Видалення вірусу «windows заблокований»

  1. Якщо по ходу статті у вас нічого не вийде - ви завжди можете звернутися до нас за послугою по видалення...

В Інтернеті купа статей з видалення вірусу даного типу В Інтернеті купа статей з видалення вірусу даного типу. Рад багато, на форумі антивіруса касперского для нього навіть відведено окремий тред. Антивірусним системам він відомий в основному як ransom, а його творці заробили непогані гроші, вимагаючи з наївних користувачів sms-ки на короткий номер. Дехто навіть за це відсидів.

Winlock, ransom, sms-blocker -його називають по різному, з'явився він у 2009. Я називаю цього паразита - порнодетектор, чому? -Про це трохи пізніше. З 2009 р вірус пристойно змінився, проте принципи видалення все ті ж.

Отже, якщо при включенні ПК ви побачили не робочий стіл, а картинку сумнівного змісту, ну або просто лякає текст і пропозиція відправити смс / поповнити рахунок - знайте, ви зловили ransom. Давайте позбудемося цієї зарази!

Якщо по ходу статті у вас нічого не вийде - ви завжди можете звернутися до нас за послугою по видалення вірусів .

Є 2 типи вірусів блокувальників - одні просять відправити смс і отримати відповідь з кодом розблокування, інші вимагають пройти до найближчого платіжного терміналу і покласти грошей на рахунок, при цьому як свідчить банер на робочому столі: «Код для розблокування буде надрукований на чеку про оплату» .

Перше, що варто запам'ятати - все, що написано на банері про кримінальну відповідальність, видалення даних і т.д. - туфта. Друге - нікуди не відправляйте смс і не несіть гроші.

Друге - нікуди не відправляйте смс і не несіть гроші

1. Видалення вірусу з відправкою смс.

-Скористайтеся смс-деблокером одного з антивірусів. наприклад цим або цим . Вводите номер телефону, текст смс - вам у відповідь даються варіанти коду який потрібно ввести в банер, після чого він пропадає. Зрозуміло, щоб скористатися цим способом неподалік повинен бути другий комп'ютер з виходом в інтернет. А після того як ви введете код все ж доведеться перевіряти ПК на вірусну активність. Необхідно ретельно просканувати папки C: document and settings для Windows XP або C: Користувачі (Users) для Windows7, також необхідно перевірити папку Windows.

Якщо антивірус не встановлено - скористайтеся утилітами від доктора веба - Cureit або касперского - AVP tool . Завантажити їх можна з сайтів антивіруса, абсолютно безкоштовно.
2. Видалення за допомогою «гарячих клавіш» операційної системи

-Спосіб допомагає проти ранніх версій вірусів, останні модифікації блокують всі комбінації геть. Суть методу полягає в тому, щоб комбінацією клавіш запустити командний рядок або диспетчер задач Windows, і потім, з їх допомогою розправитися з загрозою.

Комбінація Win + R - викликає вікно «виконати», звідси можна запустити командний рядок-команда cmd або диспетчер задач-команда taskmgr, ще стане в нагоді tasklist. Послідовність - запускаємо cmd потім tasklist, знаходимо підозрілий процес з назвою що то типу 2clauncher і т.д. іноді це rundll32.exe. Запускаємо taskkill / f / im rundll32.exe (або ваше назва.) Після видалення запускаємо explorer.exe. І не забуваємо прогнати комп'ютер утилітами від доктора веба або касперского (посилання вище). В принципі, можна після Win + R викликати taskmgr і видаляти процес із загального списку, але дані віруси часто відключають диспетчер задач.

Комбінація CTRL + Shift + Esc - відразу відкриває диспетчер задач (якщо не відключений вірусом) зі списком процесів - знаходимо підозрілий і видаляємо.

Комбінація Win + U - викликає вікно, з якого можна запустити екранну лупу. Після її запуску відкривається додаткове вікно з кнопочкою «Ок», а поруч з кнопкою буде посилання на сайт Майкрософта. При натисканні на посилання - запускається інтернет-браузера та відображення сайт. Сайт нам не потрібен, але за допомогою таких маніпуляцій ми тепер можемо зайти на сайт деблокеров (посилання вище) або вобще виконати будь-яку програму на комп'ютері, наприклад редактор реєстру (file: /// c: /windows/regedit.exe), диспетчер задач file : /// c: /windows/system32/taskmgr.exe, і т.д. Однак, мені зустрічалися віруси які відкриття даної посилання блокують.

Якщо вам вдалося запустити редактор реєстру на цьому етапі - переходите до універсальної процедури лікування.
Головною умовою в цьому способі є те, що після закриття банера необхідно комп'ютер перевірити на віруси.
3. Видалення з безпечного режиму операційної системи

Деякі модифікації вірусу прописуючись в системному реєстрі не зачіпають ту частину, яка відповідає за завантаження в безпечному режимі. Особливо це часто відбувається на Windows 7 і Windows Vista. Увійти в безпечний режим можна, натискаючи при завантаженні комп'ютера, клавішу F8 (краще стукати безперервно), до тих пір поки на чорному тлі не з'являться варіанти завантаження ОС - вибираємо безпечний. Якщо в безпечному режимі вийшло увійти в систему - натискайте Пуск - Виконати - regedit. потім виконуйте універсальну процедуру лікування .

4. Видалення з використанням завантажувального диска.

Мій улюблений спосіб, так як гарантує 100% результат. Однак і найскладніший для рядового користувача. Справа в тому, що для видалення вірусу таким методом вам знадобиться завантажувальний LiveCD. Я рекомендую RusLive або щось на зразок того. Хто не в курсі - це «міні-windows» яка завантажується з дисковода. Так що не полінуйтеся скачати образ з Інтернету - коли-небудь він вам обов'язково стане в нагоді.

Отже завантажується з образу. Після завантаження запускаємо редактор реєстру: Пуск - Виконати ... -в полі Відкрити введіть regedit. Завантажиться реєстр поточної системи, і тепер нам потрібно підключити до нього реєстр зараженої системи. Для цього виділіть потік HKEY_LOCAL_MACHINE, розкрийте її, натисніть Файл - завантажити кущ. У діалозі пройдете в папку C: WindowsSystem32config і оберіть файл SOFTWARE, натисніть Ок. ім'я куща після завантаження можна привласнити будь-яке - це не має значення. Потім переходите до універсальної процедури лікування . Не забудьте після закінчення виділити завантажений кущ і через меню Файл вивантажити його.

5. Видалення з використанням другого комп'ютера

Згадаю цей спосіб в трьох словах. Якщо у вас / у вашого друга є комп'ютер - можна підключити ваш жорсткий диск до нього і провести процедуру лікування з нього використовуючи як керівництво пункт №4.


x. Універсальна процедура лікування

Суть процедури в тому, щоб за всяку ціну дістатися до реєстру зараженої системи. До речі, якщо реєстру не запускається (іноді вірус його відключає) його можна включити так: Пуск - Виконати ... в полі Відкрити: введіть gpedit.msc - Групова політика Політика «Локальний комп'ютер» - Конфігурація користувача - Адміністративні шаблони Система - справа у вікні Система подвійним клацанням лівої кнопки миші по рядку Зробити недоступними засоби редагування реєстру (Стан за замовчуванням Чи не задана) викличте вікно Властивості: Зробити недоступними засоби редагування реєстру встановлено перемикач Включений поставте Роз'єднатися н (або Чи не заданий) - Застосувати - OK

Отже, до реєстру ми дісталися тепер проробляти такі дії:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, там - параметр shell, де має бути вказано explorer.exe і параметр userinit, де має бути вказано C: WINDOWSsystem32userinit.exe.

Тут 2 варіанти: або в цих параметрах написана нісенітниця - тобто нехай до вірусу, або все в порядку, на перший погляд. Якщо в параметрах написано що то крім explorer.exe і userinit.exe - запам'ятовуємо те, що написано (не забудьте потім цим шляхом видалити вірус) потім міняємо на нормальні значення. Буває так, що написано explorer і userinit, але ніхто не заважає хакерам в словах використовувати спільно з англійськими літерами використовувати в слові explorer російську букву «е». Так що в будь-якому випадку міняйте значення на explorer.exe і userinit.exe.

Найчастіше, самі файли explorer.exe і userinit.exe у вашій системі модифіковані вірусом після зараження, так що необхідно замінити їх на вихідні. Завантажити вихідні версії можна, наприклад, звідси і звідси відповідно. Нормальні файли варто покласти в папки: для explorer.exe це C: windows, для userinit.exe це C: Windowssystem32. Також обидва файли необхідно помістити в папку C: Windowssystem32dllcasche (може бути прихована). Всі файли при копіюванні необхідно переміщати з заміною.

Сподіваюся ви не закрили реєстр, тому що нам потрібно тут зробити ще дещо що:

Знайдіть гілку HKEY_LOCAL_MACHINESOFTWAREMISROSOFTWindowsNTCurrentVersionImage File Execution Options і якщо там є taskmgr.exe - видаліть її .. зовсім. Цей параметр відповідає за підміну диспетчера задач калькулятором.

Потім, необхідно перевірити ще парочку затишних куточків. а саме: [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] потрібно знайти параметр REG_DWORD DisableTaskMgr і встановити його значення 0 (або зовсім видалити цей параметр). Цей параметр створює вірус, щоб заблокувати диспетчер задач. Winlock вобще практично не використовує цей параметр, але перевірити варто.

Після того як всі параметри перевірені і відредаговані. Необхідно видалити файли вірусу (шлях до них ми побачили в реєстрі в параметрах shell і userinit) вручну або утилітами AVZ або Cureit. (Посилання вище).

Тепер можна перезавантажувати комп'ютер - вірус видалений. Не забудьте виконати повну перевірку ПК антивірусом.

П.с. Так чому ж я називаю вірус порнодетектором? - так просто найбільша ймовірність зловити такого звіра це перегляд порно-контенту. Ще звичайно можна зловити при натисканні на банер «Встановіть оновлення» на будь-якому сайті або «Ваш комп'ютер під загрозою, усуньте небезпеку», але це друге і третє місця.

Удачи з видаленням Winlock, сподіваюся пост вам допоміг.

Якщо по ходу статті у вас нічого не вийде - ви завжди можете звернутися до нас за послугою по видалення вірусів .

2009. Я називаю цього паразита - порнодетектор, чому?
Так чому ж я називаю вірус порнодетектором?
IRC (Internet Relay Chat)