Наверняка, каждый четвертый пользователь персонального компьютера сталкивался с различным мошенничеством в интернете. Один из видов обмана – это баннер, который блокирует работу Windows и требует отправить СМС на платный номер или требует криптовалюту. По сути это просто вирус.

Чтобы бороться с баннером-вымогателем, нужно понять, что он собой представляет и как проникает в компьютер. Обычно баннер выглядит так:

Но могут быть и другие всевозможные вариации, но суть одна – жулики хотят заработать на вас.

Пути попадания вируса в компьютер

Первый вариант «заражения» — это пиратские приложения, утилиты, игры. Конечно, пользователи интернета привыкли получать большинство желаемого в сети «на халяву», но при загрузке с подозрительных сайтов пиратского ПО, игр, различных активаторов и прочего, мы рискуем заразиться вирусами. В этой ситуации обычно помогает .

Windows может быть заблокирован из-за скачанного файла с расширением «.exe ». Это не говорит о том, что нужно отказываться от загрузки файлов с таким расширением. Просто помните, что «.exe » может относиться только к играм и программам. Если вы качаете видео, песню, документ или картинку, а в её названии на конце присутствует «.exe», то шанс появления баннера вымогателя резко возрастает до 99.999%!

Есть ещё хитрый ход с, якобы, необходимостью обновления Flash плеера или браузера. Может быть так, что вы будете работать в интернете, переходить со странички на страничку и однажды обнаружите надпись что «ваш Flash плеер устарел, обновитесь пожалуйста». Если вы кликаете на этот баннер, и он вас ведёт не на официальный сайт adobe.com, то это 100% вирус. Поэтому проверяйте, прежде чем кликнуть по кнопку «Обновить». Лучшим вариантом будет игнорирование подобных сообщений вовсе.

И последнее, устаревшие обновления Windows ослабляют защиту системы. Чтобы компьютер был защищенным, старайтесь вовремя устанавливать обновления. Эту функцию можно настроить в «Панели управления -> Центр обновления Windows» на автоматический режим, чтобы не отвлекаться.

Как разблокировать Windows 7/8/10

Один из простых вариантов убрать баннер-вымогатель – это . Помогает 100%, но переустанавливать Windows имеет смысл тогда, когда у вас нет важных данных на диске «С», которые вы не успели сохранить. При переустановке системы, все файлы удалятся с системного диска. Поэтому, если у вас нет желания заново устанавливать программное обеспечение и игры, то вы можете воспользоваться другими способами.

После лечения и успешного запуска системы без баннера вымогателя нужно провести дополнительные действия, иначе вирус может снова всплыть, или просто будут некоторые проблемы в работе системы. Всё это есть в конце статьи. Вся информация проверена лично мной! Итак, начнем!

Kaspersky Rescue Disk + WindowsUnlocker нам поможет!

Будем использовать специально разработанную операционную систему. Вся сложность в том, что на рабочем компьютере нужно скачать образ и или (пролистайте статьи, там есть).

Когда это будет готово, нужно . В момент запуска появится небольшое сообщение, типа «Press any key to boot from CD or DVD». Здесь нужно нажать любую кнопку на клавиатуре, иначе запустится заражённый Windows.

При загрузке нажимаем любую кнопку, затем выбираем язык – «Русский», принимаем лицензионное соглашение с помощью кнопки «1» и используем режим запуска – «Графический». После запуска операционной системы Касперского не обращаем внимания на автоматически запустившийся сканер, а идём в меню «Пуск» и запускаем «Терминал»


Откроется чёрное окошко, куда пишем команду:

windowsunlocker

Откроется небольшое меню:


Выбираем «Разблокировать Windows» кнопкой «1». Программа сама всё проверит и исправит. Теперь можно закрыть окно и проверить, уже запущенным сканером, весь компьютер. В окошке ставим галочку на диске с ОС Windows и жмём «Выполнить проверку объектов»


Ждём окончания проверки (может быть долго) и, наконец, перезагружаемся.

Если у вас ноутбук без мышки, а тачпад не заработал, то предлагаю воспользоваться текстовым режимом диска Касперского. В этом случае после запуска операционной системы нужно сначала закрыть открывшееся меню кнопкой «F10», затем ввести в командной строке всё ту же команду: windowsunlocker

Разблокировка в безопасном режиме, без специальных образов

Сегодня вирусы типа Winlocker поумнели и блокируют загрузку Windows в безопасном режиме, поэтому скорей всего у вас ничего не получится, но если образа нет, то пробуйте. Вирусы бывают разные и у всех могут сработать разные способы, но принцип один.

Перезагружаем компьютер. Во время загрузки нужно нажимать клавишу F8, пока не появится меню дополнительных вариантов запуска Windows. Нам нужно с помощью стрелочек «вниз» выбрать из списка пункт, который называется «Безопасный режим с поддержкой командной строки» .

Вот сюда мы должны попасть и выбрать нужную строку:

Далее, если всё пойдёт хорошо, то компьютер загрузится, и мы увидим рабочий стол. Отлично! Но это не значит что теперь всё работает. Если не удалить вирус и просто перезагрузиться в нормальном режиме, то банер снова всплывёт!

Лечимся средствами Windows

Нужно восстановить систему , когда баннера блокировщика ещё не было. Внимательно прочитайте статью и сделайте всё что там написано. Под статьёй есть видео.

Если не помогло, то нажимаем кнопки «Win+R» и пишем в окошке команду чтобы открыть редактор реестра:

regedit

Если же вместо рабочего стола запустилась чёрная командная строка, то просто вводим команду «regedit» и жмём «Enter». Нам предстоит проверить некоторые разделы реестра на наличие вирусных программ, или если быть точнее – вредоносного кода. Для начала этой операции зайдите вот по этому пути:

HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon

Теперь по порядку проверяем такие значения:

  • Shell – здесь обязательно должно быть написано «explorer.exe», других вариантов быть не должно
  • Userinit – здесь текст должен быть «C:\Windows\system32\userinit.exe,»

Если ОС установлена на другой диск, отличный от C:, то соответственно и буква там будет другая. Чтобы изменить неправильные значения, нажмите правой кнопкой мыши по строчке, которую нужно отредактировать, и выберите пункт «изменить»:

Затем проверяем:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Здесь вообще не должно быть ключей Shell и Userinit, если есть – удаляем их.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если не уверены, нужно ли удалять ключ, можно просто к параметру вначале дописать единичку «1». Путь окажется с ошибкой, и эта программа просто не запустится. Потом можно будет вернуть как было.

Теперь нужно запустить встроенную утилиту очистки системы, делаем это так же, как запускали редактор реестра «regedit», но пишем:

cleanmgr

Выбираем диск с операционной системой (по умолчанию C:) и после сканирования отмечаем все галочки, кроме «Файлы резервной копии пакета обновления»

И жмём «ОК». Этим действием мы, возможно, отключили автозапуск вируса, а дальше нужно почистить следы его пребывания в системе, а об этом – читайте в конце статьи.

Утилита AVZ

Заключается в том, что в безопасном режиме мы запустим известную антивирусную утилиту AVZ. Кроме поиска вирусов программа имеет просто массу функций исправления системных проблем. Этот способ повторяет действия по заделыванию дыр в системе после работы вируса, т.ч. для ознакомления с ним переходим к следующему пункту.

Исправление проблем после удаления вируса-вымогателя

Поздравляю! Если вы это читаете, значит система запустилась без баннера. Теперь нужно и проверить им всю систему. Если вы пользовались спасительным диском Касперского и провели проверку там, то этот пункт можно пропустить.

Ещё может быть одна неприятность, связанная с деятельностью злодея – вирус может зашифровать ваши файлы. И даже после полного его удаления вы просто не сможете воспользоваться своими файлами. Для их дешифрации нужно использовать программы с сайта Касперского : XoristDecryptor и RectorDecryptor. Там же есть и инструкция по использованию.

Но и это ещё не всё, т.к. винлокер скорей всего напакостил в системе, и будут наблюдаться различные глюки и проблемы. Например, не будет запускаться редактор реестра и диспетчер задач. Чтобы полечить систему воспользуемся программой AVZ.

При загрузке с помощью Google Chrome может возникнуть проблема, т.к. этот браузер считает программу вредоносной и не даёт её скачать! Этот вопрос уже поднимался на официальном форуме гугла, и на момент написания статьи всё уже нормально .

Чтобы всё-таки скачать архив с программой, нужно перейти в «Загрузки» и там нажать «Скачать вредоносный файл» Да, понимаю, что выглядит это немного глупо, но видимо хром считает, что программа может нанести вред обычному пользователю. И это правда, если тыкать там куда ни попадя! Поэтому строго следуем инструкции!

Распаковываем архив с программой, записываем на внешний носитель и запускаем на заражённом компьютере. Идём в меню «Файл -> Восстановление системы» , отмечаем галочки как на картинке и выполняем операции:

Теперь идём по следующему пути: «Файл -> Мастер поиска и устранения проблем» , далее переходим в «Системные проблемы -> Все проблемы» и кликаем по кнопке «Пуск». Программа просканирует систему, и затем в появившемся окне выставляем все галочки кроме «Отключение обновления операционной системы в автоматическом режиме» и тех, которые начинаются с фразы «Разрешён автозапуск с…».

Кликаем по кнопке «Исправить отмеченные проблемы». После успешного завершения переходим по: «Настройки и твики браузера -> Все проблемы» , здесь выставляем все галочки и точно так же нажимаем на кнопку «Исправить отмеченные проблемы».

То же самое делаем и с «Приватностью», но здесь не ставьте галочки, которые отвечают за чистку закладок в браузерах и что вам ещё покажется нужным. Заканчиваем проверку в разделах «Чистка системы» и «Adware/Toolbar/Browser Hijacker Removal».

Под конец закрываем окно, при этом не выходя из AVZ. В программе находим «Сервис -> Редактор расширений проводника» и убираем галочки с тех пунктов, которые помечены черным цветом. Теперь переходим по: «Сервис -> Менеджер расширений Internet Explorer» и полностью стираем все строки в появившемся окне.

Выше я уже сказал, что этот раздел статьи также является одним из способов лечения Windows от банера-вымогателя. Так вот, в этом случае скачать программу нужно на рабочем компьютере и затем записать на флешку или на диск. Все действия проводим в безопасном режиме. Но есть ещё один вариант запустить AVZ, даже если не работает безопасный режим. Нужно запуститься, из того же меню при загрузке системы, в режиме «Устранение неполадок компьютера»

Если оно у вас установлено, то будет отображаться на самом верху меню. Если там нет, то попробуйте запустить Виндовс до момента появления баннера и выключить компьютер из розетки. Затем включите – возможно будет предложен новый режим запуска.

Запуск с установочного диска Windows

Ещё один верный способ – это загрузиться с любого установочного диска Windows 7-10 и выбрать там не «Установку» , а «Восстановление системы» . Когда средство устранения неполадок запущено:

  • Нужно там выбрать «Командная строка»
  • В появившемся чёрном окне пишем: «notepad», т.е. запускаем обычный блокнот. Его мы будем использовать как мини-проводник
  • Идём в меню «Файл -> Открыть», тип файлов выбираем «Все файлы»
  • Далее находим папку с программой AVZ, кликаем правой кнопкой по запускаемому файлу «avz.exe» и запускаем утилиту с помощью пункта меню «Открыть» (не пункт «Выбрать»!).

Если ничего не помогает

Относится к случаям, когда вы, по каким-то причинам, не можете загрузиться с флешки с записанным образом Касперского или программой AVZ. Вам остаётся только достать из компьютера жёсткий диск и подключить его вторым диском к рабочему компьютеру. Затем загрузиться с НЕЗАРАЖЁННОГО жёсткого диска и просканировать СВОЙ диск сканером Касперского.

Никогда не отправляйте СМС-сообщения, которые требуют мошенники. Каким бы ни был текст, не отправляйте сообщения! Старайтесь избегать подозрительных сайтов и файлов, а вообще почитайте . Следуйте инструкции, и тогда ваш компьютер будет в безопасности. И не забывайте про антивирус и регулярное обновление операционной системы!

Вот видео, где всё видно на примере. Плейлист состоит из трёх уроков:

PS: какой способ помог Вам? Напишите об этом в комментариях ниже.

Здравствуйте! Сегодня я напишу о том, как удалить блокиратор рабочего стола, который появился после того как компьютер был заражен вирусом, который заблокировал работу Windows. И теперь Вы видите перед собой окно, требующее ввести код разблокировки, который можно купить заплатив определенную сумму после отправки смс на номер злоумышленников.

Как разблокировать Windows бесплатно?

Никому не хочется платить деньги за разблокировку Windows. Да и оплатив деньги на указанный мошенниками счет нет гарантии, что Вам пришлют ключ windows будет разблокирован. Поэтому мы рассмотрим способы, как бесплатно разблокировать Windows:

1-й способ - сменить дату в биосе (BIOS) компьютера. Для тех, кто с компьютером не на ты постараюсь обьяснить как зайти в BIOS. На системном блоке есть кнопка перезагрузки - нажмите на нее, если компьютер включен. Если компьютер выключен, то включите его. Через пару секунд после начала загрузки компьютера нажмите и удерживайте на клавиатуре клавишу DELETE. Если Вы успешно вошли, то на экране будет на синем фоне на английском меню биоса. В биосе Вам нужно зайти в раздел Standard CMOS Features, там будет поле текущей даты, измените дату на более раннюю. После изменения даты нажмите Esc и Вы попадете в основное меню. Для сохранения данных выберите Save & Exit Setup, после этого нажмите y, чтобы подтвердить сохранение. Этот способ поможет решить проблему с баннером блокиратором работы windows, но вирус нужно еще найти и удалить.

2-й способ - зайдите с мобильного телефона или с другого компьютера на сайты антивирусов Доктора Веба https://www.drweb.com/xperf/unlocker/ или Касперского http://www.kaspersky.ru/support/viruses/deblocker и поищите в этих разделах ключ для разблокировки.

3-й способ - найти и удалить вирус самому. Последовательность действий: при загрузке Windows нажимаем F8, и выбираем загрузку в безопасном режиме с поддержкой командной строки; загружается окно, в которое вносим команду regedit, откроется реестр, в нем будьте осторожны НЕ УДАЛЯЙТЕ ЧТО ПОПАЛО, переходите по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и находите справой стороны файл с названием Shell; запишите путь к нему, который там прописан и кликайте 2 раза и стираете этот путь; далее вписываете в командную строку explorere.exe перезагружаетесь, Windows уже включится без проблем и без блокировочного баннера. Теперь переходите по тому пути, который записали, и удаляете сам файл этого вируса! Таким образом Вы удалите вирус, заблокировавший Windows.

4-й способ - нажмите F8 при загрузке Windows и попробуйте запустить восстановление системы выбрав контрольную точку восстановления. После удачного восстановления, нужно удалить вирус, запускайте антивирусную программу и сканируйте весь компьютер.

5-й способ - в строке быстрого запуска видны значки этих вирусов. При наведении курсора на значек высвечивается имя файла, зачастую, оно состоит из набора цифр. Через поиск находите этот файл. Просто так файл удалить не получится. Сначала его переименовываем, а потом удаляем, и не забудьте почистить корзину. И на всякий случай просканировать систему антивирусом.

6-й способ - отформатировать локальный диск на котором установлена Windows. Но этот вариант приведет к потере данных, хранившихся на локальном диске. И это самый радикальный способ борьбы с блокиратором системы, применяйте его только в том случае, если приведенные выше способы разблокировки Windows не помогли.

Как удалить вирус после разблокировки? Скачивайте программу cureit, которая удаляет трояны блокираторы Windows. Вот ссылка http://www.freedrweb.com/cureit/?lng=ru Вирус зачастую прописывается в папке C:\System Volume Information

Как правило, это «троян» из семейства Winlock. Определить его легко: если на экране появляется изображение порнографического или, наоборот, делового характера, и при этом компьютер прекращает отвечать на команды - это наш клиент.


Баннер при этом часто содержит сообщение «Ваш компьютер заблокирован» и предложение отправить платное SMS или внести деньги на указанный счёт, - якобы только после этого вредный баннер (а с ним и блокировка ПК) исчезнет. На изображении даже есть поле, куда нужно вписать специальный код, который должен прийти после выполнения вышеуказанных требований. Принцип действия таких вредоносных элементов сводится к подмене параметров Shell в оболочке операционной системы и нивелированию функций проводника Виндовс

Есть несколько поколений вирусов-вымогателей. Некоторые из них обезвреживаются в пару кликов, другие требуют манипуляций посерьезней. Мы приведём способы, применив которые, вы сможете справиться с любым трояном такого рода.

Способ №1

Диспетчер задач

Этот метод сработает против примитивных троянов. Попробуйте вызвать обычный диспетчер задач (комбинация клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC). Если это удастся, найдите в перечне процессов то, что не должно быть запущено, и завершите его.

Если диспетчер не вызывается, можно еще воспользоваться менеджером процессов через клавиши Win+R. В поле «Открыть» впишите слово «notepad» и нажимайте ENTER, - таким образом, вы откроете приложение Блокнот. В отрывшемся окне приложения наберите произвольные символы и коротко нажмите кнопку включения/выключения на своем ноутбуке или стационарном ПК. Все процессы, в том числе, и троянский, тут же завершатся, но компьютер не выключится. Пока вирус деактивирован, вы сможете найти относящиеся к нему файлы и ликвидировать их или же выполнить проверку антивирусом.

Если вы не успели установить антивирусное ПО, вы спросите: как удалить вирус-вымогатель с компьютера? В большинстве случаев отпрыски злобного семейства Winlock пробираются в каталоги каких-нибудь временных файлов или временные файлы браузера. Прежде всего, проверьте пути:

C: \ Documents and Settings \каталог, в котором указано имя пользователя \ и

C: \ Users \ каталог по имени пользователя \ AppData \ Roaming \.

Там ищите «ms.exe», а также подозрительные файлы с произвольным набором символов вроде «0.277949.exe» или «Hhcqcx.exe» и удалите их.

Способ №2

Удаление файлов вируса в безoпасном рeжиме

Если первый способ не подействовал и Виндовс заблокирован - что делать в таком случае? Здесь также расстраиваться не стоит. Значит, мы столкнулись с продвинутым троянчиком, который подменяет системные компоненты и устанавливает блокировку на запуск Диспетчера задач.

В этом случае нам придётся выбрать работу в безопасном режиме. Перезагрузите компьютер. При запуске Windows удерживайте F8. В отобразившемся меню выберите «Безопасный режим с поддержкой командной строки».

Дальше в консоли следует написать: «explorer» и нажать ENTER - вы запустите проводник. После этого прописываем в командной строке слово «regedit» и снова-таки жмём ENTER. Так мы вызовем редактор реестра. В нём вы сможете найти созданные трояном записи, а еще - место, откуда происходит его автозапуск.

Пути к файлам злопакостного компонента будут, скорее всего, в ключах Shell и Userinit (в первом он прописывается explorer.exe, а в «Userinit» его легко определить по запятой). Дальше порядок действий таков: копируем полное имя обнаруженного вирусного файла правой кнопкой в буфер обмена, в командной строке пишем «del», после чего ставим пробел и вставляем скопированное имя. ENTER - и готово. Теперь вы знаете, как удалить вирус-вымогатель.

Также делаем и с остальными заразными файлами.

Способ № 3

Восстановление системы

Загружаем систему в безопасном режиме, как это описано выше. В командной строке прописываем: «C:\WINDOWS\system32\Restore\rstrui.exe». Современные версии поймут и просто «rstrui». Ну и, естественно, ENTER.

Перед вами всплывет окно «Восстановление системы». Здесь вам нужно будет выбрать точку восстановления, а вернее - дату, предшествующую попаданию вируса на ПК. Это может быть вчерашний день, а может быть месяц назад. Словом, выбирайте то время, когда ваш компьютер был 100% чист и здоров. Вот и вся разблокировка Windows.

Способ №4.

Аварийный диск

Этот способ предполагает, что у вас есть время загрузить софт с другого компьютера или сходить за ним к другу. Хотя, может быть, вы предусмотрительно им уже обзавелись?

Специальное ПО для экстренного лечения и восстановления системы многими разработчиками поставляется прямо в антивирусных пакетах. Однако аварийный диск можно также скачать отдельно - бесплатно и без регистрации.

Вы можете воспользоваться ESET NOD32 LiveCD, Comodo Rescue Disk, или . Все эти приложения работают по одному принципу и могут быть размещены как на CD, DVD, так на USB-накопителе. Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно - вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.

Сегодня мы собираемся представить вам еще один компьютерный вирус - Windows заблокирован. Windows заблокирован, который также известен как Windows Blocked ransomware. Эта угроза не является крипто-вымогателем, и она не шифрует файлы жертвы. Тем не менее, она блокирует их компьютер и просит жертву заплатить, если она хочет получить доступ к компьютеру снова. Блокируя компьютер, она ограничивает юзера от пользования программами или файлами, которые хранятся на компьютере. Она также отображает сообщение на полный экран, в котором говорится, что пользователь компьютера должен заплатить выкуп, чтобы начать использовать компьютером снова.

Вирус Windows заблокирован просит купить пополнение карты стоимостью 400-600 рублей и ввести код преступников в предусмотренном поле. Кибер преступники обещают разблокировать компьютер сразу же после того, как жертва заплатит выкуп. Вирус говорит, что оплата должна быть произведена в течение 10 часов, в противном случае компьютерная система будет повреждена. Тем не менее, даже не начинайте искать ваш кошелек, потому что вполне возможно получить доступ к вашему компьютеру без денег. Все, что вам нужно сделать - это удалить вирус Windows заблокирован с вашей системы.

Рекомендуется удалить этот вирус с помощью программного обеспечение, потому что обнаружить и удалить этот вирус вручную очень трудно. Этот вирус, как правило, называет свои файлы по-разному, так что пользователи не смогут его быстро идентифицировать и удалить. Все что мы знаем, куда вирус записывает свои файлы. Он сохраняет их в папку Загрузки или Temp, но для того, чтобы войти в эти папки, вам нужно перезагрузить компьютер и войти в безопасном режиме. Вы можете найти подробные инструкции о том, как удалить Windows заблокирован на странице 2.

Как вредная программа Windows заблокирован может войти в ваш ПК?

Вирус Windows заблокирован можно загрузить с официального сайта или сайта вредоносных программ. Кибер преступники предпочитают использовать клик атаки и помещать вредные ссылки в мало подозрительный контент, так что если у вас есть хоть малейшее подозрение, что объявление, ссылка или кнопка на которые вы собираетесь нажать, могут привести вас к опасным веб-сайтам, не нажимайте на них. Для того, чтобы защитить свой компьютер от вредоносных программ, вы должны защитить его с помощью антишпионского средства, как .

Вредоносные файлы тоже распространяются по электронной почте. Команда 2-Spyware настоятельно рекомендует пользователям следить за письмами, которые приходят от неизвестных лиц, особенно, если они предлагают открыть вложения. Мошенники также имеют тенденцию посылать навязчивые электронные письма, и если вы хотите заблокировать их, скорее создайте фильтр для электронных сообщений, вместо того чтобы нажимать кнопку “Отменить подписку” в предоставленном сообщении. Преступники, как правило, вводят вредоносные вложения позади этой кнопки.

Если троян Windows заблокирован уже проник в ваш компьютер, пожалуйста следуйте инструкции по удалению Windows заблокирован, которая предоставляется на странице 2 и устраните его с вашего ПК, как можно скорее.

Как удалить вирус Windows заблокирован?

Вы не должны бояться угроз Windows заблокирован, и не спешите платить ему, потому что этот вирус может быть выведен из эксплуатации довольно простым способом. Поскольку этот вирус не шифрует файлы, а только блокирует к ним доступ это не опасно, потому что, удалив этот вирус, вы можете вернуть доступ к файлам обратно. Пожалуйста, используйте инструкцию Windows заблокирован, приведенную ниже, и удалите эту угрозу с вашего компьютера. Для предотвращения компьютерных угроз, которые могут заразить ваш компьютер, мы рекомендуем вам установить мощное средство защиты. По этой причине, мы рекомендуем установить антивирусное средство SpyHunter. Не забывайте регулярно обновлять программное обеспечение, потому что, только таким образом оно будет способно идентифицировать и устранить последнюю версию вредной угрозы.

Троян - вирусы семейства Winlock, которые блокируют работу системы Windows, - настоящие вымогатели денег. На протяжении нескольких последних лет они не только эволюционировали, но и начали представлять собой серьезную проблему безопасности компьютерных систем. Мы предлагаем прочитать рекомендации, как можно бороться с ними самостоятельно, а иногда даже предотвратить заражение собственного компьютера.

Троянский вирус появляется в системе быстро, а самое страшное - незаметно. Пользователь выполняет привычные действия, просматривает страницы, общается или загружает необходимые файлы. И вдруг на экране появляется баннер, который просто невозможно убрать. Картинки баннеров могут быть разными - порнографическими, или даже грозно оформленными.

Но в итоге от пользователя вымогают перечислить требуемую сумму денег на счет или отправить платное SMS. Такие баннеры располагаются всегда поверх всех других окон для привлечения внимания пользователя. В конце текста сообщения практически всегда можно встретить угрозу об уголовном преследовании или об удалении всех папок и файлов с дисков компьютера, в случае если перевод средств не будет выполнено в течение лимитированного промежутка времени.

Надеемся, вы понимаете, что никаких операций денежных перечислений проводить не следует. Для начала желательно попытаться выяснить оператора указанного номера сотовой связи, затем сообщить о происшедшем в службу безопасности. Иногда операторы даже смогут подсказать вам разблокировочный код в онлайн режиме, однако слишком уж не стоит рассчитывать на такое «счастье».

Сражаемся самостоятельно

Код разблокировки действительно существует, и его можно применить для уничтожения некоторых троянов. Очень редко происходит процесс их самостоятельного удаления, после введения правильного кода, который можно иногда получить, зайдя на соответствующие разделы на сайтах . Пример.

Компания «Лаборатория Касперского» тоже предлагает сервис для разблокировки системы.

Для использования этого сервиса, необходимо зайти на определенные разделы сайтов «Лаборатория Касперского», «Доктор Вэб» или других разработчиков антивирусов с какого-нибудь иного компьютера или смартфона.

Если вам удалось удачно завершить разблокировку, не спешите радоваться и выключать компьютер. Загрузите какой-нибудь антивирус бесплатно и дайте команду системе выполнить проверку. Рекомендуем использовать утилиты Kaspersky VRT (Virus Removal Tool) или Doctor WEB Cure It.

Лечение от вирусов

Прежде чем воспользоваться сложными методами и специальным софтом, нужно попытаться использовать имеющиеся средства.

Нажав клавиши CTRL+SHIFT+ESC или же стандартную комбинацию CTRL+ALT+DEL, вызываем диспетчер задач. Если данное действие сработало, значит, вам предстоит сразиться с простым вариантом вируса. Более того, борьба будет быстрой и несложной. Вам необходимо просто найти название вируса в списке рабочих процессов и выбрать опцию «принудительное завершение».

Подозрительно непонятный процесс, который обнаружен в диспетчере задач может быть трояном.

Если вы нашли невнятное имя процесса и отсутствие его описания, значит, вы действуете правильно. Остается только завершить такой процесс. Также можно просто начать завершать поочередно все «подозрительные» процессы, пока баннер не исчезнет.

В случае, если диспетчер не запускается, можно попытаться использовать расширенный менеджер процессов. Ниже можно увидеть, какой вид имеет процесс, вызывающий подозрения, в System Explorer.

System Explorer - это расширенный менеджер процессов

Скачать эту программу можно любым доступным способом. Выбрав команду «Проверить», вы запустите поиск информации об определенном процессе в базе данных online, но чаще всего картина и так становится ясна. Закрыв баннер, следует перезапустить «Проводник», выбрав процесс explorer.exe. В системном диспетчере процессов следует нажать:

Файл » Новая задача » c:\Windows\explorer.exe.

Когда троян временно деактивирован, вам осталось просто найти его файл, а затем удалить его. Данные действия можно выполнить вручную или воспользовавшись программой бесплатного антивируса.

Стандартное место нахождения трояна - разные каталоги для временных файлов, и системы. Целесообразно также производить полную проверку, потому что копии вируса могут прятаться в разных местах и нарушать работу не только одной системы. Исчерпывающий список объектов в режиме автозапуска можно просмотреть абсолютно бесплатной утилитой Autoruns.

AutoRuns продемонстрирует все объекты, имеющие режим автозапуска (на демонстрационной версии скриншота можно увидеть только малую часть).

Военные хитрости

«Победить» троян на начальном этапе можно, если знать особенности поведения стандартных программ. Увидев баннер, попробуйте запустить Блокнот или WordPad. Нажав WIN+R, попробуйте написать notepad, с последующим нажатием кнопки ENTER. Внизу, под баннером, вы увидите новый документ Word. Набрав любую абракадабру, коротко нажмите выключение питания непосредственно на системном блоке. Это должно привести к тому, что все процессы начнут завершаться, включая и троянский вирус, но компьютер не выключится.

Блокнот помогает вернуть доступ админу!

Старая школа

Продвинутые современные версии троянов снабжены средствами противодействия всем попыткам, направленным на избавление от них. Такие вирусы способны заблокировать запуск системного диспетчера задач, подменяя другие компоненты системы.

В таком случае нужно сначала перезагрузить компьютер, удерживая клавишу F8 в течение загрузки Windows. Загрузить систему в режиме «Безопасный режим с поддержкой командной строки". По окончании загрузки набираем на клавиатуре слово explorer и нажимаем ENTER. Как результат - запустится проводник Windows. Далее нужно написать regedit и нажать ENTER. Появится редактор системного реестра. В реестре можно обнаружить записи, созданные трояном, и место, откуда произошла его загрузка и запуск.

Ключи реестра, которые часто модифицируются троянами Winlock

Часто увидеть полные пути непосредственно к файлам трояна можно в разделах Shell и Userinit ветки реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

В «Shell» происходит запись трояна вместо explorer.exe, а в «Userinit» он указывается непосредственно после запятой. Необходимо скопировать полное имя файла трояна в буфер обмена из первой записи, которая была обнаружена. В строке команды пишем del, далее делаем пробел и, кликнув мышкой, открываем контекстное меню.

В нем необходимо выделить команду «Вставка» и нажать ENTER. Таким образом, файл трояна будет удален. При удалении трояна из консоли, удаляемый файл располагается во временной папке.

В реестре операционной системы необходимо также выполнить поиск по имени файла трояна, внимательно просматривая все записи, которые были найдены и удаляя все подозрительные. Далее переходим к очищению всех временных папок и корзины. В завершении нужно выполнить сканирование с помощью любого антивируса.

Если троян заблокировал работу сетевых подключений, их можно попробовать восстановить с помощью небольшой, но мощной утилиты AVZ через Windows Sockets API настройки.

Тонкая работа

В случаях серьезных заражений почти бесполезно пробовать бороться внутри инфицированной системы. Логично загрузиться с любой другой чистой системы и относительно спокойно попытаться вылечить основную, зараженную систему. Существуют разные способы это сделать, но один из наиболее простых - бесплатная утилита Kaspersky WindowsUnlocker. Аналогично Dr WEB LiveCD данная программа основана на Gentoo Linux. Файл - образ записываем на каую-нибудь болванку или делаем загрузочный Flash накопитель, прибегнув к помощи утилиты Kaspersky USB Rescue Disk Maker.

Создаем загрузочный Flash накопитель, используя образ Kaspersky Rescue Disk

Опытные пользователи могут сделать это заранее, а остальные чаще всего обращаются к друзьям, коллегам или отправляются в ближайший интернет-клуб, когда уже произошло заражение.

Во время включения зараженного компьютера необходимо удерживать клавишу, чтобы войти в BIOS компьютера. Обычно это кнопки DELETE или F2, соответствующее приглашение будет отображено внизу экрана. Далее нужно вставить Kaspersky Rescue Disk или заранее подготовленную загрузочный Flash накопитель. В Boot options (настройки вариантов загрузки) первым загрузочным устройством выбираем CD/DVD привод или Flash накопитель. Следующий шаг - сохранение изменений F10 и выход из BIOS.

Большинство современных версий BIOS предлагают выбрать загрузочное устройство в процессе загрузки, не входя в главные настройки. Нужно нажать F11, F12 или сочетание клавиш, указанное на экране. После перезагрузки произойдет запуск Kaspersky Rescue Disk.

Борьба на ранних этапах

Отдельным подклассом являются троянские вирусы, которые поражают главную загрузочную запись диска компьютера (MBR). Они могут появиться на экране еще до загрузки операционной системы, и отсутствовать в разделах автозапуска.

Начальные этапы борьбы с такими вирусами состоят в восстановлении MBR до исходного состояния. Для случая XP необходимо выполнить загрузку с инсталяционного диска Windows, нажать клавишу R и вызвать консоль восстановления, где и нужно написать команду fixmbr. Далее подтверждаем ее, нажав Y, и начав перезагрузку. Windows 7 в качестве такой утилиты использует BOOTREC.EXE и, соответственно, синтаксис команды будет следующим:

Bootrec.exe/FixMbr

После проведения данных манипуляций система начинает загружаться повторно. Можно приступать к дальнейшему поиску физических копий трояна.

Выковыриваем вирус с помощью крестовой отвертки

Борьба с вирусами троянского типа может быть долгой и затянутой, если у вас ноутбук или маломощный компьютер, так как существует затруднения при загрузке с других устройств, а выполнение проверки занимает время. Самое простое решение - просто извлечь винчестер с зараженной системой и подключить его физически к другому компьютеру. Можно воспользоваться специальными боксами оборудованными интерфейсом eSATA или USB 3.0/2.0.

Чтобы не распространять вирусы, предварительно нужно отключить на «лечащем» компьютере возможность автозапуска с HDD. Сделать это легче всего с помощью утилиты AVZ, которая, кстати, бесплатная, а непосредственно проверку лучше выполнить чем-то другим. Открываем меню «Файл», выбираем «Мастера поиска и устранения проблем». Отмечаем «Системные проблемы», «Все» и нажимаем «Пуск». После этого необходимо отметить пункт «Разрешен автозапуск с HDD» и нажать «Исправить отмеченные проблемы».

Отключаем автозапуск

Также, перед подсоединением зараженного винчестера нужно убедиться, что антивирус на компьютере уже запущен в режиме монитора и присутствуют свежие (обновленные) антивирусные базы.

В дальнейшем, чтобы предотвратить повторное заражение следует установить антивирус (любой) с поддержкой режима реального времени мониторинга системы, а также выполнять общие правила безопасности:

  • работать, непосредственно входя в учетную запись, которая предполагает ограниченные права;
  • пользоваться альтернативными WEB браузерами - много заражений происходит именно через дыры безопасности в ;
  • отключать Java-скрипты для неизвестных сайтов;
  • отключать автозапуск для сменных носителей;
  • программы и обновления устанавливать, пользуясь только официальными сайтами разработчиков;
  • стараться всегда обращать внимание на путь предлагаемой ссылки;
  • блокировать нежелательные окна, которые всплывают;
  • своевременно устанавливать обновления для браузеров, системных и общих компонентов.

Если вам интересна эта тема, посетите проект GreenFlash. Там вы найдете разнообразные полезные и интересные решения, а также рекомендации для создания загрузочного Flash накопителя.

Однако не нужно забывать, что распространение вирусов троянов Winlock затронуло не только Россию и страны ближнего зарубежья. Известны их модификации с локализацией практически на все языки мира.