Заблокований Windows XP банером або надішліть смс. Що робити?

Ось і до мене добрався цей на вигляд страшний вірус, який неабияк зіпсував мені нерви. Несподівано під час роботи в Windows XP вискочило вікно (Банер) з вимогою покласти через термінал 500 рублів на телефони 79171605617 або 79879232794, при цьому нижче була загроза якщо протягом 12 годин не буде проведена оплата, ваш комп'ютер буде заблокований, і вся інформація відправлена в Відділ К РФ. Такого нахабства я не бачив ще ніде, навіть і не чув, але цей так ліричний відступ.

І так клавіші ctrl + al + delete природно не працюють, закрити цю гидоту ніяк не вийде, навіть не намагайтеся. Залипання клавіші shift так само не дасть ніяких результатів, так як ви не зможете відкрити жодного вікна, а якщо відкриється, то вам дуже пощастило, в моєму випадку цей метод не допоміг.

Синій екран смерті в безпечному режимі

Прийшов час діяти, і в першу чергу я спробував запустити Windows XP в безпечному режимі, на що отримав відповідь у вигляді синього екрану смерті, і рекомендацією виконати перевірку жорсткого диска за допомогою chkdsk / f. Перевірку диска виконав за допомогою завантажувального диска Hiren's BootCd , І, звичайно ж це не допомогло позбутися від синього екрану смерті.
Mini Windows XP вирішує багато проблем

Що робити далі? Блага на завантажувальному диску вдалося знайти Mini Windows XP (Малюнок 1), який завантажується навіть без встановленої операційної системи, і дозволяє вийти в Інтернет, щоб завантажити антивірусні утиліти і перевірити диск. Як створити завантажувальний диск Hiren's BootCd читайте ось тут , Але перед цим не забудьте завантажити сам образ на моєму сайті softokno.ru.

Видалення тимчасових файлів як перший спосіб позбавлення від Winlock вірусу.

Нам необхідно видалити тимчасові файли Інтернет браузерів, а так же тимчасові файли в папці temp користувача admin або вашого користувача. У вашому випадку користувач може бути Олександр, Олексій, або будь-який інший. Навіщо видаляти ці файли? Справа в тому, що віруси, трояни, і інша гидота, люблять розміщуватися саме в цих папках. Видалити дані файли ми зможемо або зайшовши в безпечний режим, якщо є доступ, або за допомогою завантажувального диска, я вже писав про це трохи вище.

1. Заходимо в папку C: Documents and SettingsВаш логінLocal SettingsTemp і видаляємо все в цій папці.
2. Заходимо в C: Documents and SettingsadminLocal SettingsApplication Data і видаляємо всі файли з розширенням * .exe * .scr, до речі, в моєму випадку вірус лежав саме в цій папці з назвою screen.scr.
3. Заходимо в папку C: Documents and SettingsadminApplication DataMozilla і видаляємо папки кеша (cashe).
4. Видаляємо всі файли в папці C: Documents and SettingsadminLocal SettingsTemporary Internet Files а так само папку Temp в C: WindowsTemp.
5. Забув Напонім, що віруси можуть легко розмістити себе в папку з файлами "Відновлення системи". Потрібно зайти в властивості мого комп'ютера, і на вкладці "Відновлення системи" поставити галочку "Вимкнути відновлення системи на всіх дисках". Після цього можна знову її відключити.

Якщо вірус не вдалося видалити, переходимо до другого пункту.

Викачуємо утиліту від Dr.Web Cureit і перевіряємо диск на віруси, що буде дуже і дуже корисно, але мені дана перевірка не допомогла, довелося все видаляти вручну, як в першому пункті. У одного з клієнтів Cureit все-таки зміг відшукати злісний вірус під назвою Trojan.Winlock і видалити його, але на цьому пригоди не закінчилися.

Навіть після його видалення, Windows не зміг завантажитися, але табличка з відправкою смс пропала. З'явилася ще одна чудова проблема, робочий стіл порожній, і клавіші ctrl + alt + delete не працюють, так як вірус змінив ключ реєстру, який забороняє відкривати Диспетчер завдань.

Вірус знаходиться на відстані, але робочий стіл порожній? Як запустити додаток або браузер.


Один з найпростіших способів завантажити одну з важливих програм під час завантаження Windows, коли заблокований диспетчер задач це звичайно ж як завжди скористатися завантажувальним диском Hiren's BootCD. Потім запустити mini Windows XP, і вже завдяки оболонці Windows, помістити в папку Автозавантаження необхідну програму. У моєму випадку в автозавантаження був поміщений ярлик програми regedit.exe, яка запустилася після перезавантаження системи.

Папки автозавантаження знаходиться за адресою C: Documents and SettingsВаш логінГлавное менюПрограммиАвтозагрузка. Саме в цю папку необхідно перемістити ярлик або програму regedit.exe.

Як це зробити? Заходимо в папку C: // Windows і натискаємо правою кнопкою миші по файлу regedit.exe. У меню, натискаємо посилання «Створити ярлик» (Малюнок), і створений ярлик перемішаємо в папку Автозавантаження. Я сподіваюся, ви вмієте копіювати файли з папки в папку.

Так само в папку Автозавантаження ви можете помістити ярлик браузера Mozilla або Opera, наприклад щоб завантажити необхідні файли, але зазвичай це робиться в Mini Windows XP, або з іншого комп'ютера на флешку. Після перезавантаження системи під час завантаження Windows XP у вас запуститься менеджер реєстру. Якщо ярлик правильно переміщений, на екрані відкриється ось таке вікно.

Якщо ярлик правильно переміщений, на екрані відкриється ось таке вікно

Порожній робочий стіл

Крім відключеного Диспетчер завдань вірус прописав себе в explorer.exe, що просто його не запускало, і робочий стіл Святого в повній порожнечі. Щоб вирішити це завдання, необхідно знайти гілку реєстру HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, шукаємо правої сторони параметр shell і призначаємо значення "C: WINDOWSexplorer.exe", в моєму ж випадку в даному параметрі був зазначений шлях до вірусу.

exe, в моєму ж випадку в даному параметрі був зазначений шлях до вірусу

Чи не працює диспетчер задач

Щоб задіяти, Диспетчер завдань, знайдіть гілку HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem і ключу DisableTaskMgr необхідно виставити значення 0.

Щоб задіяти, Диспетчер завдань, знайдіть гілку HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem і ключу DisableTaskMgr необхідно виставити значення 0

Чи не запускаються exe додатки

Крім всієї цієї нісенітниці, яку мені довелося усувати, вірус змінив в реєстрі спеціальний ключ, що призвело до проблеми запуску всіх exe файлів, що власне не давало запустити regedit.exe Для усунення проблеми скачайте файл нижче з назвою "Усуваємо проблеми з запуском exe файлів" .

Вірус прописався в Userinit.exe

Скачайте архів з сайту, і замініть Userinit.exe на той, що в архіві. Файл розташований в папці C: // WINDOWS / system32
Знаходимо гілку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon і шукаємо параметр userinit.exe, який змінюємо на C: WINDOWSsystem32userinit.exe

exe

Виклик діалогового вікна за допомогою залипання клавіші shift.

Якщо все ж залипання клавіші у вас працює, то можна запустити regedit. Для цього натискайте клаівішу SHIFT до тих пір поки на дисплеї не вискочить віконце (як на малюнку 1), потім натискаємо клавіші Win + U, в результаті чого у нас відкриється вікно з лупою.

Для цього натискайте клаівішу SHIFT до тих пір поки на дисплеї не вискочить віконце (як на малюнку 1), потім натискаємо клавіші Win + U, в результаті чого у нас відкриється вікно з лупою

Далі натисніть кнопку "Запустити", і відкрийте посилання "Веб-сайт Майкрософт". У вас запуститься браузер за замовчуванням Mozilla, Opera або Internet Explorer. Щоб відкрити діалогове вікно, зайдіть в меню Файл-> Відкрити, і вже на жорсткому диску знайти файл C: WINDOWSregedit.exe, який потрібно запустити за допомогою правою кнопкою миші.

exe, який потрібно запустити за допомогою правою кнопкою миші

На цьому розблокування Windows XP закінчена. Якщо нічого не забули зробити, windows повинен завантажуватися без проблем.

Ще раз в швидкому темпі.
1.Загружаем Mini Windows Xp. Не забудьте виставити в Біосе пріоритет на завантаження з CD.
2.Проверяем систему на віруси за допомогою Cureit і видаляємо віруси
3.Помещаем в автозавантаження іконку програми regedit.exe
4.Перезагружаемся, витягнувши завантажувальний диск.
5. У відкрилася програмі regedit шукаємо гілку hkcusoftwaremicrosoftwindowscurrentversionpoliciessystem, потім ключу DisableTaskMgr виставляємо значення 0.
6. Шукаємо гілку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, і виставляємо ключу SHELL значення C: WINDOWSexplorer.exe, щоб запустити робочий стіл.
7.Ещё раз перевіряємо систему на віруси, і не забуваємо оновлювати вірусні бази, наприклад у Nod32 або Аваст 2013 безкоштовної версії.

Скрізь пишуть, що потрібно завантажити Live CD від Доктора Веба, робити це не потрібно, так як програма платна, і нічого зробити з її допомогою неможливо. Використовуйте тільки Hirens 'BootCD і будемо вам щастя.

Навіщо видаляти ці файли?
Вірус знаходиться на відстані, але робочий стіл порожній?
Як це зробити?
IRC (Internet Relay Chat)