Блокировка экрана Windows — как разблокировать экран компьютера от баннера. Компьютер заблокирован, что делать с баннером, пополнить счет? Вирус заблокировал ноутбук что делать
Вы в первый раз столкнулись с такой проблемой, как блокировка экрана windows?. Наверное уже многие с ней сталкивались (в том числе и я). Предлагаю посмотреть классификацию блокировки системы windows и их способы устранения.
Прежде чем приступить к чтению о блокировке экрана windows, рекомендую Вам прочитать статьи:
Типы блокировки экрана компьютера
1 тип - это баннеры или порноинформеры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера. Выглядит обычно вот так.
2 тип - это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.
3 тип - это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.
4 тип - это тип баннеров, который загружается до загрузки рабочего стола Windows, подменяя файл explorer.exe.
5 тип - это так называемый MBR.locker, вносящий изменения в Master Boot Record жесткого диска и, соответственно, блокирующий нормальную загрузку ОС.
Как снять блокировку экрана Windows
Что делать в случае заражения Trojan.Winlock
Ни в коем случае не выполняйте требования злоумышленников . Знайте, что смс, которое вы отправите будет стоить не столько, сколько написано, а гораздо больше, да к тому же вам не разблокируют систему. Проверено и доказано.
При возможности воспользоваться онлайн-сервисами подбора кода разблокировки на сайтах производителей антивирусного ПО (Dr.Web, Лаборатория Касперского).
Произвести полное сканирование компьютера антивирусной утилитой со свежими обновлениями антивирусной базы (например, «одноразовым» антивирусом Dr.WebCureIt или KasperskyVirusRemovalTool, скачать его желательно со «здорового» компьютера, даже в случае успешной разблокировки системы подбором кода).
Открыть диспетчер задач (если это возможно). Посмотреть подозрительные процессы. Попробовать завершить процесс.Конечно, процесс в большинстве случаях перезагружается, но теперь вы знаете какая программа блокирует, так что сможет без проблем её удалить.
Если вирус блокирует доступ к определенным ресурсам Интернет (обычно к популярным социальным сетям и сайтам с антивирусным ПО), необходимо удалить лишние записи (кроме строки «127.0.0.1 localhost») из файла C:\WINDOWS\System32\drivers\etc\hosts и очистить кэш DNS (командой ipconfig /flushdns от имени администратора), а также очистить cookies и кэш в браузере.
Если вирус полностью блокирует экран windows, то можно попробовать загрузиться с помощью LiveCD и исправить проблему.
Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit — C:\WINDOWS\System32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_LOCAL_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей, их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему трояна можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.
Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\WINDOWS\System32\DLLCACHE.
Блокировка экрана windows может случится от трояна, который создает раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел.
Иногда, если система заблокирована полностью, можно использовать «Горячие клавиши»
Ctrl+Shift+Esc Вызвать Task Manager
Ctrl+Alt+Dell Вызвать Task Manager
Ctrl+Esc Активировать кнопку Start (Пуск)
Win+D Свернуть все окна(если сработает не будет мешать окно винлока)
Win+M Свернуть все окна
Win+R Вызвать окно «Выполнить»
Alt+F4 Закрыть активное приложение (программу)
Лично я сталкивался с этим вирусом 2 раза, при том вирус был 5 типа. Мне было легче переустановить операционную систему windows. Также, мне попадалась блокировка экрана windows, вызванная скачиванием обновления с сомнительного сайта.
Советую посмотреть хорошее видео по снятию блокировки windows
Как правило, это «троян» из семейства Winlock. Определить его легко: если на экране появляется изображение порнографического или, наоборот, делового характера, и при этом компьютер прекращает отвечать на команды - это наш клиент.
Баннер при этом часто содержит сообщение «Ваш компьютер заблокирован» и предложение отправить платное SMS или внести деньги на указанный счёт, - якобы только после этого вредный баннер (а с ним и блокировка ПК) исчезнет. На изображении даже есть поле, куда нужно вписать специальный код, который должен прийти после выполнения вышеуказанных требований. Принцип действия таких вредоносных элементов сводится к подмене параметров Shell в оболочке операционной системы и нивелированию функций проводника Виндовс
Есть несколько поколений вирусов-вымогателей. Некоторые из них обезвреживаются в пару кликов, другие требуют манипуляций посерьезней. Мы приведём способы, применив которые, вы сможете справиться с любым трояном такого рода.
Способ №1
Диспетчер задач
Этот метод сработает против примитивных троянов. Попробуйте вызвать обычный диспетчер задач (комбинация клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC). Если это удастся, найдите в перечне процессов то, что не должно быть запущено, и завершите его.
Если диспетчер не вызывается, можно еще воспользоваться менеджером процессов через клавиши Win+R. В поле «Открыть» впишите слово «notepad» и нажимайте ENTER, - таким образом, вы откроете приложение Блокнот. В отрывшемся окне приложения наберите произвольные символы и коротко нажмите кнопку включения/выключения на своем ноутбуке или стационарном ПК. Все процессы, в том числе, и троянский, тут же завершатся, но компьютер не выключится. Пока вирус деактивирован, вы сможете найти относящиеся к нему файлы и ликвидировать их или же выполнить проверку антивирусом.
Если вы не успели установить антивирусное ПО, вы спросите: как удалить вирус-вымогатель с компьютера? В большинстве случаев отпрыски злобного семейства Winlock пробираются в каталоги каких-нибудь временных файлов или временные файлы браузера. Прежде всего, проверьте пути:
C: \ Documents and Settings \каталог, в котором указано имя пользователя \ и
C: \ Users \ каталог по имени пользователя \ AppData \ Roaming \.
Там ищите «ms.exe», а также подозрительные файлы с произвольным набором символов вроде «0.277949.exe» или «Hhcqcx.exe» и удалите их.
Способ №2
Удаление файлов вируса в безoпасном рeжиме
Если первый способ не подействовал и Виндовс заблокирован - что делать в таком случае? Здесь также расстраиваться не стоит. Значит, мы столкнулись с продвинутым троянчиком, который подменяет системные компоненты и устанавливает блокировку на запуск Диспетчера задач.
В этом случае нам придётся выбрать работу в безопасном режиме. Перезагрузите компьютер. При запуске Windows удерживайте F8. В отобразившемся меню выберите «Безопасный режим с поддержкой командной строки».
Дальше в консоли следует написать: «explorer» и нажать ENTER - вы запустите проводник. После этого прописываем в командной строке слово «regedit» и снова-таки жмём ENTER. Так мы вызовем редактор реестра. В нём вы сможете найти созданные трояном записи, а еще - место, откуда происходит его автозапуск.
Пути к файлам злопакостного компонента будут, скорее всего, в ключах Shell и Userinit (в первом он прописывается explorer.exe, а в «Userinit» его легко определить по запятой). Дальше порядок действий таков: копируем полное имя обнаруженного вирусного файла правой кнопкой в буфер обмена, в командной строке пишем «del», после чего ставим пробел и вставляем скопированное имя. ENTER - и готово. Теперь вы знаете, как удалить вирус-вымогатель.
Также делаем и с остальными заразными файлами.
Способ № 3
Восстановление системы
Загружаем систему в безопасном режиме, как это описано выше. В командной строке прописываем: «C:\WINDOWS\system32\Restore\rstrui.exe». Современные версии поймут и просто «rstrui». Ну и, естественно, ENTER.
Перед вами всплывет окно «Восстановление системы». Здесь вам нужно будет выбрать точку восстановления, а вернее - дату, предшествующую попаданию вируса на ПК. Это может быть вчерашний день, а может быть месяц назад. Словом, выбирайте то время, когда ваш компьютер был 100% чист и здоров. Вот и вся разблокировка Windows.
Способ №4.
Аварийный диск
Этот способ предполагает, что у вас есть время загрузить софт с другого компьютера или сходить за ним к другу. Хотя, может быть, вы предусмотрительно им уже обзавелись?
Специальное ПО для экстренного лечения и восстановления системы многими разработчиками поставляется прямо в антивирусных пакетах. Однако аварийный диск можно также скачать отдельно - бесплатно и без регистрации.
Вы можете воспользоваться ESET NOD32 LiveCD, Comodo Rescue Disk, или . Все эти приложения работают по одному принципу и могут быть размещены как на CD, DVD, так на USB-накопителе. Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно - вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.
14.04.2016
В настоящее время существует огромное количество вирусов, благо, современному антивирусному программному обеспечению по силам справиться с большинством «вредителей». Условно вирусы можно разделить на несколько групп, но самые распространенные – это шпионский, рекламный софт и трояны, к которым относятся и вирусы-вымогатели
. Как раз о последних и пойдет речь в данной статье. 
Распознать компьютер, зараженный вирусом-вымогателем довольно просто. На экране появляется и висит изображение делового, порнографического или другого характера. Компьютер при этом либо вовсе не отвечает на команды, либо отвечает, но картинка занимает практически всю видимую область. Это наш клиент – троян семейства Winlock или, говоря проще, .
Располагающийся на экране баннер имеет следующее содержание: «Ваш компьютер заблокирован , отправьте деньги на счет или платное SMS». После этого баннер вместе с блокировкой компьютера обещает исчезнуть. Также на картинке присутствует поле, в которое следует вводить код, который вы якобы получите после оплаты. Не стоит паниковать и спешить расставаться с деньгами. Мы расскажем вам, .
Рассматриваемый вирус имеет несколько разновидностей, в зависимости от поколения. Более старые можно обезвредить с помощью пары нажатий кнопки мыши. Другие потребуют куда более серьезной подготовки. Не переживайте, мы приведем все варианты выхода из такой непростой ситуации, которые точно помогут удалить любой подобный троян.
Метод №1 – Диспетчер задач
Данный способ поможет в борьбе со старыми, примитивным троянам. Вызываем диспетчер задач (C trl +S hift +E sc на Windows 10 либо C trl +A lt +D el на более старых версиях Windows). Если диспетчер запустится, попробуйте отыскать в перечне процессов подозрительный пункт. Завершите этот процесс.
Если диспетчер не запустился, попробуйте запустить менеджер процессов (клавиши Win + R ). Введите команду “notepad ” в поле “Открыть ”. После этого должен открыться Блокнот. Наберите в открывшемся окне произвольные символы и нажмите коротко (резко) кнопку включения на ПК или ноутбуке. Все процессы вместе с трояном должны автоматически завершиться. Компьютер останется включенным.
Сейчас самое время удалить все зараженные файлы. Необходимо найти их и удалить либо просканировать диски .
Предположим, что по нелепой случайности антивирус на компьютер вы заранее не поставили. Как быть? Отпрыски Winlock обычно забираются во временные файлы, в том числе файлы браузера. Попробуйте проверить следующие пути:
C:\Users\папка с именем пользователя\App Data \ Roaming \
C:\ Documents and Settings \каталог с именем пользователя\
Найдите «ms.exe » или другие подозрительные файлы, например, с произвольным сочетанием символов типа «89sdfh2398.exe » или «Hgb.hd.exe ». Удалите их.
Метод №2 – Безопасный режим
Первый способ провалился, и вы всё еще не понимаете, как разблокировать компьютер от вируса-вымогателя ? Расстраиваться не стоит. Просто наш троянчик более продвинутый. Он подменил системные компоненты и установил блокировку запуска диспетчера задач.
Чтобы устранить неисправность, перезагрузите компьютер, удерживая клавишу F8 при запуске системы. В отображенном меню выберите пункт «Безопасный режим с поддержкой командной строки ».
После чего наберите “explorer ” в консоли и нажмите Enter . Такая манипуляция запустит проводник. Прописываем далее слово “regedit ” в командной строке, нажимаем снова Enter . После чего запустится редактор реестра. Здесь вы найдете место, откуда осуществляется автозапуск вируса, а еще — созданные им записи.
Ищите компоненты вируса-вымогателя в ключах Userinit и Shell . В первом его легко найти по запятой, в Shell он прописывается как explorer . exe . Скопируем полное имя найденного нами опасного файла в буфер обмена, используя правую клавишу мыши. Пишем “del ” в командной строке, далее пробел, а далее вставляем скопированное ранее имя. Жмем Enter и наслаждаемся результатом ваших манипуляций. Теперь вам известно, как разблокировать компьютер от вируса-вымогателя . Проделываем эту операцию со всеми подозрительными файлами.
Метод №3 – Восстановление системы
После проделанных манипуляций необходимо снова войти в , используя способ, описанный в методе №2 . Пропишите в командной строке следующее: “C:\WINDOWS\system32\ Restore \rstrui.exe ” или в современных версиях лаконичное “rstrui ”, после чего нажмите Enter . На экране появится окошко “Восстановление системы ”.
Следует выбрать дату, которая предшествует появлению вируса. Эта дата называется точкой восстановления. Это может быть на год или всего день раньше той злополучной даты, когда ваш ПК подвергся атаке вируса. Другими словами, выберите дату, в которой ваш компьютер был здоров и на 100% чист. На этом разблокировка окончена.
Метод №4 – Аварийный диск
Для этого способа вам необходимо заранее скачать необходимый софт, воспользоваться вторым компьютером или посетить для этой цели друга. Программное обеспечение для восстановления системы и её лечения обычно встраиваются в антивирусные программы. Однако их можно скачать бесплатно, отдельно, без регистраций.
На этом все, теперь вы знаете, как разблокировать компьютер от вируса-вымогателя . Впредь будьте осторожны.
Борьба с троянцами семейства WinLock и MbrLock
(блокировщики Windows)
Актуальность вопроса
Троянцы, блокирующие работу Windows, с сентября 2009 года - одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов - блокировщики Windows. Общее название подобных вредоносных программ - Trojan.Winlock.XXX, где XXX - номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.
Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.
Вот классический пример внешнего вида программы Trojan.Winlock:
Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.
Наша задача - научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.
Внимание! В текстах многих блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows все данные будут уничтожены» и т. д.). В основном это не более чем блеф.
Алгоритм действий по борьбе с Trojan.Winlock
Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:
1. Подбор кода разблокировки.
Коды разблокировки ко многим троянцам уже известны и занесены в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/ и попробуйте подобрать код. Инструкция по работе с базой разблокировки: http:// support. drweb. com/ show_ faq? qid=46452743& lng= ru
Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:
Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.
Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.
Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,
в поле Текст - текст сообщения.
Если сгенерированные коды не подошли - попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.
Обратите внимание, что, кроме кода, может быть выдана другая информация:
Win+D to unlock - нажмите комбинацию клавиш Windows+D для разблокировки.
any 7 symbols - введите любые 7 символов.
Воспользуйтесь генератором выше или use generator above - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.
Используйте форму или Пожалуйста, воспользуйтесь формой - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.
Если подобрать ничего чего не удалось
2. Если система заблокирована частично. Этот шаг относится к случаям, когда баннер «висит» в середине экрана, не занимая его целиком. Если доступ заблокирован полностью - переходите сразу к шагу 3. Диспетчер задач при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить вредоносный процесс обычными средствами нельзя.
Пользуясь остатками свободного пространства на экране, сделайте следующее:
1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус благополучно удален, дело можно считать сделанным, если ничего не найдено - переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу, перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если запуск удался -
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет процесс,
который отвечает за работу баннера.
3. Если доступа нет совсем. Обычно блокировщики полностью загромождают баннером экран, что делает невозможным запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB http://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему. Если нет - переходите к шагу 4 .
4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец - новинка, и искать его придется вручную.
Для удаления блокировщика вручную необходимо получить доступ к
реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.
Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Путем подмены системных файлов(одного или нескольких)
запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
или, например, файла taskmgr.exe.
Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).
Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:
C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat
В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.
Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:
Запустите Regedit
, откройте куст HKEY_LOCAL_MACHINE
и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software
, задайте имя (например,
текущую дату) для раздела и нажмите ОK.
В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell
должен быть равен Explorer.exe
. Если перечислены
любые другие файлы - необходимо записать их названия и полный путь к ним. Затем
удалить все лишнее и задать значение Explorer.exe
.
Параметр userinit
должен быть равен
C:\Windows\system32\userinit.exe,
(именно так, с запятой на конце, где C -
имя системного диска). Если указаны файлы после запятой - нужно записать их
названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием
Microsoft\WindowsNT\CurrentVersion\winlogon
. Если эта
ветвь есть, ее необходимо удалить.
Microsoft\Windows\CurrentVersion\Run - ветвь содержит настройки объектов автозапуска.
Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:
Имена напоминают системные процессы, но программы запускаются
из других папок
(например, C:\Documents and Settings\Dima\svchost.exe
).
Имена вроде vip-porno-1923.avi.exe .
Приложения, запускающиеся из временных папок.
Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe ).
Имена состоят из случайных комбинаций букв и цифр
(например, C:\Documents and Settings\Dima\094238387764\094238387764.exe
).
Если подозрительные объекты присутствуют - их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.
Microsoft\Windows\CurrentVersion\RunOnce - тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .
Теперь необходимо проанализировать второй файл - NTUSER.DAT . Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст . В открывшемся окне укажите путь к файлу NTUSER.DAT , задайте имя для раздела и нажмите ОK.
Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.
Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.
Также обратите внимание на параметр Shell
в ветке
Software\Microsoft\Windows NT\CurrentVesion\Winlogon
. Он должен иметь
значение Explorer.exe
. В то же время, если такой ветки нет вообще - все в
порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он
называется по дате) и выполните Файл –> Выгрузить куст
.
Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:
Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.
Перенесите исправленные файлы реестра в соответствующие папки на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов). Файлы, информацию о которых вы записали в ходе работы - сохраните на флешке и удалите из системы. Их копии необходимо отправить в вирусную лабораторию компании «Доктор Веб» на анализ.
Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет - проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.
Внимание!
Если после лечения с помощью Dr.Web LiveCD/USB
компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:
Убедитесь, что в папке config находится один файл software . Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software - разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два - удалите более старый.
Если software
один, а загрузка не происходит, высока
вероятность, что система поражена «особенной» модификацией Winlock
. Она
прописывает себя в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
, в параметр Shell
и перезаписывает файл
userinit.exe
. Оригинальный userinit.exe
хранится в той же папке, но
под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe
и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но
найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего
попробовать загрузиться с жесткого диска.
На каком бы из этапов ни кончилась битва с троянцем,
необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и
регулярно
обновляйте вирусные базы.
>>Блокировка компьютера вирусом
Что такое блокировка компьютера вирусом и как это лечиться.
Буквально на днях со мной, а точнее с моим компьютером произошел неприятный казус. Ни про что не подозревая я лазил в интернете в поисках какого нибудь видео для просмотра его онлайн. После не долгих поисков я нашел то видео которое я хотел посмотреть. И после того как я нажал на видео для просмотра, компьютер не с того не с сего начал перезагружаться. И после очередного запуска, у меня на экране появилось окно. Оно гласило:
"Ваш компьютер заблокирован за просмотр и размножении порнографии. Для того чтобы разблокировать компьютер нужно оплатить счет на указанный номер в размере 480 гр, на любом терминале. Если Вы не оплотите счет, то операционная ситема будет удалена без мозможности ее востановления."
Первым делом я даже не понял что происходит, так как со мною такого еще небыло. Многие могут подумать, что они смотрели порносайты и за это им прислали счет. НЕТ-это не правда. Вы к этому не имеете ни какого отношения. И оплачивать счет не нужно. Эта блокировка компьютера сделана обычным вирусом, который попал на компьютер через интернет. Данный вирус может находиться в интернете где угодно, даже не только в порносайтах.
Если этот вирус попал к Вам на компьютер то не унывайте и не слаживайте руки, а ищите пути удаления данного вируса с Вашего компьютера. Поверьте ничего в этом страшного нет даже для новичков.
Ниже я дам свой метод решения данной проблемы который я использовал для своего случая. Для этого метода мне понадобился другой компьютер подключенный к интернету.
Мои действия при удалении вируса-блокировщика из компьютера.
Я зашел в интернет с другого компьютера и скачал себе на жесткий диск одну программу под названием Kaspersky Rescue Disk 10 в комплект которого включена утилита Kaspersky WindowsUnlocker . Данная была вылажена там в виде образа (ISO). Это обычный антивирусник который применяется в особых случаях, таких как мой. Сам я антивирусником от Касперского не пользуюсь. У меня стоит NOD 32. Нов в виде исключения мне пришлось воспользоваться данным антивирусником, так он и еще Доктор Веб способны устранить данный вирус.
После я взял простой чистый диск (можно любой, как CD так и DVD). Открыл программу NERO . Нашел файл-образ программы и записал его на диск. Весит файл около 200 мегабайт.
Перезагрузил компьютер с вирусом и зашел в BIOS, нажав при перезагрузке компьютера клавишу Delete-удаления. На разных компьютерах клавиши входа в BIOS могут быть разные. Их можно узнать при каждом включении компьютера на мониторе. Далее в BIOSе находим вкладку BOOT и переходим в нее. Там Вам нужно выставить функцию первоначального запуска Windows (CD/DWD). Эта настройка нужна при запуске компьютера, который сперва будет обращаться к приводу, а затем загружаться далее.
Вставил диск в привод и перезагрузил компьютер при этом я ничего не делал. После того как компьютер обратиться к диску он его загрузит и у меня появилось та самая программа которую я скачивал в интернете. Далее я следовал подсказкам которые мне были предложены.
Мои действия непосредственно с программой.
Первое что мне нужно было выбрать-это язык. Я выбрал русский .
Появилось сообщение Press any key to enter the menu , которое гласило, что нужно нажать клавишу Enter. Я нажал Enter .
Далее я запустил утилиту Kaspersky WindowsUnlocker для лечения реестра. Которая находилась в левом нижнем углу монитора в виде буквы К в кружке. При нажатии на нее, вылезло окошко в котором я выбрал строку терминал .
И в появившемся окне я прописал слово windowsunlocker и нажал Enter . Далее шла проверка реестра на вирусы.
После проверки реестра в отчете должно быть слово Delete , что означало то что в реестре был обнаружен вирус и он был удален с компьютера. Если данного слова нет и в отчете все ОК, то это означает, что либо в реестре не обнаружен вирус либо его там нет.
После проверки реестра на вирусы нужно проверить все файлы на компьютере, соответственно открыв антивирусную программу на рабочем столе. Важно, перед сканированием компьютера на вирусы проверьте антивирусные базы. Они должны быть последние на данный момент . Далее ждем окончания сканирования компьютера на вирусы.
После окончания сканирования антивирусник выдаст файлы которые он посчитал вирусами и предложет выбрать определенные действия с ними. Как правило нужно их удалить.
Если антивирус не нашел вирусы значит этот метот оказался бесполезным и нужно искать другие пути решения данной проблемы.
После всех дествий сканирования и удаления вирусов перезапускаем компьютер. И если все нормально то радуемся нормальной загрузкой компьютера без блокировки Windows.
Данный метод мне помог вылечить мой компьютер от вируса-блокировщика.
Надеюсь данная статья Вам поможет решит Вашу проблему с компьютером.
Желаю Вашему компьютеру быть всегда здоровым!