому если есть возможность, перенесите телефонную книгу на SIM-карту и скопируйте платные приложения и другие ценные объекты на внешние носители. Желательно сделать это вручную — без использования специальных программ, чтобы случайно не скопировать вирус. После этого приступайте к «лечению».

Восстанавливаем заводские настройки через системное меню

Этот вариант самый простой. Им можно воспользоваться тогда, когда функции операционной системы и сам аппарат не заблокированы.

Зайдите в приложение «Параметры», откройте раздел «Личные» — «Резервное копирование» и выберите «Сброс с восстановлением заводских настроек».

Hard reset через Recovery-меню

«Жесткий» сброс настроек поможет справиться со зловредом, если он не удаляется ни одним из перечисленных способов или заблокировал вход в систему. К нашей радости, доступ к меню Recovery (восстановления системы) при этом сохраняется.

Вход в Recovery на разных телефонах и планшетах осуществляется по-своему. На одних для этого нужно удерживать при включении клавишу «Громкость+», на других — «Громкость-«, на третьих — нажать специальную утопленную кнопку и т. д. Точная информация содержится в инструкции к аппарату.

В меню Recovery выбираем опцию «wipe data/factory reset» либо просто «factory reset».

Перепрошивка

Перепрошивка — это по сути переустановка ОС Андроид, такая же крайняя мера, как переустановка Windows на компьютере. К ней прибегают в исключительных случаях, например, когда некий китайский вирус внедрен непосредственно в прошивку и обитает на устройстве с момента его «рождения». Одним их таких вредоносов является шпионская программа android spy 128 origin.

Для перепрошивки телефона или планшета потребуются root-права, дистрибутив (сама прошивка), программа инсталляции, компьютер с USB-кабелем или SD-карта. Помните, что для каждой модели гаджета выпускаются свои, индивидуальные версии прошивок. Вместе с ними обычно находятся и инструкции по установке.

Как избежать вирусного заражения Android-устройств

Устанавливайте мобильные приложения только из проверенных источников, откажитесь от взломанных программ.
Обновляйте устройство по мере выпуска апдейтов системы — в них разработчики закрывают уязвимости, которые используют вирусы и трояны.
Установите мобильный антивирус и держите его всегда включенным.
Если гаджет служит вам кошельком, не позволяйте другим людям выходить с него в Интернет или открывать на нем непроверенные файлы.

Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.

Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:

Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.

Пути попадания вируса в компьютер

Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает .

Windows может быть заблокирован из-за скачанного файла с расширением «.exe ». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe » может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!

Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.

И последнее, устаревшие обновления Windows ослабляют защиту системы. Чтобы компьютер был защищенным, старайтесь вовремя устанавливать обновления. Эту функцию можно настроить в «Панели управления -> Центр обновления Windows» на автоматический режим, чтобы не отвлекаться.

Как разблокировать Windows 7/8/10

Один из простых вариантов убрать баннер-вымогатель – это . Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.

После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!

Kaspersky Rescue Disk + WindowsUnlocker нам поможет!

Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и или (пролистайте статьи, там есть).

Когда это будет готово, нужно . В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.

При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»

Откроется чёрное окошко, куда пишем команду:

windowsunlocker

Откроется небольшое меню:

Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»

Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.

Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker

Разблокировка в безопасном режиме, без специальных образов

Сегодня вирусы типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.

Перезагружаем компьютер. Во время загрузки нужно нажимать клавишу F8, пока не появится меню дополнительных вариантов запуска Windows. Нам нужно с помощью стрелочек «вниз» выбрать из списка пункт, который называется «Безопасный режим с поддержкой командной строки» .

Вот сюда мы должны попасть и выбрать нужную строку:

Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!

Лечимся средствами Windows

Нужно восстановить систему , когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.

Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:

regedit

Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Теперь по порядку проверяем такие значения:

Shell – здесь обязательно должно быть написано «explorer.exe», других вариантов быть не должно
Userinit – здесь текст должен быть «C:\Windows\system32\userinit.exe,»

Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:

Затем проверяем:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.

Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:

cleanmgr

Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»

И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.

Утилита AVZ

Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.

Исправление проблем после удаления вируса-вымогателя

Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.

Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского : XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.

Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.

При загрузке с помощью Google Chrome может возникнуть проблема, т.к. этот браузер считает программу вредоносной и не даёт её скачать! Этот вопрос уже поднимался на официальном форуме гугла, и на момент написания статьи всё уже нормально .

Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» 🙂 Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!

Распаковываем архив с программой, записываем на внешний носитель и запускаем на заражённом компьютере. Идём в меню «Файл -> Восстановление системы» , отмечаем галочки как на картинке и выполняем операции:

Теперь идём по следующему пути: «Файл -> Мастер поиска и устранения проблем» , далее переходим в «Системные проблемы -> Все проблемы» и кликаем по кнопке «Пуск». Программа просканирует систему, и затем в появившемся окне выставляем все галочки кроме «Отключение обновления операционной системы в автоматическом режиме» и тех, которые начинаются с фразы «Разрешён автозапуск с…».

Кликаем по кнопке «Исправить отмеченные проблемы». После успешного завершения переходим по: «Настройки и твики браузера -> Все проблемы» , здесь выставляем все галочки и точно так же нажимаем на кнопку «Исправить отмеченные проблемы».

То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».

Под конец закрываем окно, при этом не выходя из AVZ. В программе находим «Сервис -> Редактор расширений проводника» и убираем галочки с тех пунктов, которые помечены черным цветом. Теперь переходим по: «Сервис -> Менеджер расширений Internet Explorer» и полностью стираем все строки в появившемся окне.

Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»

Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.

Запуск с установочного диска Windows

Ещё один верный способ – это загрузиться с любого установочного диска Windows 7-10 и выбрать там не «Установку» , а «Восстановление системы» . Когда средство устранения неполадок запущено:

Нужно там выбрать «Командная строка»
В появившемся чёрном окне пишем: «notepad», т.е. запускаем обычный блокнот. Его мы будем использовать как мини-проводник
Идём в меню «Файл -> Открыть», тип файлов выбираем «Все файлы»
Далее находим папку с программой AVZ, кликаем правой кнопкой по запускаемому файлу «avz.exe» и запускаем утилиту с помощью пункта меню «Открыть» (не пункт «Выбрать»!).

Если ничего не помогает

Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.

Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте . Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!

Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:

PS: какой способ помог Вам? Напишите об этом в комментариях ниже.

Удаление вирусов, блокирующих рабочий стол Windows, с выездом на дом специалиста компьютерного сервиса
Прогулки по интернету не всегда приносят лишь позитив и информационную пищу. Иногда посещение, казалось бы, безопасных сайтов грозит временной потерей работоспособности компьютера.

Одной из таких ситуаций может стать блокирование рабочего стола windows вирусами — блокираторами рабочего стола, или как ещё их классифицируют Trojan.Winlock.origin, Trojan-Dropper.Win32.Blocker.a, Trojan-Ransom.Win32.Agent.af, Trj/SMSlock.A.

Вирус чаще всего пытается попасть в систему пользователя под видом электронных книг, аудиофайлов, видеороликов, полезных программ.

Будьте внимательны при скачке контента из сети обращайте внимание на расширение файла, не качайте и не открывайте через браузер файлы с расширением.exe.

При заражении Trojan.Winlock неопытный пользователь остаётся практически безоружным в ситуации, когда на компьютере становится невозможно работать, а в перспективе маячит возможность потери информации на всём компьютере.
Однажды Вам не повезло! Заражение вирусом-блокиратором состоялось. Что дальше? Hа экране, при загрузке операционной системы Windows, чаще всего сообщение о том, что кто-то на вашем компьютере, якобы, посещал запрещённые или порно ресурсы в сети. В качестве наказания и для продолжения работы, Вы обязаны заплатить, посредством отправки денег на указанный кошелёк, получения SMS кода и последующего его ввода для разблокировки.

Сделать что- либо для того, чтобы удалить вирусный блокиратор рабочего стола Windows , в обычном или безопасном режиме достаточно сложно из-за ограничений рабочей области мыши и служебных команд — комбинаций с клавиатуры, созданных вирусом, который заблокировал рабочий стол.

Антивирусные программы в режиме реального времени, чаще всего, не видят вирусы- блокираторы рабочего стола и не могут их удалить. По крайней мере, так было раньше. Ведь по сути своей, эти программы, в классическом понимании, вирусами не являются.Они устанавливаются по-тихому на компьютер жертвы, делают запись в реестре, после перезагрузки блокируют рабочий стол банером, который по своей природе является всего лишь пользовательской оболочкой (custom shell) с ограничениями управления.

Несколько способов удалить вирус, блокирующий рабочий стол.

Первый, самый простой, но самый длительный и неудобный при наличии на компьютере большого количества настроек и программ. . При этом способе теряется информация на рабочем столе, настройки программ, папка «мои документы» при расположении «по умолчанию».

Скачать специальные life- cd, которые выпускают антивирусные компании для удаления вирусов при невозможности загрузки в нормальном режиме. Такой Life CD есть у Dr. WEB и других (можно найти в поисковике). Но у способа есть недостатки- если мы не подготовили такой диск до времени «Ч», то после блокирования экрана сделать это на своём компьютере достаточно сложно.

Самый эффективный, и в тоже время требующий определённых знаний и опыта, Можно попробовать воспользоваться этим способом удаления Trojan.Winlock .

Можно так же попробовать загрузиться с любого загрузочного диска (флешки) и почистить все темп %Temp% папки Windows, браузеров, пользователя. Достаточно часто этот нехитрый способ оказывается эффективным.

Воспользоваться онлайн сервисом подбора кодов для разблокирования экрана рабочего стола. Это самый очевидный и, в принципе, также эффективный способ.

Как вариант, можно позвонить в сервис по ремонту компьютеров и заказать услугу по удалению вируса-блокиратора. Это тоже «вариант», но, надо признать, не бесплатный. В нашем сервисе при заказе услуги «установка Windows» с выездом на дом, офис- удаление любого вируса-блокиратора осуществляется совершенно бесплатно!

Борьба с троянцами семейства WinLock и MbrLock

(блокировщики Windows)

Актуальность вопроса

Троянцы, блокирующие работу Windows, с сентября 2009 года - одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов - блокировщики Windows. Общее название подобных вредоносных программ - Trojan.Winlock.XXX, где XXX - номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.

Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.

Вот классический пример внешнего вида программы Trojan.Winlock:

Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.

Наша задача - научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.

Внимание! В текстах многих блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows все данные будут уничтожены» и т. д.). В основном это не более чем блеф.

Алгоритм действий по борьбе с Trojan.Winlock

Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:

1. Подбор кода разблокировки.

Коды разблокировки ко многим троянцам уже известны и занесены в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/ и попробуйте подобрать код. Инструкция по работе с базой разблокировки: http:// support. drweb. com/ show_ faq? qid=46452743& lng= ru

Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.

Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.

Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,

в поле Текст - текст сообщения.

Если сгенерированные коды не подошли - попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме кода, может быть выдана другая информация:

Win+D to unlock - нажмите комбинацию клавиш Windows+D для разблокировки.

any 7 symbols - введите любые 7 символов.

Воспользуйтесь генератором выше или use generator above - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Используйте форму или Пожалуйста, воспользуйтесь формой - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Если подобрать ничего чего не удалось

2. Если система заблокирована частично. Этот шаг относится к случаям, когда баннер «висит» в середине экрана, не занимая его целиком. Если доступ заблокирован полностью - переходите сразу к шагу 3. Диспетчер задач при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить вредоносный процесс обычными средствами нельзя.

Пользуясь остатками свободного пространства на экране, сделайте следующее:

1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус благополучно удален, дело можно считать сделанным, если ничего не найдено - переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу, перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если запуск удался -
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет процесс,
который отвечает за работу баннера.

3. Если доступа нет совсем. Обычно блокировщики полностью загромождают баннером экран, что делает невозможным запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB http://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему. Если нет - переходите к шагу 4 .

4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец - новинка, и искать его придется вручную.

Для удаления блокировщика вручную необходимо получить доступ к реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.

Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Путем подмены системных файлов(одного или нескольких) запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).

Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:

C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat

В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.

Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:

Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software , задайте имя (например, текущую дату) для раздела и нажмите ОK.

В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell должен быть равен Explorer.exe . Если перечислены любые другие файлы - необходимо записать их названия и полный путь к ним. Затем удалить все лишнее и задать значение Explorer.exe .

Параметр userinit должен быть равен C:\Windows\system32\userinit.exe, (именно так, с запятой на конце, где C - имя системного диска). Если указаны файлы после запятой - нужно записать их названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием Microsoft\WindowsNT\CurrentVersion\winlogon . Если эта ветвь есть, ее необходимо удалить.

Microsoft\Windows\CurrentVersion\Run - ветвь содержит настройки объектов автозапуска.

Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:

Имена напоминают системные процессы, но программы запускаются из других папок
(например, C:\Documents and Settings\Dima\svchost.exe ).

Имена вроде vip-porno-1923.avi.exe .

Приложения, запускающиеся из временных папок.

Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe ).

Имена состоят из случайных комбинаций букв и цифр
(например, C:\Documents and Settings\Dima\094238387764\094238387764.exe ).

Если подозрительные объекты присутствуют - их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.

Microsoft\Windows\CurrentVersion\RunOnce - тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.

Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Теперь необходимо проанализировать второй файл - NTUSER.DAT . Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст . В открывшемся окне укажите путь к файлу NTUSER.DAT , задайте имя для раздела и нажмите ОK.

Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.

Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.

Также обратите внимание на параметр Shell в ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon . Он должен иметь значение Explorer.exe . В то же время, если такой ветки нет вообще - все в порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:

Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.

Перенесите исправленные файлы реестра в соответствующие папки на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов). Файлы, информацию о которых вы записали в ходе работы - сохраните на флешке и удалите из системы. Их копии необходимо отправить в вирусную лабораторию компании «Доктор Веб» на анализ.

Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет - проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.

Внимание! Если после лечения с помощью Dr.Web LiveCD/USB компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:

Убедитесь, что в папке config находится один файл software . Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software - разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два - удалите более старый.

Если software один, а загрузка не происходит, высока вероятность, что система поражена «особенной» модификацией Winlock . Она прописывает себя в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , в параметр Shell и перезаписывает файл userinit.exe . Оригинальный userinit.exe хранится в той же папке, но под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего попробовать загрузиться с жесткого диска.

На каком бы из этапов ни кончилась битва с троянцем, необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и регулярно
обновляйте вирусные базы.

14.04.2016

В настоящее время существует огромное количество вирусов, благо, современному антивирусному программному обеспечению по силам справиться с большинством «вредителей». Условно вирусы можно разделить на несколько групп, но самые распространенные – это шпионский, рекламный софт и трояны, к которым относятся и вирусы-вымогатели . Как раз о последних и пойдет речь в данной статье.

Распознать компьютер, зараженный вирусом-вымогателем довольно просто. На экране появляется и висит изображение делового, порнографического или другого характера. Компьютер при этом либо вовсе не отвечает на команды, либо отвечает, но картинка занимает практически всю видимую область. Это наш клиент – троян семейства Winlock или, говоря проще, .

Располагающийся на экране баннер имеет следующее содержание: «Ваш компьютер заблокирован , отправьте деньги на счет или платное SMS». После этого баннер вместе с блокировкой компьютера обещает исчезнуть. Также на картинке присутствует поле, в которое следует вводить код, который вы якобы получите после оплаты. Не стоит паниковать и спешить расставаться с деньгами. Мы расскажем вам, .

Рассматриваемый вирус имеет несколько разновидностей, в зависимости от поколения. Более старые можно обезвредить с помощью пары нажатий кнопки мыши. Другие потребуют куда более серьезной подготовки. Не переживайте, мы приведем все варианты выхода из такой непростой ситуации, которые точно помогут удалить любой подобный троян.

Метод №1 – Диспетчер задач

Данный способ поможет в борьбе со старыми, примитивным троянам. Вызываем диспетчер задач (C trl +S hift +E sc на Windows 10 либо C trl +A lt +D el на более старых версиях Windows). Если диспетчер запустится, попробуйте отыскать в перечне процессов подозрительный пункт. Завершите этот процесс.

Если диспетчер не запустился, попробуйте запустить менеджер процессов (клавиши Win + R ). Введите команду “notepad ” в поле “Открыть ”. После этого должен открыться Блокнот. Наберите в открывшемся окне произвольные символы и нажмите коротко (резко) кнопку включения на ПК или ноутбуке. Все процессы вместе с трояном должны автоматически завершиться. Компьютер останется включенным.

Сейчас самое время удалить все зараженные файлы. Необходимо найти их и удалить либо просканировать диски .

Предположим, что по нелепой случайности антивирус на компьютер вы заранее не поставили. Как быть? Отпрыски Winlock обычно забираются во временные файлы, в том числе файлы браузера. Попробуйте проверить следующие пути:

C:\Users\папка с именем пользователя\App Data \ Roaming \

C:\ Documents and Settings \каталог с именем пользователя\

Найдите «ms.exe » или другие подозрительные файлы, например, с произвольным сочетанием символов типа «89sdfh2398.exe » или «Hgb.hd.exe ». Удалите их.

Метод №2 – Безопасный режим

Первый способ провалился, и вы всё еще не понимаете, как разблокировать компьютер от вируса-вымогателя ? Расстраиваться не стоит. Просто наш троянчик более продвинутый. Он подменил системные компоненты и установил блокировку запуска диспетчера задач.

Чтобы устранить неисправность, перезагрузите компьютер, удерживая клавишу F8 при запуске системы. В отображенном меню выберите пункт «Безопасный режим с поддержкой командной строки ».

После чего наберите “explorer ” в консоли и нажмите Enter . Такая манипуляция запустит проводник. Прописываем далее слово “regedit ” в командной строке, нажимаем снова Enter . После чего запустится редактор реестра. Здесь вы найдете место, откуда осуществляется автозапуск вируса, а еще — созданные им записи.

Ищите компоненты вируса-вымогателя в ключах Userinit и Shell . В первом его легко найти по запятой, в Shell он прописывается как explorer . exe . Скопируем полное имя найденного нами опасного файла в буфер обмена, используя правую клавишу мыши. Пишем “del ” в командной строке, далее пробел, а далее вставляем скопированное ранее имя. Жмем Enter и наслаждаемся результатом ваших манипуляций. Теперь вам известно, как разблокировать компьютер от вируса-вымогателя . Проделываем эту операцию со всеми подозрительными файлами.

Метод №3 – Восстановление системы

После проделанных манипуляций необходимо снова войти в , используя способ, описанный в методе №2 . Пропишите в командной строке следующее: “C:\WINDOWS\system32\ Restore \rstrui.exe ” или в современных версиях лаконичное “rstrui ”, после чего нажмите Enter . На экране появится окошко “Восстановление системы ”.

Следует выбрать дату, которая предшествует появлению вируса. Эта дата называется точкой восстановления. Это может быть на год или всего день раньше той злополучной даты, когда ваш ПК подвергся атаке вируса. Другими словами, выберите дату, в которой ваш компьютер был здоров и на 100% чист. На этом разблокировка окончена.

Метод №4 – Аварийный диск

Для этого способа вам необходимо заранее скачать необходимый софт, воспользоваться вторым компьютером или посетить для этой цели друга. Программное обеспечение для восстановления системы и её лечения обычно встраиваются в антивирусные программы. Однако их можно скачать бесплатно, отдельно, без регистраций.

На этом все, теперь вы знаете, как разблокировать компьютер от вируса-вымогателя . Впредь будьте осторожны.