Десять способів позбавитися від троянів-вимагачів і розблокувати Windows | Компьютерра

  1. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows За допомогою троянів сімейства...
  2. Простим коням - прості заходи
  3. Військова хитрість
  4. Стара школа
  5. Операція під наркозом
  6. Боротьба на ранньому етапі
  7. У хрестовий похід з хрестовим викруткою
  8. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows
  9. Голіруч
  10. Простим коням - прості заходи
  11. Військова хитрість
  12. Стара школа
  13. Операція під наркозом
  14. Боротьба на ранньому етапі
  15. У хрестовий похід з хрестовим викруткою
  16. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows
  17. Голіруч
  18. Простим коням - прості заходи
  19. Військова хитрість
  20. Стара школа
  21. Операція під наркозом
  22. Боротьба на ранньому етапі
  23. У хрестовий похід з хрестовим викруткою
  24. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows
  25. Голіруч
  26. Простим коням - прості заходи
  27. Військова хитрість
  28. Стара школа
  29. Операція під наркозом
  30. Боротьба на ранньому етапі
  31. У хрестовий похід з хрестовим викруткою
  32. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows
  33. Голіруч
  34. Простим коням - прості заходи
  35. Військова хитрість
  36. Стара школа
  37. Операція під наркозом
  38. Боротьба на ранньому етапі
  39. У хрестовий похід з хрестовим викруткою
  40. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows
  41. Голіруч
  42. Простим коням - прості заходи
  43. Військова хитрість
  44. Стара школа
  45. Операція під наркозом
  46. Боротьба на ранньому етапі
  47. У хрестовий похід з хрестовим викруткою
  48. Десять способів позбавитися від троянів-вимагачів і розблокувати Windows
  49. Голіруч
  50. Простим коням - прості заходи
  51. Військова хитрість
  52. Стара школа
  53. Операція під наркозом
  54. Боротьба на ранньому етапі
  55. У хрестовий похід з хрестовим викруткою

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голими руками

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голіруч

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голіруч

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голіруч

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голіруч

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голіруч

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Десять способів позбавитися від троянів-вимагачів і розблокувати Windows

За допомогою троянів сімейства Winlock, відомих як «блокувальники Windows», у рядових користувачів вимагають гроші вже більше п'яти років. До теперішнього часу представники цього класу шкідливих програм серйозно еволюціонували і стали однією з найчастіших проблем. Нижче пропонуються способи самостійної боротьби з ними і даються рекомендації щодо запобігання зараження.

Поява трояна в системі зазвичай відбувається швидко і непомітно для користувача. Людина виконує звичний набір дій, переглядає веб-сторінки і не робить чогось особливого. В якийсь момент просто з'являється повноекранний банер, який не вдається прибрати звичайним способом.

Картинка може бути відверто порнографічної, або навпаки - оформлена максимально строго і грізно. Підсумок один: в повідомленні, розташованому поверх інших вікон, потрібно перерахувати вказану суму на такий-то номер або відправити платне SMS-повідомлення. Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою.

Часто воно доповнюється погрозами кримінального переслідування або знищення всіх даних, якщо користувач не поквапиться з оплатою

Приклад банера від імені МВС України. Особливо дивно його бачити користувачам з інших країн

Зрозуміло, платити здирникам не варто. Замість цього можна з'ясувати , Якого оператора стільникового зв'язку належить вказаний номер, і повідомити його службі безпеки. В окремих випадках вам навіть можуть сказати код розблокування по телефону, але дуже розраховувати на це не доводиться.

Методики лікування засновані на розумінні тих змін, які троян вносить в систему. Залишається виявити їх і скасувати будь-яким зручним способом.

Голіруч

Для деяких троянів дійсно існує код розблокування. У рідкісних випадках вони навіть чесно видаляють себе повністю після введення вірного коду. Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче.

Дізнатися його можна на відповідних розділах сайтів антивірусних компаній - дивіться приклади нижче

Сервіс розблокування Windows компанії «Доктор Веб» Сервіс розблокування Windows компанії «Доктор Веб»   Сервіс розблокування Windows компанії «Лабораторія Касперського» Сервіс розблокування Windows компанії «Лабораторія Касперського»

Зайти в спеціалізовані розділи сайтів "Доктор Веб" , "Лабораторії Касперського" і інших розробників антивірусного ПО можна з іншого комп'ютера або телефону.

Після розблокування не тіштеся тим передчасно і не вимикайте комп'ютер. Скачайте будь-який безкоштовний антивірус і виконайте повну перевірку системи. Для цього скористайтеся, наприклад, утилітою Dr.Web CureIt! або Kaspersky Virus Removal Tool .

Простим коням - прості заходи

Перш ніж використовувати складні методи і спецсофт, спробуйте обійтися наявними засобами. Викличте диспетчер задач комбінацією клавіш {CTRL} + {ALT} + {DEL} або {CTRL} + {SHIFT} + {ESC}. Якщо вийшло, то ми маємо справу з примітивним трояном, боротьба з яким не доставить проблем. Знайдіть його в списку процесів і примусово завершите.

Знайдіть його в списку процесів і примусово завершите

Підозрілий процес в диспетчері завдань

Сторонній процес видає невиразне ім'я і відсутність опису. Якщо сумніваєтеся, просто по черзі вивантажуйте всі підозрілі до зникнення банера.

Якщо диспетчер задач не викликається, спробуйте використовувати сторонній менеджер процесів через команду «Виконати», що запускається натисканням клавіш {Win} + {R}. Ось як виглядає підозрілий процес в System Explorer .

Ось як виглядає підозрілий процес в   System Explorer

Розширений менеджер запущених процесів System Explorer

Завантажити програму можна з іншого комп'ютера або навіть з телефону. Вона займає всього пару мегабайт. За посиланням «перевірити» відбувається пошук інформації про процес в онлайновій базі даних, але зазвичай і так все зрозуміло. Після закриття банера часто потрібно перезапустити «Провідник» (процес explorer.exe). У диспетчері завдань натисніть: Файл -> Нова задача (виконати) -> c: Windowsexplorer.exe.

Коли троян деактивовано на час сеансу, залишилося знайти його файли і видалити їх. Це можна зробити вручну або скористатися безкоштовним антивірусом.

Типове місце локалізації трояна - каталоги тимчасових файлів користувача, системи і браузера. Доцільно все ж виконувати повну перевірку, так як копії можуть перебувати де завгодно, а біда не приходить одна. Подивитися повний список об'єктів автозапуску допоможе безкоштовна утиліта Autoruns .

AutoRuns покаже всі об'єкти автозапуску (на скріншоті видно лише мала частина)

Військова хитрість

Справитися з трояном на першому етапі допоможе особливість в поведінці деяких стандартних програм. При вигляді банера спробуйте запустити «наосліп» Блокнот або WordPad. Натисніть {WIN} + {R}, напишіть notepad і натисніть {ENTER}. Під банером відкриється новий текстовий документ. Наберіть будь-яку абракадабру і потім коротко натисніть кнопку вимкнення живлення на системному блоці. Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться.

Всі процеси, включаючи троянський, почнуть завершуватися, але виключення комп'ютера не відбудеться

Блокнот - коня на скаку зупинить і доступ адміну поверне!

Чи залишиться діалогове вікно «Зберегти зміни у файлі?». З цього моменту на час сеансу ми позбулися банера і можемо добити трояна до перезавантаження.

Стара школа

Більш просунуті версії троянів мають засоби протидії спробам позбутися від них. Вони блокують запуск диспетчера завдань, підміняють інші системні компоненти.

В цьому випадку перезавантажте комп'ютер і утримуйте {F8} в момент завантаження Windows. З'явиться вікно вибору способу завантаження. Нам потрібно «Безпечний режим з підтримкою командного рядка» (Safe Mode with Command Prompt). Після появи консолі пишемо explorer і натискаємо {ENTER} - запуститься провідник. Далі пишемо regedit, натискаємо {ENTER} і бачимо редактор реєстру. Тут можна знайти створені трояном записи і виявити місце, звідки походить його автозапуск.

Ключі реєстру, часто модифікуються троянами сімейства Winlock

Частіше за все ви побачите повні шляхи до файлів трояна в ключах Shell і Userinit в гілці

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В "Shell" троян записується замість explorer.exe, а в "Userinit" вказується після коми. Копіюємо повне ім'я троянського файлу в буфер обміну з першої виявленої записи. У командному рядку пишемо del, робимо пробіл і викликаємо правою клавішею миші контекстне меню.

Видалення трояна з консолі (повне ім'я файлу взято з реєстру і скопійовано в буфер обміну)

У ньому вибираємо команду «вставити» та натискаємо {ENTER}. Один файл трояна що знаходиться на відстані, робимо те ж саме для другого і наступних.

Видалення трояна з консолі - файл знаходився в тимчасовій папці.

Потім виконуємо в реєстрі пошук по імені файлу трояна, уважно переглядаємо всі знайдені записи і видаляємо підозрілі. Очищаємо всі тимчасові папки і кошик. Навіть якщо все пройшло ідеально, не полінуйтеся потім виконати повну перевірку будь-яким антивірусом.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ.

Якщо через трояна перестали працювати мережеві підключення, спробуйте відновити настройки Windows Sockets API утилітою AVZ

Відновлення мережевих сервісів за допомогою AVZ

Операція під наркозом

З випадками серйозного зараження марно боротися з-під інфікованої системи. Логічніше завантажитися з явно чистої і спокійно вилікувати основну. Існують десятки способів зробити це, але один з найпростіших - скористатися безкоштовною утилітою Kaspersky WindowsUnlocker, що входить до складу Kaspersky Rescue Disk . як і DrWeb LiveCD, він заснований на Gentoo Linux. Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою Kaspersky USB Rescue Disk Maker .

Файл-образ можна записати на болванку або зробити з нього завантажувальний флешку утилітою   Kaspersky USB Rescue Disk Maker

Створення завантажувальної флешки з образу Kaspersky Rescue Disk

Завбачливі користувачі роблять це завчасно, а решта звертаються до друзів або йдуть в найближчим інтернет-кафе вже під час зараження.

При включенні зараженого комп'ютера утримуйте для входу в BIOS. Зазвичай це {DEL} або {F2}, а відповідне запрошення відображається внизу екрана. Вставте Kaspersky Rescue Disk або завантажувальний флешку. В налаштуваннях завантаження (Boot options) виберіть першим завантажувальним пристроєм привід оптичних дисків або флешку (іноді вона може відображатися в списку, що розкривається HDD). Збережіть зміни {F10} і вийдіть з BIOS.

Сучасні версії BIOS дозволяють вибирати завантажувальний пристрій на льоту, без входу в основні настройки. Для цього потрібно натиснути {F12}, {F11} або поєднання клавіш - докладніше дивіться в повідомленні на екрані, в інструкції до материнської плати або ноутбука. Після перезавантаження почнеться запуск Kaspersky Rescue Disk.

Завантаження Kaspersky Rescue Disk Завантаження Kaspersky Rescue Disk   Kaspersky Rescue Disk в графічному режимі Kaspersky Rescue Disk в графічному режимі

Доступний російську мову, а лікування можна виконати в автоматичному або ручному режимі - дивіться покрокову інструкцію на сайті розробника.

Боротьба на ранньому етапі

Окремий підклас складають трояни, що вражають головний завантажувальний запис (MBR). Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете.

Вони з'являються до завантаження Windows, і в секціях автозапуску ви їх не знайдете

Троян сімейства Winlock, що заразив MBR

Перший етап боротьби з ними полягає у відновленні вихідного коду MBR. У разі XP для цього завантажується з інсталяційного диска Windows, натисканням клавіші {R} викликаємо консоль відновлення і пишемо в ній команду fixmbr. Підтверджуємо її клавішею {Y} і виконуємо перезавантаження. Для Windows 7 аналогічна утиліта називається BOOTREC.EXE, а команда fixmbr передається у вигляді параметра:

Bootrec.exe / FixMbr

Після цих маніпуляцій система знову завантажується. Можна приступати до пошуку копій трояна і засобів його доставки будь-яким антивірусом.

У хрестовий похід з хрестовим викруткою

На малопотужних комп'ютерах і особливо ноутбуках боротьба з троянами може затягнутися, оскільки завантаження з зовнішніх пристроїв утруднена, а перевірка виконується дуже довго. У таких випадках просто витягніть заражений вінчестер і підключите його для лікування до іншого комп'ютера. Для цього зручніше скористатися боксами з інтерфейсом eSATA або USB 3.0 / 2.0.

0 / 2

Антивірусна перевірка жорстких дисків на іншому комп'ютері

Щоб не розносити заразу, попередньо відключаємо на "лікуючим" комп'ютері автозапуск з HDD (та й з інших типів носіїв не завадило б). Зробити це найзручніше безкоштовною утилітою AVZ, але саму перевірку краще виконувати чимось іншим. Зайдіть в меню «Файл», виберіть «Майстер пошуку та усунення проблем». Відзначте «Системні проблеми», «Все» і натисніть «Пуск». Після цього відзначте пункт "Дозволено автозапуск з HDD" та натисніть "Виправити зазначені проблеми".

Відключення автозапуску за допомогою AVZ

Також перед підключенням зараженого вінчестера варто переконатися, що на комп'ютері запущено резидентний антивірусний моніторинг з адекватними настройками і є свіжі бази.

Якщо розділи зовнішнього жорсткого диска не помітні, зайдіть в "Керування дисками". Для цього у вікні «Пуск» -> «Виконати» напишіть diskmgmt.msc і потім натисніть {ENTER}. Розділом зовнішнього жорсткого диска повинні бути призначені літери. Їх можна додати вручну командою «змінити букву диска ...». Після цього перевірте зовнішній вінчестер цілком.

Для запобігання повторного зараження слід встановити будь-який антивірус з компонентом моніторингу в режимі реального часу і дотримуватися загальних правил безпеки:

  • намагайтеся працювати з-під облікового запису з обмеженими правами;
  • користуйтеся альтернативними браузерами - більшість заражень відбувається через Internet Explorer;
  • відключайте Java-скрипти на невідомих сайтах;
  • вимкніть автозапуск зі змінних носіїв;
  • встановлюйте програми, доповнення та оновлення тільки з офіційних сайтів розробників;
  • завжди звертайте увагу на те, куди насправді веде пропонована посилання;
  • блокуйте небажані спливаючі вікна за допомогою додатків для браузера або окремих програм;
  • своєчасно встановлюйте оновлення браузерів, загальних і системних компонентів;
  • виділіть під систему окремий дисковий розділ, а призначені для користувача файли зберігайте на іншому.

Дотримання останньої рекомендації дає можливість робити невеликі образи системного розділу (програмами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery або хоча б стандартним засобом Windows "Архівація і відновлення"). Вони допоможуть гарантовано відновити роботу комп'ютера за лічені хвилини незалежно від того, чим він заражений і чи можуть антивіруси визначити трояна.

У статті наведено лише основні методи і загальні відомості. Якщо вас зацікавила тема, відвідайте сайт проекту GreenFlash. На сторінках форуму ви знайдете безліч цікавих рішень і поради щодо створення Мультізагрузочний флешки на всі випадки життя.

Поширення троянів Winlock не обмежена Росією і ближнім зарубіжжям. Їх модифікації існують практично на всіх мовах, включаючи арабську. Крім Windows, заражати подібними троянами намагаються і Mac OS X. Користувачам Linux не дано відчути радість від перемоги над підступним ворогом. Архітектура даного сімейства операційних систем не дозволяє написати скільки-небудь ефективний і універсальний X-lock. Втім, "пограти в доктора" можна і на віртуальній машині з гостьової ОС Windows.

Чи залишиться діалогове вікно «Зберегти зміни у файлі?
Чи залишиться діалогове вікно «Зберегти зміни у файлі?
Чи залишиться діалогове вікно «Зберегти зміни у файлі?
Чи залишиться діалогове вікно «Зберегти зміни у файлі?
Чи залишиться діалогове вікно «Зберегти зміни у файлі?
Чи залишиться діалогове вікно «Зберегти зміни у файлі?
Чи залишиться діалогове вікно «Зберегти зміни у файлі?
IRC (Internet Relay Chat)