Як видалити блокувальник Windows?

  1. Як видалити блокувальник Windows? Боротьба з троянцями сімейства WinLock і MbrLock (блокувальники...
  2. Як видалити блокувальник Windows?

Як видалити блокувальник Windows?

Боротьба з троянцями сімейства WinLock і MbrLock

(блокувальники Windows)

актуальність питання

Троянці, що блокують роботу Windows, з вересня 2009 року - одні з найпоширеніших по частоті прояви. Наприклад, за грудень 2010 року понад 40% виявлених вірусів - блокувальники Windows. Загальна назва подібних шкідливих програм - Trojan.Winlock.XXX, де XXX - номер, присвоєний сигнатуре, яка дозволяє визначити кілька (найчастіше кілька сотень) схожих вірусів. Також подібні програми можуть ставитися до типам Trojan.Inject або Trojan.Siggen, але таке трапляється значно рідше.

Зовні троянець може бути двох принципових видів. Перший: заставка на весь екран, через яку не видно робочий стіл, другий: невелике вікно в центрі. Другий варіант не закриває екран повністю, але банер все одно робить неможливою корисну роботу з ПК, оскільки завжди тримається поверх будь-яких інших вікон.

Ось класичний приклад зовнішнього вигляду програми Trojan.Winlock:

Winlock:

Мета троянця проста: добути для вірусів побільше грошей з жертв вірусної атаки.

Наше завдання - навчитися швидко і без втрат усувати будь-які банери, нічого не сплачуючи зловмисникам. Після усунення проблеми необхідно написати заяву в поліцію і надати співробітникам правоохоронних органів всю відому вам інформацію.

Увага! У текстах багатьох блокувальників зустрічаються різні загрози ( «у вас залишилися 2 години», «залишилося 10 спроб введення коду», «в разі переустановлення Windows всі дані будуть знищені» і т. Д.). В основному це не більше ніж блеф.

Алгоритм дій по боротьбі з Trojan.Winlock

Модифікацій блокувальників існує безліч, але і число відомих екземплярів дуже велике. У зв'язку з цим лікування зараженого ПК може зайняти кілька хвилин в легкому випадку і кілька годин, якщо модифікація ще не відома. Але в будь-якій ситуації слід дотримуватися наведеного нижче алгоритму:

1. Підбір коду розблокування.

Коди розблокування до багатьох троянцам вже відомі і занесені в спеціальну базу, створену фахівцями компанії «Доктор Веб». Щоб скористатися базою, перейдіть за посиланням https://www.drweb.com/xperf/unlocker/ і спробуйте підібрати код. Інструкція по роботі з базою розблокування: http: // support .drweb .com / show _faq? qid = 46452743 & lng = ru

Перш за все, спробуйте отримати код розблокування, скориставшись формою, що дозволяє ввести текст повідомлення і номер, на який його потрібно відправити. Зверніть увагу на наступні правила:

  • Якщо потрібно перевести гроші на рахунок або телефонний номер, в поле Номер необхідно вказати номер рахунку або телефону, в поле Текст нічого писати не потрібно.

  • Якщо потрібно перевести гроші на телефонний номер, в поле Номер необхідно вказати номер телефону в форматі 8хххххххххх, навіть якщо в банері зазначено номер без цифри 8.

  • Якщо потрібно відправити повідомлення на короткий номер, в поле Номер вкажіть номер,

  • в поле Текст - текст повідомлення.

  • Якщо згенеровані коди не підійшли - спробуйте обчислити назву вірусу за допомогою представлених картинок. Під кожним зображенням блокувальника вказано його назву. Знайшовши потрібний банер, запам'ятайте назву вірусу і виберіть його в списку відомих блокувальників. Вкажіть в випадаючому списку ім'я вірусу, що вразив ваш ПК, і скопіюйте отриманий код в рядок банера.

Зверніть увагу, що, крім коду, може бути видана інша інформація:

  • Win + D to unlock - натисніть комбінацію клавіш Windows + D для розблокування.

  • any 7 symbols - введіть будь-які 7 символів.

  • Скористайтеся генератором вище або use generator above - використовуйте для отримання коду розблокування форму Номер-Текст в правій частині вікна.

  • Використовуйте форму або ласка, скористайтеся формою - використовуйте для отримання коду розблокування форму Номер-Текст в правій частині вікна.

Якщо підібрати нічого чого не вдалося

2. Якщо система заблокована частково. Цей крок відноситься до випадків, коли банер «висить» в середині екрану, не займаючи його цілком. Якщо доступ заблокований повністю - переходите відразу до кроку 3. Диспетчер завдань при цьому блокується аналогічно повноекранним версіями троянця, тобто завершити шкідливий процес звичайними засобами не можна.


Користуючись залишками вільного простору на екрані, зробіть наступне:

1) Перевірте ПК свіжою версією лечащей утиліти Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Якщо вірус благополучно видалений, справа можна вважати зробленим, якщо нічого не знайдено - переходите до кроку 4.
2) Скачайте відновлює утиліту Dr.Web Trojan.Plastix fix по посиланню http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe і запустіть завантажений файл. У вікні програми натисніть Продовжити, і коли Plastixfix закінчить роботу, перезавантажте ПК.
3) Спробуйте встановити і запустити програму Process Explorer (скачати можна з сайту
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Якщо запуск вдався -
натисніть мишею у вікні програми кнопку із зображенням прицілу і, не відпускаючи її,
наведіть курсор на банер. Коли ви відпустите кнопку, Process Explorer покаже процес,
який відповідає за роботу банера.

3. Якщо доступу немає зовсім. Зазвичай блокувальники повністю захаращують банером екран, що робить неможливим запуск будь-яких програм, в тому числі і Dr.Web CureIt! В цьому випадку необхідно завантажитися з Dr.Web LiveCD або Dr.Web LiveUSB http://www.freedrweb.com/livecd/ і перевірити ПК на віруси. Після перевірки завантажте комп'ютер з жорсткого диска і перевірте, чи вдалося вирішити проблему. Якщо немає - переходите до кроку 4.

4. Ручний пошук вірусу. Якщо ви дійшли до цього пункту, значить вразив систему троянець - новинка, і шукати його доведеться вручну.

Для видалення блокувальника вручну необхідно отримати доступ до реєстру Windows, завантажившись з зовнішнього носія.
Зазвичай блокувальник запускається одним з двох відомих способів.

  • Через автозагрузку в гілках реєстру
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

  • Шляхом підміни системних файлів (одного або декількох) запускаються в гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    або, наприклад, файлу taskmgr.exe.

Для роботи нам знадобиться Dr.Web LiveCD / USB (або інші засоби роботи з зовнішнім реєстром).

Для роботи з Dr.Web LiveCD / USB завантажте ПК з компакт-диска або флешки, після чого скопіюйте на флеш- карту наступні файли:

C: \ Windows \ System32 \ config \ software * файл не має розширення *
C: \ Document and Settings \ Ваше_імя_пользователя \ ntuser.dat

У цих файлах міститься системний реєстр зараженої машини. Обробивши їх в програмі Regedit, ми зможемо очистити реєстр від наслідків вірусної активності і одночасно знайти підозрілі файли.

Тепер перенесіть зазначені файли на функціонуючий ПК під управлінням Windows і зробіть наступне:

Запустіть Regedit, відкрийте кущ HKEY_LOCAL_MACHINE і виконайте Файл -> Завантажити кущ.
У вікні, вкажіть шлях до файлу software, задайте ім'я (наприклад, поточну дату) для розділу і натисніть ОK.

У цьому кущі необхідно перевірити наступні гілки:
Microsoft \ Windows NT \ CurrentVersion \ Winlogon:
Параметр Shell має дорівнювати Explorer.exe. Якщо перераховані будь-які інші файли - необхідно записати їх назви і повний шлях до них. Потім видалити все зайве і задати значення Explorer.exe.

Параметр userinit має дорівнювати C: \ Windows \ system32 \ userinit.exe, (саме так, з коми на кінці, де C - ім'я системного диска). Якщо вказані файли після коми - потрібно записати їх назви і видалити все, що зазначено після першої коми.
Трапляються ситуації, коли присутній схожа гілка з назвою Microsoft \ WindowsNT \ CurrentVersion \ winlogon. Якщо ця гілка є, її необхідно видалити.

Microsoft \ Windows \ CurrentVersion \ Run - гілка містить настройки об'єктів автозапуску.

Особливо уважно слід поставитися до наявності тут об'єктів, які відповідають таким критеріям:

  • Імена нагадують системні процеси, але програми запускаються з інших папок
    (наприклад, C: \ Documents and Settings \ Dima \ svchost.exe).

  • Імена начебто vip-porno-1923.avi.exe.

  • Додатки, що запускаються з тимчасових папок.

  • Невідомі додатки, що запускаються з системних папок (наприклад, С: \ Windows \ system32 \ install.exe).

  • Імена складаються з випадкових комбінацій букв і цифр
    (наприклад, C: \ Documents and Settings \ Dima \ +094238387764 \ 094238387764.exe).

Якщо підозрілі об'єкти присутні - їх імена і шляхи необхідно записати, а відповідні їм записи видалити з автозавантаження.

Microsoft \ Windows \ CurrentVersion \ RunOnce - теж гілка автозавантаження, її необхідно проаналізувати аналогічним чином.

Завершивши аналіз, натисніть на ім'я завантаженого розділу (в нашому випадку він називається за датою) і виконайте Файл -> Вивантажити кущ.

Тепер необхідно проаналізувати другий файл - NTUSER.DAT. Запустіть Regedit, відкрийте кущ HKEY_LOCAL_MACHINE і виконайте Файл -> Завантажити кущ. У вікні, вкажіть шлях до файлу NTUSER.DAT, задайте ім'я для розділу і натисніть ОK.

Тут інтерес представляють гілки Software \ Microsoft \ Windows \ CurrentVersion \ Run і Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, що задають об'єкти автозавантаження.

Необхідно проаналізувати їх на наявність підозрілих об'єктів, як вказано вище.

Також зверніть увагу на параметр Shell в гілці Software \ Microsoft \ Windows NT \ CurrentVesion \ Winlogon. Він повинен мати значення Explorer.exe. У той же час, якщо такий гілки немає взагалі - все в порядку.
Завершивши аналіз, натисніть на ім'я завантаженого розділу (в нашому випадку він називається за датою) і виконайте Файл -> Вивантажити кущ.

Отримавши виправлений реєстр і список підозрілий файлів, необхідно зробити наступне:

Збережіть реєстр ураженого ПК на випадок, якщо щось було зроблено неправильно.

Перенесіть виправлені файли реєстру у відповідні папки на ураженому ПК за допомогою Dr.Web LiveCD / USB (копіювати з заміною файлів). Файли, інформацію про яких ви записали в ході роботи - збережіть на флешці і видаліть з системи. Їх копії необхідно відправити до антивірусної лабораторії компанії «Доктор Веб» на аналіз.

Спробуйте завантажити інфіковану машину з жорсткого диска. Якщо завантаження пройшла
успішно і банера немає - проблема вирішена. Якщо троянець як і раніше функціонує,
повторіть весь пункт 4 цього розділу, але з більш ретельним аналізом всіх вразливих і часто використовуваних вірусами місць системи.

Увага! Якщо після лікування за допомогою Dr.Web LiveCD / USB комп'ютер не завантажується
(Починає циклічно перезавантажуватися, виникає BSOD), потрібно зробити наступне:

Переконайтеся, що в папці config знаходиться один файл software. Проблема може виникати, тому що в Unix-системах регістр в імені файлів має значення (т. Е. Software і software - різні імена, і ці файли можуть перебувати в одній папці), і виправлений файл software може додатися в папку без перезапису старого. При завантаженні Windows, в якій регістр букв ролі не грає, відбувається конфлікт і ОС не завантажується. Якщо файлів два - видаліть старіший.

Якщо software один, а завантаження не відбувається, висока ймовірність, що система вражена «особливою» модифікацією Winlock. Вона прописує себе в гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, в параметр Shell і перезаписує файл userinit.exe. Оригінальний userinit.exe зберігається в тій же папці, але під іншим ім'ям (найчастіше 03014d3f.exe). Видаліть заражений userinit.exe і перейменуйте відповідним чином 03014d3f.exe (ім'я може відрізнятися, але знайти його легко).
Ці дії необхідно провести, завантажившись з Dr.Web LiveCD / USB, після чого спробувати завантажитися з жорсткого диска.

На якому б з етапів ні скінчилася битва з троянцем, необхідно убезпечити себе від
подібних неприємностей в майбутньому. Встановіть антивірусний пакет Dr.Web і регулярно
оновлюйте вірусні бази.

Як видалити блокувальник Windows?

Боротьба з троянцями сімейства WinLock і MbrLock

(блокувальники Windows)

актуальність питання

Троянці, що блокують роботу Windows, з вересня 2009 року - одні з найпоширеніших по частоті прояви. Наприклад, за грудень 2010 року понад 40% виявлених вірусів - блокувальники Windows. Загальна назва подібних шкідливих програм - Trojan.Winlock.XXX, де XXX - номер, присвоєний сигнатуре, яка дозволяє визначити кілька (найчастіше кілька сотень) схожих вірусів. Також подібні програми можуть ставитися до типам Trojan.Inject або Trojan.Siggen, але таке трапляється значно рідше.

Зовні троянець може бути двох принципових видів. Перший: заставка на весь екран, через яку не видно робочий стіл, другий: невелике вікно в центрі. Другий варіант не закриває екран повністю, але банер все одно робить неможливою корисну роботу з ПК, оскільки завжди тримається поверх будь-яких інших вікон.

Ось класичний приклад зовнішнього вигляду програми Trojan.Winlock:

Winlock:

Мета троянця проста: добути для вірусів побільше грошей з жертв вірусної атаки.

Наше завдання - навчитися швидко і без втрат усувати будь-які банери, нічого не сплачуючи зловмисникам. Після усунення проблеми необхідно написати заяву в поліцію і надати співробітникам правоохоронних органів всю відому вам інформацію.

Увага! У текстах багатьох блокувальників зустрічаються різні загрози ( «у вас залишилися 2 години», «залишилося 10 спроб введення коду», «в разі переустановлення Windows всі дані будуть знищені» і т. Д.). В основному це не більше ніж блеф.

Алгоритм дій по боротьбі з Trojan.Winlock

Модифікацій блокувальників існує безліч, але і число відомих екземплярів дуже велике. У зв'язку з цим лікування зараженого ПК може зайняти кілька хвилин в легкому випадку і кілька годин, якщо модифікація ще не відома. Але в будь-якій ситуації слід дотримуватися наведеного нижче алгоритму:

1. Підбір коду розблокування.

Коди розблокування до багатьох троянцам вже відомі і занесені в спеціальну базу, створену фахівцями компанії «Доктор Веб». Щоб скористатися базою, перейдіть за посиланням https://www.drweb.com/xperf/unlocker/ і спробуйте підібрати код. Інструкція по роботі з базою розблокування: http: // support .drweb .com / show _faq? qid = 46452743 & lng = ru

Перш за все, спробуйте отримати код розблокування, скориставшись формою, що дозволяє ввести текст повідомлення і номер, на який його потрібно відправити. Зверніть увагу на наступні правила:

  • Якщо потрібно перевести гроші на рахунок або телефонний номер, в поле Номер необхідно вказати номер рахунку або телефону, в поле Текст нічого писати не потрібно.

  • Якщо потрібно перевести гроші на телефонний номер, в поле Номер необхідно вказати номер телефону в форматі 8хххххххххх, навіть якщо в банері зазначено номер без цифри 8.

  • Якщо потрібно відправити повідомлення на короткий номер, в поле Номер вкажіть номер,

  • в поле Текст - текст повідомлення.

  • Якщо згенеровані коди не підійшли - спробуйте обчислити назву вірусу за допомогою представлених картинок. Під кожним зображенням блокувальника вказано його назву. Знайшовши потрібний банер, запам'ятайте назву вірусу і виберіть його в списку відомих блокувальників. Вкажіть в випадаючому списку ім'я вірусу, що вразив ваш ПК, і скопіюйте отриманий код в рядок банера.

Зверніть увагу, що, крім коду, може бути видана інша інформація:

  • Win + D to unlock - натисніть комбінацію клавіш Windows + D для розблокування.

  • any 7 symbols - введіть будь-які 7 символів.

  • Скористайтеся генератором вище або use generator above - використовуйте для отримання коду розблокування форму Номер-Текст в правій частині вікна.

  • Використовуйте форму або ласка, скористайтеся формою - використовуйте для отримання коду розблокування форму Номер-Текст в правій частині вікна.

Якщо підібрати нічого чого не вдалося

2. Якщо система заблокована частково. Цей крок відноситься до випадків, коли банер «висить» в середині екрану, не займаючи його цілком. Якщо доступ заблокований повністю - переходите відразу до кроку 3. Диспетчер завдань при цьому блокується аналогічно повноекранним версіями троянця, тобто завершити шкідливий процес звичайними засобами не можна.


Користуючись залишками вільного простору на екрані, зробіть наступне:

1) Перевірте ПК свіжою версією лечащей утиліти Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Якщо вірус благополучно видалений, справа можна вважати зробленим, якщо нічого не знайдено - переходите до кроку 4.
2) Скачайте відновлює утиліту Dr.Web Trojan.Plastix fix по посиланню http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe і запустіть завантажений файл. У вікні програми натисніть Продовжити, і коли Plastixfix закінчить роботу, перезавантажте ПК.
3) Спробуйте встановити і запустити програму Process Explorer (скачати можна з сайту
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Якщо запуск вдався -
натисніть мишею у вікні програми кнопку із зображенням прицілу і, не відпускаючи її,
наведіть курсор на банер. Коли ви відпустите кнопку, Process Explorer покаже процес,
який відповідає за роботу банера.

3. Якщо доступу немає зовсім. Зазвичай блокувальники повністю захаращують банером екран, що робить неможливим запуск будь-яких програм, в тому числі і Dr.Web CureIt! В цьому випадку необхідно завантажитися з Dr.Web LiveCD або Dr.Web LiveUSB http://www.freedrweb.com/livecd/ і перевірити ПК на віруси. Після перевірки завантажте комп'ютер з жорсткого диска і перевірте, чи вдалося вирішити проблему. Якщо немає - переходите до кроку 4.

4. Ручний пошук вірусу. Якщо ви дійшли до цього пункту, значить вразив систему троянець - новинка, і шукати його доведеться вручну.

Для видалення блокувальника вручну необхідно отримати доступ до реєстру Windows, завантажившись з зовнішнього носія.
Зазвичай блокувальник запускається одним з двох відомих способів.

  • Через автозагрузку в гілках реєстру
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

  • Шляхом підміни системних файлів (одного або декількох) запускаються в гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    або, наприклад, файлу taskmgr.exe.

Для роботи нам знадобиться Dr.Web LiveCD / USB (або інші засоби роботи з зовнішнім реєстром).

Для роботи з Dr.Web LiveCD / USB завантажте ПК з компакт-диска або флешки, після чого скопіюйте на флеш- карту наступні файли:

C: \ Windows \ System32 \ config \ software * файл не має розширення *
C: \ Document and Settings \ Ваше_імя_пользователя \ ntuser.dat

У цих файлах міститься системний реєстр зараженої машини. Обробивши їх в програмі Regedit, ми зможемо очистити реєстр від наслідків вірусної активності і одночасно знайти підозрілі файли.

Тепер перенесіть зазначені файли на функціонуючий ПК під управлінням Windows і зробіть наступне:

Запустіть Regedit, відкрийте кущ HKEY_LOCAL_MACHINE і виконайте Файл -> Завантажити кущ.
У вікні, вкажіть шлях до файлу software, задайте ім'я (наприклад, поточну дату) для розділу і натисніть ОK.

У цьому кущі необхідно перевірити наступні гілки:
Microsoft \ Windows NT \ CurrentVersion \ Winlogon:
Параметр Shell має дорівнювати Explorer.exe. Якщо перераховані будь-які інші файли - необхідно записати їх назви і повний шлях до них. Потім видалити все зайве і задати значення Explorer.exe.

Параметр userinit має дорівнювати C: \ Windows \ system32 \ userinit.exe, (саме так, з коми на кінці, де C - ім'я системного диска). Якщо вказані файли після коми - потрібно записати їх назви і видалити все, що зазначено після першої коми.
Трапляються ситуації, коли присутній схожа гілка з назвою Microsoft \ WindowsNT \ CurrentVersion \ winlogon. Якщо ця гілка є, її необхідно видалити.

Microsoft \ Windows \ CurrentVersion \ Run - гілка містить настройки об'єктів автозапуску.

Особливо уважно слід поставитися до наявності тут об'єктів, які відповідають таким критеріям:

  • Імена нагадують системні процеси, але програми запускаються з інших папок
    (наприклад, C: \ Documents and Settings \ Dima \ svchost.exe).

  • Імена начебто vip-porno-1923.avi.exe.

  • Додатки, що запускаються з тимчасових папок.

  • Невідомі додатки, що запускаються з системних папок (наприклад, С: \ Windows \ system32 \ install.exe).

  • Імена складаються з випадкових комбінацій букв і цифр
    (наприклад, C: \ Documents and Settings \ Dima \ +094238387764 \ 094238387764.exe).

Якщо підозрілі об'єкти присутні - їх імена і шляхи необхідно записати, а відповідні їм записи видалити з автозавантаження.

Microsoft \ Windows \ CurrentVersion \ RunOnce - теж гілка автозавантаження, її необхідно проаналізувати аналогічним чином.

Завершивши аналіз, натисніть на ім'я завантаженого розділу (в нашому випадку він називається за датою) і виконайте Файл -> Вивантажити кущ.

Тепер необхідно проаналізувати другий файл - NTUSER.DAT. Запустіть Regedit, відкрийте кущ HKEY_LOCAL_MACHINE і виконайте Файл -> Завантажити кущ. У вікні, вкажіть шлях до файлу NTUSER.DAT, задайте ім'я для розділу і натисніть ОK.

Тут інтерес представляють гілки Software \ Microsoft \ Windows \ CurrentVersion \ Run і Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, що задають об'єкти автозавантаження.

Необхідно проаналізувати їх на наявність підозрілих об'єктів, як вказано вище.

Також зверніть увагу на параметр Shell в гілці Software \ Microsoft \ Windows NT \ CurrentVesion \ Winlogon. Він повинен мати значення Explorer.exe. У той же час, якщо такий гілки немає взагалі - все в порядку.
Завершивши аналіз, натисніть на ім'я завантаженого розділу (в нашому випадку він називається за датою) і виконайте Файл -> Вивантажити кущ.

Отримавши виправлений реєстр і список підозрілий файлів, необхідно зробити наступне:

Збережіть реєстр ураженого ПК на випадок, якщо щось було зроблено неправильно.

Перенесіть виправлені файли реєстру у відповідні папки на ураженому ПК за допомогою Dr.Web LiveCD / USB (копіювати з заміною файлів). Файли, інформацію про яких ви записали в ході роботи - збережіть на флешці і видаліть з системи. Їх копії необхідно відправити до антивірусної лабораторії компанії «Доктор Веб» на аналіз.

Спробуйте завантажити інфіковану машину з жорсткого диска. Якщо завантаження пройшла
успішно і банера немає - проблема вирішена. Якщо троянець як і раніше функціонує,
повторіть весь пункт 4 цього розділу, але з більш ретельним аналізом всіх вразливих і часто використовуваних вірусами місць системи.

Увага! Якщо після лікування за допомогою Dr.Web LiveCD / USB комп'ютер не завантажується
(Починає циклічно перезавантажуватися, виникає BSOD), потрібно зробити наступне:

Переконайтеся, що в папці config знаходиться один файл software. Проблема може виникати, тому що в Unix-системах регістр в імені файлів має значення (т. Е. Software і software - різні імена, і ці файли можуть перебувати в одній папці), і виправлений файл software може додатися в папку без перезапису старого. При завантаженні Windows, в якій регістр букв ролі не грає, відбувається конфлікт і ОС не завантажується. Якщо файлів два - видаліть старіший.

Якщо software один, а завантаження не відбувається, висока ймовірність, що система вражена «особливою» модифікацією Winlock. Вона прописує себе в гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, в параметр Shell і перезаписує файл userinit.exe. Оригінальний userinit.exe зберігається в тій же папці, але під іншим ім'ям (найчастіше 03014d3f.exe). Видаліть заражений userinit.exe і перейменуйте відповідним чином 03014d3f.exe (ім'я може відрізнятися, але знайти його легко).
Ці дії необхідно провести, завантажившись з Dr.Web LiveCD / USB, після чого спробувати завантажитися з жорсткого диска.

На якому б з етапів ні скінчилася битва з троянцем, необхідно убезпечити себе від
подібних неприємностей в майбутньому. Встановіть антивірусний пакет Dr.Web і регулярно
оновлюйте вірусні бази.

Як видалити блокувальник Windows?

Боротьба з троянцями сімейства WinLock і MbrLock

(блокувальники Windows)

актуальність питання

Троянці, що блокують роботу Windows, з вересня 2009 року - одні з найпоширеніших по частоті прояви. Наприклад, за грудень 2010 року понад 40% виявлених вірусів - блокувальники Windows. Загальна назва подібних шкідливих програм - Trojan.Winlock.XXX, де XXX - номер, присвоєний сигнатуре, яка дозволяє визначити кілька (найчастіше кілька сотень) схожих вірусів. Також подібні програми можуть ставитися до типам Trojan.Inject або Trojan.Siggen, але таке трапляється значно рідше.

Зовні троянець може бути двох принципових видів. Перший: заставка на весь екран, через яку не видно робочий стіл, другий: невелике вікно в центрі. Другий варіант не закриває екран повністю, але банер все одно робить неможливою корисну роботу з ПК, оскільки завжди тримається поверх будь-яких інших вікон.

Ось класичний приклад зовнішнього вигляду програми Trojan.Winlock:

Winlock:

Мета троянця проста: добути для вірусів побільше грошей з жертв вірусної атаки.

Наше завдання - навчитися швидко і без втрат усувати будь-які банери, нічого не сплачуючи зловмисникам. Після усунення проблеми необхідно написати заяву в поліцію і надати співробітникам правоохоронних органів всю відому вам інформацію.

Увага! У текстах багатьох блокувальників зустрічаються різні загрози ( «у вас залишилися 2 години», «залишилося 10 спроб введення коду», «в разі переустановлення Windows всі дані будуть знищені» і т. Д.). В основному це не більше ніж блеф.

Алгоритм дій по боротьбі з Trojan.Winlock

Модифікацій блокувальників існує безліч, але і число відомих екземплярів дуже велике. У зв'язку з цим лікування зараженого ПК може зайняти кілька хвилин в легкому випадку і кілька годин, якщо модифікація ще не відома. Але в будь-якій ситуації слід дотримуватися наведеного нижче алгоритму:

1. Підбір коду розблокування.

Коди розблокування до багатьох троянцам вже відомі і занесені в спеціальну базу, створену фахівцями компанії «Доктор Веб». Щоб скористатися базою, перейдіть за посиланням https://www.drweb.com/xperf/unlocker/ і спробуйте підібрати код. Інструкція по роботі з базою розблокування: http: // support .drweb .com / show _faq? qid = 46452743 & lng = ru

Перш за все, спробуйте отримати код розблокування, скориставшись формою, що дозволяє ввести текст повідомлення і номер, на який його потрібно відправити. Зверніть увагу на наступні правила:

  • Якщо потрібно перевести гроші на рахунок або телефонний номер, в поле Номер необхідно вказати номер рахунку або телефону, в поле Текст нічого писати не потрібно.

  • Якщо потрібно перевести гроші на телефонний номер, в поле Номер необхідно вказати номер телефону в форматі 8хххххххххх, навіть якщо в банері зазначено номер без цифри 8.

  • Якщо потрібно відправити повідомлення на короткий номер, в поле Номер вкажіть номер,

  • в поле Текст - текст повідомлення.

  • Якщо згенеровані коди не підійшли - спробуйте обчислити назву вірусу за допомогою представлених картинок. Під кожним зображенням блокувальника вказано його назву. Знайшовши потрібний банер, запам'ятайте назву вірусу і виберіть його в списку відомих блокувальників. Вкажіть в випадаючому списку ім'я вірусу, що вразив ваш ПК, і скопіюйте отриманий код в рядок банера.

Зверніть увагу, що, крім коду, може бути видана інша інформація:

  • Win + D to unlock - натисніть комбінацію клавіш Windows + D для розблокування.

  • any 7 symbols - введіть будь-які 7 символів.

  • Скористайтеся генератором вище або use generator above - використовуйте для отримання коду розблокування форму Номер-Текст в правій частині вікна.

  • Використовуйте форму або ласка, скористайтеся формою - використовуйте для отримання коду розблокування форму Номер-Текст в правій частині вікна.

Якщо підібрати нічого чого не вдалося

2. Якщо система заблокована частково. Цей крок відноситься до випадків, коли банер «висить» в середині екрану, не займаючи його цілком. Якщо доступ заблокований повністю - переходите відразу до кроку 3. Диспетчер завдань при цьому блокується аналогічно повноекранним версіями троянця, тобто завершити шкідливий процес звичайними засобами не можна.


Користуючись залишками вільного простору на екрані, зробіть наступне:

1) Перевірте ПК свіжою версією лечащей утиліти Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Якщо вірус благополучно видалений, справа можна вважати зробленим, якщо нічого не знайдено - переходите до кроку 4.
2) Скачайте відновлює утиліту Dr.Web Trojan.Plastix fix по посиланню http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe і запустіть завантажений файл. У вікні програми натисніть Продовжити, і коли Plastixfix закінчить роботу, перезавантажте ПК.
3) Спробуйте встановити і запустити програму Process Explorer (скачати можна з сайту
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Якщо запуск вдався -
натисніть мишею у вікні програми кнопку із зображенням прицілу і, не відпускаючи її,
наведіть курсор на банер. Коли ви відпустите кнопку, Process Explorer покаже процес,
який відповідає за роботу банера.

3. Якщо доступу немає зовсім. Зазвичай блокувальники повністю захаращують банером екран, що робить неможливим запуск будь-яких програм, в тому числі і Dr.Web CureIt! В цьому випадку необхідно завантажитися з Dr.Web LiveCD або Dr.Web LiveUSB http://www.freedrweb.com/livecd/ і перевірити ПК на віруси. Після перевірки завантажте комп'ютер з жорсткого диска і перевірте, чи вдалося вирішити проблему. Якщо немає - переходите до кроку 4.

4. Ручний пошук вірусу. Якщо ви дійшли до цього пункту, значить вразив систему троянець - новинка, і шукати його доведеться вручну.

Для видалення блокувальника вручну необхідно отримати доступ до реєстру Windows, завантажившись з зовнішнього носія.
Зазвичай блокувальник запускається одним з двох відомих способів.

  • Через автозагрузку в гілках реєстру
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce

  • Шляхом підміни системних файлів (одного або декількох) запускаються в гілці HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
    або, наприклад, файлу taskmgr.exe.

Для роботи нам знадобиться Dr.Web LiveCD / USB (або інші засоби роботи з зовнішнім реєстром).

Для роботи з Dr.Web LiveCD / USB завантажте ПК з компакт-диска або флешки, після чого скопіюйте на флеш- карту наступні файли:

C: \ Windows \ System32 \ config \ software * файл не має розширення *
C: \ Document and Settings \ Ваше_імя_пользователя \ ntuser.dat

У цих файлах міститься системний реєстр зараженої машини. Обробивши їх в програмі Regedit, ми зможемо очистити реєстр від наслідків вірусної активності і одночасно знайти підозрілі файли.

Тепер перенесіть зазначені файли на функціонуючий ПК під управлінням Windows і зробіть наступне:

Запустіть Regedit, відкрийте кущ HKEY_LOCAL_MACHINE і виконайте Файл -> Завантажити кущ.
У вікні, вкажіть шлях до файлу software, задайте ім'я (наприклад, поточну дату) для розділу і натисніть ОK.

У цьому кущі необхідно перевірити наступні гілки:
Microsoft \ Windows NT \ CurrentVersion \ Winlogon:
Параметр Shell має дорівнювати Explorer.exe. Якщо перераховані будь-які інші файли - необхідно записати їх назви і повний шлях до них. Потім видалити все зайве і задати значення Explorer.exe.

Параметр userinit має дорівнювати C: \ Windows \ system32 \ userinit.exe, (саме так, з коми на кінці, де C - ім'я системного диска). Якщо вказані файли після коми - потрібно записати їх назви і видалити все, що зазначено після першої коми.
Трапляються ситуації, коли присутній схожа гілка з назвою Microsoft \ WindowsNT \ CurrentVersion \ winlogon. Якщо ця гілка є, її необхідно видалити.

Microsoft \ Windows \ CurrentVersion \ Run - гілка містить настройки об'єктів автозапуску.

Особливо уважно слід поставитися до наявності тут об'єктів, які відповідають таким критеріям:

  • Імена нагадують системні процеси, але програми запускаються з інших папок
    (наприклад, C: \ Documents and Settings \ Dima \ svchost.exe).

  • Імена начебто vip-porno-1923.avi.exe.

  • Додатки, що запускаються з тимчасових папок.

  • Невідомі додатки, що запускаються з системних папок (наприклад, С: \ Windows \ system32 \ install.exe).

  • Імена складаються з випадкових комбінацій букв і цифр
    (наприклад, C: \ Documents and Settings \ Dima \ +094238387764 \ 094238387764.exe).

Якщо підозрілі об'єкти присутні - їх імена і шляхи необхідно записати, а відповідні їм записи видалити з автозавантаження.

Microsoft \ Windows \ CurrentVersion \ RunOnce - теж гілка автозавантаження, її необхідно проаналізувати аналогічним чином.

Завершивши аналіз, натисніть на ім'я завантаженого розділу (в нашому випадку він називається за датою) і виконайте Файл -> Вивантажити кущ.

Тепер необхідно проаналізувати другий файл - NTUSER.DAT. Запустіть Regedit, відкрийте кущ HKEY_LOCAL_MACHINE і виконайте Файл -> Завантажити кущ. У вікні, вкажіть шлях до файлу NTUSER.DAT, задайте ім'я для розділу і натисніть ОK.

Тут інтерес представляють гілки Software \ Microsoft \ Windows \ CurrentVersion \ Run і Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, що задають об'єкти автозавантаження.

Необхідно проаналізувати їх на наявність підозрілих об'єктів, як вказано вище.

Також зверніть увагу на параметр Shell в гілці Software \ Microsoft \ Windows NT \ CurrentVesion \ Winlogon. Він повинен мати значення Explorer.exe. У той же час, якщо такий гілки немає взагалі - все в порядку.
Завершивши аналіз, натисніть на ім'я завантаженого розділу (в нашому випадку він називається за датою) і виконайте Файл -> Вивантажити кущ.

Отримавши виправлений реєстр і список підозрілий файлів, необхідно зробити наступне:

Збережіть реєстр ураженого ПК на випадок, якщо щось було зроблено неправильно.

Перенесіть виправлені файли реєстру у відповідні папки на ураженому ПК за допомогою Dr.Web LiveCD / USB (копіювати з заміною файлів). Файли, інформацію про яких ви записали в ході роботи - збережіть на флешці і видаліть з системи. Їх копії необхідно відправити до антивірусної лабораторії компанії «Доктор Веб» на аналіз.

Спробуйте завантажити інфіковану машину з жорсткого диска. Якщо завантаження пройшла
успішно і банера немає - проблема вирішена. Якщо троянець як і раніше функціонує,
повторіть весь пункт 4 цього розділу, але з більш ретельним аналізом всіх вразливих і часто використовуваних вірусами місць системи.

Увага! Якщо після лікування за допомогою Dr.Web LiveCD / USB комп'ютер не завантажується
(Починає циклічно перезавантажуватися, виникає BSOD), потрібно зробити наступне:

Переконайтеся, що в папці config знаходиться один файл software. Проблема може виникати, тому що в Unix-системах регістр в імені файлів має значення (т. Е. Software і software - різні імена, і ці файли можуть перебувати в одній папці), і виправлений файл software може додатися в папку без перезапису старого. При завантаженні Windows, в якій регістр букв ролі не грає, відбувається конфлікт і ОС не завантажується. Якщо файлів два - видаліть старіший.

Якщо software один, а завантаження не відбувається, висока ймовірність, що система вражена «особливою» модифікацією Winlock. Вона прописує себе в гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, в параметр Shell і перезаписує файл userinit.exe. Оригінальний userinit.exe зберігається в тій же папці, але під іншим ім'ям (найчастіше 03014d3f.exe). Видаліть заражений userinit.exe і перейменуйте відповідним чином 03014d3f.exe (ім'я може відрізнятися, але знайти його легко).
Ці дії необхідно провести, завантажившись з Dr.Web LiveCD / USB, після чого спробувати завантажитися з жорсткого диска.

На якому б з етапів ні скінчилася битва з троянцем, необхідно убезпечити себе від
подібних неприємностей в майбутньому. Встановіть антивірусний пакет Dr.Web і регулярно
оновлюйте вірусні бази.

Як видалити блокувальник Windows?
Як видалити блокувальник Windows?
Як видалити блокувальник Windows?
Com / show _faq?
Як видалити блокувальник Windows?
Com / show _faq?
Як видалити блокувальник Windows?
Com / show _faq?