Вірус-вимагач - Ваш комп'ютер заблокований за перегляд копіювання та тиражування ...

  1. 1-й спосіб або Як видалити вірус-вимагач, використовуючи AntiWinLocker LiveCD.
  2. 2-й спосіб або "Ваш комп'ютер заблокований ...", але можна завантажити "Безпечний режим".
  3. 3-й спосіб або "Завантажувальний диск + редактор реєстру".
  4. 4-й спосіб або ERD commander.
  5. 5-й спосіб або Autoruns.exe.
  6. 6-й спосіб або Сureit + Prioritet.
  7. Інше.

Що ж робити, якщо Ваш комп'ютер заблокований sms-здирником? Повинен сказати, я вже кілька разів стикався з цією проблемою і кожен раз видаляв троян (а точніше Trojan.Winlock) різними способами. Нижче уявляю найпоширеніші способи боротьби з блокуванням комп'ютера - який з них спрацює залежить від конкретної ситуації.

1-й спосіб або Як видалити вірус-вимагач, використовуючи AntiWinLocker LiveCD.

1. Спочатку необхідно завантажити образ AntiWinLockerLiveCD.iso (~ 145Мб) і записати його на диск або на флешку - завантажити безкоштовно .

2. Потім змінюємо спосіб завантаження в BIOS. Для цього потрібно просто запустити перезавантаження комп'ютера і, коли на початку завантаження операційної системи, на екрані з'явиться "BIOS" натиснути цю клавішу. Найчастіше використовується Delete або F2, а для деяких МП F1, F8, F10, F11, F12, CTRL + ESC та інше. У вкладці Boot вибираємо завантаження з CD / DVD (диск) або USB-flash drive (флешка).

3. Перезавантажуємо комп'ютер і бачимо: "Press any key to boot from CD" - натискаємо будь-яку клавішу.

4. У головному меню вибираємо "Старт". Далі вибираємо "Автоматично". Чекаємо закінчення сканування, розставляємо галочки і натискаємо "Відновити".

5. Повертаємося в меню і натискаємо "Вручну". У вікні "Вибір системи" вибираємо диск, на який у Вас встановлена ​​система. У мене, наприклад, "Система на диску С:". Далі натискаємо "Завантажити". Далі скрізь, де бачимо червоний колір тиснемо "Виправити".

6. Натискаємо "За замовчуванням", потім - "Зберегти".

7. Повертаємося в меню і натискаємо "Автозавантаження" - "Автозавантаження для всіх" - "Run". Прибираємо галочки з "підозрілих" файлів.

8. "Ручний режим" - "Для виходу натисніть тут ..." - "Вихід" - "Закрити".

2-й спосіб або "Ваш комп'ютер заблокований ...", але можна завантажити "Безпечний режим".

Опис: банер Windows заблокований. Microsoft Security виявив порушення використання мережі Інтернет.

1. Як зайти в безпечний режим? Запускаємо перезавантаження комп'ютера і на початку завантаження натискаємо F8. У який з'явився чорному вікні вибираємо "Безпечний режим з поддержной командного рядка".


2. Завантажиться командний рядок. Пишемо "regedit" (без лапок) - відкривається вікно "Редактора реєстру". Переходимо в "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" і знаходимо параметр shell. Відкриваємо параметр, клікаючи по ньому, і записуємо куди-небудь його значення. Потім виправляємо його значення на "explorer.exe" (без лапок).


3. Далі можна спробувати "запустити робочий стіл" (пишемо explorer.exe і натискаємо Enter). Якщо "запустився робочий стіл", дивимося, чи є на ньому щось на зразок 22CC6C32.exe або test.exe - якщо є, відразу їх видаляємо.


4. Переходимо в "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Run" і видаляємо, якщо є, параметр shell.

5. У командному рядку пишемо "REG DELETE HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / f

6. Запускаємо "Диспетчер завдань", тиснемо "Файл" -> "Нова задача". У віконці "Відкрити" вбиваємо шлях, який записали для старого shell'а і натискаємо "Огляд". Видаляємо файл вірусу.


7. Перезавантажуємо Windows.

3-й спосіб або "Завантажувальний диск + редактор реєстру".

1. Завантажуємося з будь-якого завантажувального диска. Це компакт-диск, що містить файли завантаження, які комп'ютер може використовувати для запуску Windows (диск Windows містить файли, необхідні для запуску Windows, так що він сам може являеться завантажувальним диском, або можна завантажити образ завантажувального диска і записати його на CD / DVD ).

2. Дивимося, чи є на Робочому столі щось на зразок 22CC6C32.exe або test.exe - якщо є, відразу їх видаляємо.

3. Переходимо в X: \ Documents and Settings \ All Users \ Application Data і видалити файл 22CC6C32.exe (якщо є).

4. Тиснемо Win + R (Win - це кнопка з прапорцем Windows), пишемо regedit, тиснемо клавішу Enter. Переходимо в HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon значення параметра Shell міняємо на explorer.exe значення параметра Userinit виправляємо на "C: \ WINDOWS \ system32 \ userinit.exe," (без лапок і не забуваємо про кому в кінці рядки).


5. У реєстрі через пошук знаходимо згадки файлу 22CC6C32.exe - видаляємо ці рядки.


6. Копіюємо файл userinit.exe з папки X: \ WINDOWS \ system32 в будь-яке інше місце.

7. Видаляємо файл userinit.exe з папки X: \ WINDOWS \ system32.

8. Знаходимо в цій же папці 03014D3F.exe і перейменовуємо його в userinit.exe


9. Перезавантажуємо комп'ютер.

4-й спосіб або ERD commander.

Цей спосіб лише небагато чим відрізняється від попереднього - використовуємо ERD commander.

1. Вантажимося з диска ERD commander.
2. Запускаємо редактор РЕСТРА.
3. Шукаємо розділ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
4. Нас цікавлять два параметра, які повинні мати такі значення: Shell = Explorer.exe і Userinit = C: \ WINDOWS \ system32 \ userinit.exe, (зверніть увагу на кому в кінці).
5. Наводимо ці параметри до вищезазначеного виду.
6. Перезавантажуємося.
7. У разі вдалої завантаження насамперед ставимо антивірус і запускаємо повне сканування.
8. У разі невдачі повторюємо перші п'ять пунктів, після за допомогою цього ж диска робимо відкат системи на добаннерное час.

5-й спосіб або Autoruns.exe.

1. Підібрати код з використанням безкоштовних сервісів для видалення СМС вірусів і розблокування комп'ютера, наприклад, розблокувальників від компанії DrWEB. Щоб розблокувати Windows і отримати доступ до робочого столу, необхідно ввести в текстове поле один з вищевказаних кодів, припустимо, 816 908 і натиснути кнопку «Розблокувати».

2. Після отримання доступу до комп'ютера, нам залишається знайти і видалити виконуваний файл вірусу. Для цього скористаємося програмою AutoRuns для Windows - завантажити безкоштовно .

3. У вікні утиліти AutoRuns переходимо на вкладку «Все». Знаходимо в автозавантаженні запис з ім'ям файлу «0.042980861426103356.exe» (в вашому випадку ім'я може відрізнятися). Виділяємо запис і, запам'ятавши шлях до виконуваного файлу вірусу, видаляємо запис. Закриваємо AutoRuns.

4. Знаходимо файл вірусу за вказаним шляхом і видаляємо його.

6-й спосіб або Сureit + Prioritet.

1. Натиснувши Win + U викликається "Диспетчер службових програм", натискаємо "Запустити" (екранну лупу).

2. У вікні "Екранна лупа" запускаємо "Веб-сайт Майкрософт". Заходимо на Drweb.com і викачуємо Сureit. Відразу викачуємо Prioritet - завантажити безкоштовно .

3. Перезавантажуємо ПК в безпечному режимі, тримаючи клавішу F8 під час запуску. У безпечному режимі запускаємо Drweb cureit, змінивши профіль на видалення невиліковних файлів.

4. Завантажуємо ПК в звичайному режимі і проробляємо операцію з включенням лупи.

5. Запустивши вікно Інтернет за посиланням "Веб-сайт Майкрософт", вибираємо в меню "Файл / Відкрити файл" і запускаємо Prioritet.

6. Закриваємо всі вікна і натисканням клавіші Pause / Break ця програма вибере по черзі, якщо ще якісь вікна відкриті, Ваше вікно-блок і покаже до нього шлях.

7. У меню вибираємо "Прибити". Записуємо шлях (у мене це з: \ Windows \ сmon.exe) і видаляємо цей файл.

Інше.

На Windows 8 вдалося запустити диспетчер і зняти процес 87.exe.
Набрав код 2348, банер зник.
Розблокував систему нажите на слово «є».

Завантажити оригінальний userinit.exe



1. Як зайти в безпечний режим?
IRC (Internet Relay Chat)