###
  • Bluetooth
  • Wi-Fi
  • Дополнительно
  • Инструкции
  • Обзор технологий
  • Обслуживание
  • Проблемы 
  • Программы
  • Программы и игры
  • Работа с Андроидом
  • Устройства
  • Эмуляторы

    • Удаление баннеров с рабочего стола разблокировка windows. Как разблокировать Windows от вируса-вымогателя

    14.07.2023 Программы и игры

    Винлокер (Trojan.Winlock) - компьютерный вирус, блокирующий доступ к Windows. После инфицирования предлагает пользователю отправить SMS для получения кода, восстанавливающего работоспособность компьютера. Имеет множество программных модификаций: от самых простых - «внедряющихся» в виде надстройки, до самых сложных - модифицирующих загрузочный сектор винчестера.

    Предупреждение! Если ваш компьютер заблокирован винлокером, ни при каких обстоятельствах не отправляйте SMS и не переводите денежные средства, чтобы получить код разблокировки ОС. Нет никакой гарантии, что вам его отправят. А если это и случится, знайте, что вы отдадите злоумышленникам свои кровно заработанные за просто так. Не поддавайтесь уловкам! Единственно правильное решение в этой ситуации - удалить вирус-вымогатель из компьютера.

    Самостоятельное удаление баннера-вымогателя

    Данный метод применителен к винлокерам, которые не блокируют загрузку ОС в безопасном режиме, редактор реестра и командную строку. Его принцип действия основан на использовании исключительно системных утилит (без задействования антивирусных программ).

    1. Увидев зловредный баннер на мониторе, первым делом отключите интернет-соединение.

    2. Перезагрузите ОС в безопасном режиме:

    • в момент перезагрузки системы удерживайте клавишу «F8» до тех пор, пока на мониторе не появится меню «Дополнительные варианты загрузки»;
    • используя стрелки курсора выберите пункт «Безопасный режим с поддержкой командной строки» и нажмите «Enter».

    Внимание! Если ПК отказывается загружаться в безопасном режиме или не запускается командная строка/ утилиты системы, попробуйте винлокер удалить другим способом (смотрите ниже).

    3. В командной строке наберите команду - msconfig, а затем нажмите «ENTER».

    4. На экране появится панель «Конфигурация системы». Откройте в ней вкладку «Автозагрузка» и тщательно просмотрите список элементов на предмет присутствия винлокера. Как правило, в его имени содержатся бессмысленные буквенно-цифровые комбинации («mc.exe», «3dec23ghfdsk34.exe» и др.) Отключите все подозрительные файлы и запомните/запишите их названия.

    5. Закройте панель и перейдите в командную строку.

    6. Введите команду «regedit» (без кавычек) + «ENTER». После активации откроется редактор реестра Windows.

    7. В разделе «Правка» меню редактора кликните «Найти...». Напишите имя и расширение винлокера, найденного в автозагрузке. Запустите поиск кнопкой «Найти далее...». Все записи с названием вируса необходимо удалить. Продолжайте сканирование при помощи клавиши «F3», пока не будут проверены все разделы.

    8. Тут же, в редакторе, перемещаясь по левому столбику, просмотрите директорию:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon.

    Запись «shell» - должна иметь значение «explorer.exe»; запись «Userinit» - «C:\Windows\system32\userinit.exe,».

    В противном случае, при обнаружении зловредных модификаций, посредством функции «Исправить» (правая кнопка мышки - контекстное меню) установите верные значения.

    9. Закройте редактор и снова перейдите в командную строку.

    10. Теперь нужно удалить баннер с рабочего стола. Для этого введите в строке команду «explorer» (без кавычек). Когда появится оболочка Windows, уберите все файлы и ярлыки с необычными названиями (которые вы не устанавливали в систему). Скорее всего, один из них и есть баннер.

    11. Перезапустите Windows в обычном режиме и убедитесь, что вам удалось удалить зловреда:

    • если баннер исчез - подключите интернет, обновите базы установленного антивируса или воспользуйтесь альтернативным антивирусным продуктом и просканируйте все разделы винчестера;
    • если баннер продолжает блокировать ОС - воспользуйтесь другим методом удаления. Возможно, ваш ПК поразил винлокер, который «закрепляется» в системе немного по-другому.

    Удаление при помощи антивирусных утилит

    Чтобы скачать утилиты, удаляющие винлокеры, и записать их диск, вам понадобится другой, неинфицированный, компьютер или ноутбук. Попросите соседа, товарища или друга попользоваться его ПК часок-другой. Запаситесь 3-4 чистыми дисками (CD-R или DVD-R).

    Совет! Если вы читаете эту статью в ознакомительных целях и ваш компьютер, слава богу, жив-здоров, всё равно скачайте себе лечащие утилиты, рассматриваемые в рамках это статьи, и сохраните их на дисках или флешке. Заготовленная «аптечка», увеличивает ваши шансы победить вирусный баннер вдвое! Быстро и без лишних волнений.

    1. Зайдите на оф.сайт разработчиков утилиты - antiwinlocker.ru.

    2. На главной странице кликните кнопку AntiWinLockerLiveCd.

    3. В новой вкладке браузера откроется список ссылок для скачивания дистрибутивов программы. В графе «Образы диска для лечения заражённых систем» пройдите по ссылке «Скачать образ AntiWinLockerLiveCd» с номером старшей (новой) версии (например, 4.1.3).

    4. Скачайте образ в формате ISO на компьютер.

    5. Запишите его на DVD-R/CD-R в программе ImgBurn или Nero, используя функцию «Записать образ диск». ISO-образ должен записаться в распакованном виде, чтобы получился загрузочный диск.

    6. Вставьте диск с AntiWinLocker в ПК, в котором бесчинствует баннер. Перезапустите ОС и зайдите в БИОС (узнайте горячую клавишу для входа применительно к вашему компьютеру; возможные варианты - «Del», «F7»). Установите загрузку не с винчестера (системного раздела С), а с DVD-привода.

    7. Снова перезагрузите ПК. Если вы сделали всё правильно - корректно записали образ на диск, изменили настройку загрузки в БИОС - на мониторе появится меню утилиты AntiWinLockerLiveCd.

    8. Чтобы автоматически удалить вирус-вымогатель с компьютера нажмите кнопку «СТАРТ». И всё! Других действий не понадобится - уничтожение в один клик.

    9. По окончанию процедуры удаления, утилита предоставит отчёт о проделанной работе (какие сервисы и файлы она разблокировала и вылечила).

    10. Закройте утилиту. При перезагрузке системы опять зайдите в БИОС и укажите загрузку с винчестера. Запустите ОС в обычном режиме, проверьте её работоспособность.

    WindowsUnlocker (Лаборатория Касперского)

    1. Откройте в браузере страницу sms.kaspersky.ru (оф.сайт Лаборатории Касперского).

    2. Кликните кнопку «Скачать WindowsUnlocker» (расположена под надписью «Как убрать баннер»).

    3. Дождитесь пока на компьютер скачается образ загрузочного диска Kaspersky Rescue Disk с утилитой WindowsUnlocker.

    4. Запишите образ ISO таким же образом, как и утилиту AntiWinLockerLiveCd - сделайте загрузочный диск.

    5. Настройте БИОС заблокированного ПК для загрузки с DVD-привода. Вставьте диск Kaspersky Rescue Disk LiveCD и перезагрузите систему.

    6. Для запуска утилиты нажмите любую клавишу, а затем стрелочками курсора выберите язык интерфейса («Русский») и нажмите «ENTER».

    7. Ознакомьтесь с условиями соглашения и нажмите клавишу «1» (согласен).

    8. Когда на экране появится рабочий стол Kaspersky Rescue Disk, кликните по крайней левой иконке в панели задач (буква «K» на синем фоне), чтобы открыть меню диска.

    9. Выберите пункт «Терминал».

    10. В окне терминала (root:bash) возле приглашения «kavrescue ~ #» введите «windowsunlocker» (без кавычек) и активируйте директиву клавишей «ENTER».

    11. Отобразится меню утилиты. Нажмите «1» (Разблокировать Windows).

    12. После разблокировки закройте терминал.

    13. Доступ к ОС уже есть, но вирус по-прежнему гуляет на свободе. Для того, чтобы его уничтожить, выполните следующее:

    • подключите интернет;
    • запустите на рабочем столе ярлык «Kaspersky Rescue Disk»;
    • обновите сигнатурные базы антивируса;
    • выберите объекты, которые нужно проверить (желательно проверить все элементы списка);
    • левой кнопкой мыши активируйте функцию «Выполнить проверку объектов»;
    • в случае обнаружения вируса-вымогателя из предложенных действий выберите «Удалить».

    14. После лечения в главном меню диска кликните «Выключить». В момент перезапуска ОС, зайдите в БИОС и установите загрузку с HDD (винчестера). Сохраните настройки и загрузите Windows в обычном режиме.

    Сервис разблокировки компьютеров от Dr.Web

    Этот способ заключается в попытке заставить винлокер самоуничтожиться. То есть дать ему, то что он требует - код разблокировки. Естественно деньги для его получения вам тратить не придётся.

    1. Перепишите номер кошелька или телефона, который злоумышленники оставили на баннере для покупки кода разблокировки.

    2. Зайдите с другого, «здорового», компьютера на сервис разблокировки Dr.Web - drweb.com/xperf/unlocker/.

    3. Введите в поле переписанный номер и кликните кнопку «Искать коды». Сервис выполнит автоматический подбор кода разблокировки согласно вашему запросу.

    4. Перепишите/скопируйте все коды, отображённые в результатах поиска.

    Внимание! Если таковых не найдётся в базе данных, воспользуйтесь рекомендацией Dr.Web по самостоятельному удалению винлокера (пройдите по ссылке, размещённой под сообщением «К сожалению, по вашему запросу... »).

    5. На заражённом компьютере в «интерфейс» баннера введите код разблокировки, предоставленный сервисом Dr.Web.

    6. В случае самоликвидации вируса, обновите антивирус и просканируйте все разделы жёсткого диска.

    Предупреждение! Иногда баннер не реагирует на ввод кода. В таком случае необходимо задействовать другой способ удаления.

    Удаление баннера MBR.Lock

    MBR.Lock - один из самых опасных винлокеров. Модифицирует данные и код главной загрузочной записи жёстокого диска. Многие пользователи, не зная как удалить баннер-вымогатель данной разновидности, начинают переустанавливать Windows, в надежде, что после этой процедуры, их ПК «выздоровеет». Но, увы, этого не происходит - вирус продолжает блокировать ОС.

    Чтобы избавиться от вымогателя MBR.Lock выполните следующие действия (вариант для Windows 7):
    1. Вставьте установочный диск Windows (подойдёт любая версия, сборка).

    2. Зайдите в BIOS компьютера (узнайте горячую клавишу для входа в БИОС в техническом описании вашего ПК). В настройке First Boot Device установите «Сdrom» (загрузка с DVD-привода).

    3. После перезапуска системы загрузится установочный диск Windows 7. Выберите тип своей системы (32/64 бит), язык интерфейса и нажмите кнопку «Далее».

    4. В нижней части экрана, под опцией «Установить», кликните «Восстановление системы».

    5. В панели «Параметры восстановления системы» оставьте всё без изменений и снова нажмите «Далее».

    6. Выберите в меню средств опцию «Командная строка».

    7. В командной строке введите команду - bootrec /fixmbr, а затем нажмите «Enter». Системная утилита перезапишет загрузочную запись и тем самым уничтожит вредоносный код.

    8. Закройте командную строку, и нажмите «Перезагрузка».

    9. Просканируйте ПК на вирусы утилитой Dr.Web CureIt! или Virus Removal Tool (Kaspersky).

    Стоит отметить, что есть и другие способы лечения компьютера от винлокера. Чем больше в вашем арсенале будет средств по борьбе с этой заразой, тем лучше. А вообще, как говорится, бережённого Бог бережёт - не искушайте судьбу: не заходите на сомнительные сайты и не устанавливайте ПО от неизвестных производителей.

    Пусть ваш ПК баннеры-вымогатели минуют стороной. Удачи!

    Баннеры «Windows заблокирован - для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

    Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.

    С кем боремся?

    Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.

    Trojan.Winlock (Винлокер) - представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

    Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

    В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.

    Пути распространения Trojan.Winlock

    В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже - анимация и др.

    Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

    1. Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
    2. Баннеры, остающиеся на рабочем столе после закрытия браузера.
    3. Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.
    В последнем случае для совершения минимума нехитрых манипуляций, нужных злоумышленнику, в распоряжении пользователя остается мышь для ввода кода на цифровом экранном интерфейсе.

    Вредные привычки Trojan.Winlock

    Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:

    -[...\Software\Microsoft\Windows\CurrentVersion\Run] "svhost" = "%APPDATA%\svhost\svhost.exe"
    -[...\Software\Microsoft\Windows\CurrentVersion\Run] "winlogon.exe" = "\winlogon.exe"

    С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

    • %APPDATA%\svhost\svhost.exe
    Запускает на исполнение:
    • \winlogon.exe
    • %WINDIR%\explorer.exe
    • \cmd.exe /c """%TEMP%\uAJZN.bat"" "
    • \reg.exe ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» /v «svhost» /t REG_SZ /d "%APPDATA%\svhost\svhost.exe" /f
    Завершает или пытается завершить системный процесс:
    • %WINDIR%\Explorer.EXE
    Вносит изменения в файловую систему:

    Создает следующие файлы:

    • %APPDATA%\svhost\svhost.exe
    • %TEMP%\uAJZN.bat
    Присваивает атрибут "скрытый" для файлов:
    • %APPDATA%\svhost\svhost.exe
    Ищет окна:
    • ClassName: "Shell_TrayWnd" WindowName: ""
    • ClassName: "Indicator" WindowName: ""

    Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

    Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

    Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web

    На другой странице сайта авторы представили еще один вариант выбора - готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям .

    Аналогичный сервис поиска кодов представлен антивирусной студией ESET , где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту - Kaspersky WindowsUnlocker .

    Способ 3. Утилиты – разблокировщики

    Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.

    Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.

    В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать .

    Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.

    AntiWinLockerLiveCD

    Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.


    Основные функции программы :

    • Фиксирование изменений важнейших параметров Операционной системы;
    • Фиксирование присутствия в области автозагрузки не подписанных файлов;
    • Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
    • Защита от отключения вирусами Диспетчера задач и редактора реестра;
    • Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
    • Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.
    Автоматическое восстановление системы :
    • Восстанавливает корректные значения во всех критических областях оболочки;
    • Отключает не подписанные файлы из автозагрузки;
    • Устраняет блокировку Диспетчера задач и редактора реестра;
    • Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
    • Устранение всех системных отладчиков (HiJack);
    • Восстановление файлов HOSTS к первоначальному состоянию;
    • Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
    • Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
    • Удаление всех найденных файлов Autorun.inf на всех дисках;
    • Восстановление загрузочного сектора (в среде WinPE).
    Лечение с использованием утилиты AntiWinLocker LiveCD – не панацея, но один из самых простых и быстрых способов избавиться от вируса. Дистрибутив LiveCD, даже в своей облегченной бесплатной Lite версии располагает для этого всеми необходимыми инструментами – файловым менеджером FreeCommander, обеспечивающим доступ к системным файлам, доступом к файлам автозагрузки, доступом к реестру.

    Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.

    Последовательность действий предельно проста:

    Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

    • Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
    • Ожидаем загрузки образа LiveCD в оперативную память.

    • После запуска окна программы выбираем заблокированную учетную запись;
    • Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
    • После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.
    Для чистоты эксперимента можно отметить галочками все пункты меню, кроме последнего (восстановить загрузочный сектор).

    Нажимаем ”Старт”/”Начать лечение”.

    Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.

    Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.


    В числе дополнительных полезных инструментов программы:

    • Редактор реестра;
    • Командная строка;
    • Диспетчер задач;
    • Дисковая утилита TestDisk;
    • AntiSMS.
    Проверка в автоматическом режиме утилитой AntiWinLockerLiveCD не всегда дает возможность обнаружить блокировщика.
    Если автоматическая чистка не принесла результатов, вы всегда можете воспользоваться возможностями Менеджера Файлов, проверив пути C: или D:\Documents and Settings\Имя пользователя\Local Settings\Temp (Для ОС Windows XP) и С: или D:\Users\Имя пользователя\AppData\Local\Temp (Для Windows 7). Если баннер прописался в автозагрузке, есть возможность анализа результатов проверки в ручном режиме, позволяющего отключить элементы автозагрузки.

    Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.

    Профилактика

    Чисто не там, где часто убирают, а там, где не сорят! - Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.

    Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.

    В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.

    Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).

    Сохраните установочный диск с виндой и всегда помните, где он находится. В час «Ч» из командной строки вы сможете восстановить жизненно важные файлы системы до исходного состояния.

    Не реже чем раз в две недели создавайте контрольную точку восстановления.

    Любой сомнительный софт - кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.

    Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
    Удачи вам в начинаниях и только приятных, а главное - безопасных встреч!

    Послесловие от команды iCover

    Надеемся, что предоставленная в этом материале информация будет полезна читателям блога компании iCover и поможет без особого труда справиться с описанной проблемой за считанные минуты. А еще надеемся, что в нашем блоге вы найдете много полезного и интересного, сможете познакомиться с результатами уникальных тестов и экспертиз новейших гаджетов, найдете ответы на самые актуальные вопросы, решение которых зачастую требовалось еще вчера.).

    Нередко пользователи становятся жертвами вирусов, которые серьезно мешают работать в Windows. Ярким примером является блокировка рабочего стола с помощью баннера. Это случается, если вы не позаботились о защите своего компьютера. Вы не можете совершать никакие действия, ОС заблокирована, а на экране написано что-то вроде «Вы нарушили закон. Пополните такой-то номер мобильного, иначе потеряете все свои данные». В данной статье описано, как убрать подобный баннер с рабочего стола своего компьютера.

    Стоит понимать, что это мошенничество. Вы ничего не нарушали, в законодательстве нет пунктов насчет блокировки рабочего стола пользователей. Ни в коем случае не идите на поводу у мошенников и не отправляйте им свои деньги.

    Скорее всего, это даже не поможет – разблокировка с помощью кода вряд ли поможет избавиться от вируса, и баннер так и останется на компьютере.

    Часто, чтобы избавиться от подобных проблем, рекомендуется просто переустановить операционную систему. Конечно, удаление и повторная установка Windows обязательно поможет. Но это долгий способ. Не забывайте, что вам еще нужно установить все необходимые драйвера и программы.

    В данной статье рассмотрены более простые и быстрые способы избавиться от баннеров-вымогателей.

    Запуск в безопасном режиме

    Если вы обнаружили, что при запуске Windows выскакивает баннер, блокирующий все функции компьютера, вам необходимо запустить операционную систему в режиме диагностики. Чтобы сделать это, следуйте представленным инструкциям:


    Таким образом вы попадете в диагностический режим Виндовс. Если вам это удалось, и баннера здесь нет, переходите к следующей части руководства. Если блокировка есть и в этом режиме, вам потребуется запустить ПК с помощью LiveCD (описано ниже).

    Как правило, вирус-баннер изменяет некоторые записи в реестре, что приводит к неисправной работе Windows. Ваша задача – найти все эти изменения и устранить их.

    Редактирование реестра

    Вызовите диалог «Выполнить» с помощью сочетания клавиш «Win» и «R». В открывшемся окошке нужно ввести команду «regedit» и нажать Энтер. Вы попадете в редактор реестра Windows. Внимательно следуйте инструкции, чтобы ничего не пропустить.

    С помощью каталога в левой части окна программы пользователям необходимо открыть следующие директории:

    · HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run

    Здесь нужно найти запись, отвечающую за автозапуск вашего баннера при старте системы. Далее ее следует удалить. Щелкните ПКМ по записи и выберите опцию «Удалить» в раскрывшемся контекстном меню. Смело удаляйте все подозрительное, это никак не скажется на работе вашей системы. Если удалите что-то лишнее, например автозапуск Skype, сможете все вернуть.

    · HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

    В этой папке нужно найти параметр с названием «Shell» и присвоить ему значение «explorer.exe» . Далее найдите запись «Userinit» и задайте ей значение «C:\Windows\system32\userinit.exe» . Чтоб редактировать записи, просто дважды кликайте по ним.

    · HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

    Также найдите параметры «Userinit» и «Shell» . Запишите где-нибудь их значения – это и есть пути к вашему баннеру. Удалите обе записи. В этой директории их быть не должно.

    Профилактика

    После того, как у вас получилось убрать все лишние записи из реестра Windows, вы можете закрыть редактор и запустить перезагрузку компьютера. Система должна запуститься без каких-либо проблем.

    Теперь вам нужно убрать «хвосты», которые остались от вредоносного скрипта. Откройте проводник Windows (Мой компьютер). Найдите файлы, на которые ссылались «неправильные» параметры «Shell» и «Userinit» и удалите их.

    После этого очень важно просканировать систему с помощью антивирусной программы. Желательно самой глубокой проверкой, которая есть в вашем антивирусе. Если у вас нет никакой защиты системы – немедленно скачайте и установите. Например, вы можете воспользоваться бесплатной программой от Майкрософт — Security Essentials. Загрузить ее можно по этой ссылке — https://www.microsoft.com/ru-ru/download/details.aspx?id=5201 .

    Далее в руководстве описывается, как удалить баннер, если он открывается даже во время запуска безопасного режима Виндовс.

    Создание Live CD от Kaspersky

    Если у вас не получается убрать баннер через безопасный режим, стоит воспользоваться LiveCD. Это специальная мини-ОС, которая записывается на диск или флешку. С ее помощью вы можете загрузиться и отредактировать поврежденный реестр или запустить утилиту для автоматического устранения неполадок.

    К примеру, вы можете воспользоваться бесплатным сервисом от Лаборатории Касперского. Для этого вам нужно создать загрузочную флешку или диск на другом, рабочем компьютере:

    Разблокировка через Live CD Касперского

    Чтобы убрать последствия заражения вирусами, вам понадобится выполнить следующее:

    Установочный диск

    Вы также можете воспользоваться установочным диском от своей операционной системы, чтобы избавиться от последствий заражения вирусами. К этому приходится прибегать, когда баннер появляется сразу после звукового сигнала БИОС, и у вас нет возможности использовать другие средства.

    Вставьте инсталляционный диск или загрузочную флешку с образом своей системы и перезагрузите ПК. Вызовите Boot Menu и выберите загрузку с внешнего носителя. Если потребуется, нажмите любую клавишу на клавиатуре. Далее удаление последствий вирусной атаки описано на примере Windows 7.

    Выберите язык интерфейса и нажмите «Далее». В нижней части экрана кликните по гиперссылке «Восстановление системы» . Откроется новое окно, в котором вам потребуется выбрать пункт «Командная строка» .

    В открывшей консоли введите команду «bootrec.exe /FixMbr» и нажмите Энтер. После этого введите еще одну команду — «bootrec.exe /FixBoot» и снова нажмите Enter. Также введите строку «bcdboot.exe c:\windows» (Если система установлена на другой диск, нужно указать его). Перезагрузите PC – и проблема будет решена.

    Июл 17

    Баннер — вымогатель, что это такое и как с ним справиться?!

    Здравствуйте, Дорогие посетители блога . На связи с Вами как всегда Дмитрий Смирнов, и в данной статье я хочу Вам рассказать о том, что такое баннер вымогатель и как собственно его можно убрать легко и просто.


    Является очень распространенным типом вирусов в настоящее время. Поймать их очень легко – простой браузинг в интернете уже может привести к получению такого баннера. И нет гарантии, что самый новый платный антивирус с обновленными базами данных его не пропустит. Впрочем, строго говоря, баннеры-вымогатели и не являются вирусами в традиционном понимании этого слова. Это вовсе не бесконтрольно размножающийся программный код, который заражает все новые и новые файлы, модифицирует их содержимое, и передается от машины к машине.

    Баннер вымогатель — ВИЧ 2004 — 2010 ГОДОВ!

    В таком случае его было бы легко выявить по распространяемой сигнатуре, что обычно и делают антивирусы. Но баннер-вымогатель не такой, он заражает лишь одну, целевую машину (с которой и был осуществлен заход на зараженный сайт). Далее баннер прописывает себя в автозагрузку (это возможно во множестве мест, и делается простой правкой реестра – программный код для такой операции минимален), возможно перед этим еще куда-то себя перемещает (в системный каталог операционной системы, переименовывает), а потом в том же реестре блокирует возможности отключения себя же – запрещает вызов менеджера процессов, редактора реестра, запуск вообще чего угодно. Итог этих операций общеизвестен – на весь экран открывается большой баннер, часто порнографического свойства, или, как вариант, сообщающий об использовании нелицензионной версии Windows, и т. д. Сделать что-либо пользователь не может, все блокировано, а баннер просит отправить SMS (естественно, платное) на определенный короткий номер, будто бы в ответ придет код, который позволит все разблокировать. По некоторым сведениям, только в России миллионы людей действительно слали такие SMS, и большинству из них, конечно же, никакой код не приходил. Конечно, и тут есть исключения, некоторые баннеры и правда работают “честно” – код приходит, и даже один из способов избавиться от баннера – это найти в интернете наиболее часто используемые коды и опробовать их. Но это очень дилетантский способ, обычно обреченный на неудачу. Баннер-вымогатель это обычный программный продукт, легко определяемый в системе “на глаз”, и легко удаляемый. Просто для неподготовленного пользователя его наличие кажется чем-то ужасным – компьютер позволяет лишь ввести код, а после перезагрузки кнопкой Reset все повторяется по новой.

    Рассмотрим способы удаления баннеров-вымогателей

    Их можно условно разделить на две группы – требующие перезагрузки компьютера и его последующей загрузки с другого носителя (другой жесткий диск, компакт-диск, флешка), и не требующие. Первая группа способов более надежна, так как всегда возможно стечение обстоятельств, когда особенно хорошо написанный баннер не позволяет удалить себя как-то иначе, такого способа просто нет (виноват тут сам пользователь, и есть простые методы предотвращения подобных ситуаций). Лечение производится в общем случае так – компьютер перегружается (кнопкой Reset, обычно другой возможности баннер и не оставляет), загружается с другого носителя, другой операционной системой.

    Здесь есть тысячи вариантов – LiveCD с операционными системами на базе разных версий Linux (есть такие решения и от производителей антивирусов, например известного продукта Dr. Weber, специальная утилита на образе диска, скачиваемом с сайта, которая сама удаляет большинство баннеров), на базе “урезанных” Windows XP Embedded, или просто с псевдографическим интерфейсом, позволяющим лишь выбирать что-то для запуска из ряда многих утилит, полезных не только в борьбе с вирусами (Hiren’s Boot CD и др.). Загрузившись с отдельной операционной системы нужно просканировать зараженный жесткий диск, удалить файл, в котором и хранится баннер, вернуть назад все изменения в реестре. Часто это все делает одна специальная утилита. Можно обойтись и вообще без утилит сканирования, и сделать все даже быстрее вручную, причем зайти с обратной стороны – сперва просмотреть, что же постороннего грузится при старте системы (в большинстве случаев как раз на этом этапе баннер-вымогатель себя и выдаст, в реестре будет видно, что при старте системы грузится какой-то файл с непонятным именем, или из директории типа C:\Documents and Settings\Default User\Local Settings\Temp\). Для этого можно использовать разные программы для просмотра содержимого файлов реестра. Такие существуют даже под MS-DOS. Одной из удобнейших программ такого рода является HiJackThis (под Windows) – она просматривает абсолютно все пути автозагрузки, которые только есть в системе. В выводе этой программы обязательно будет баннер – если он вообще есть. На самом деле баннер вымогатель уже прошедший вирус как и пенентратор!


    Ну а дальше все просто – файл удаляется (он бы не дал этого сделать, будучи загруженным – но в данный момент загружена другая операционка, и вредоносная программа ни на что не способна), и компьютер загружается по новой, уже нормально. Если в реестре остались изменения, которые предотвращают запуск диспетчера задач и др., их уже можно легко вернуть назад, хотя бы импортом файлов формата *. reg, которые можно найти в интернете. Запуск самого встроенного редактора реестра возвращается файлом с текстом типа REGEDIT4“DisableRegistryTools”=dword:0


    Баннер вымогатель. Борьба с баннером может быть произведена и без наличия специального загрузочного диска. Большинство таких баннеров все изменения вносят только в профиле текущего пользователя, под которым велась работа в момент заражения. И все что нужно – обычная перегрузка, вход под другим пользователем (с административными правами), и нахождение файла баннера, который под другим пользователем и не грузится. Если в конкретной операционной системе есть вообще лишь один пользователь с административными правами, под которым постоянно и ведется работа, и нету никаких других – это грубейший просчет, и такое надо немедленно исправить. Наилучшая практика вообще такая – работать постоянно под пользователем, который административных прав не имеет. А для всего, что требует таких прав, использовать “Запуск от имени…” – для установки нового ПО, и других подобных задач. Это убережет операционную систему не только от баннеров-вымогателей, а и от подавляющего большинства других вирусов, и не будет требовать системных ресурсов для работы. Возможны даже смешные ситуации, в которых сам баннер, или другая вредоносная программа, будут запрашивать запуск от имени администратора для своей установки. Есть еще немало других предупреждающих мер, которые застрахуют систему от заражения чем угодно – регулярное архивирование системных данных, запрет автозапуска дисков, запрет на редактирование веток реестра, отвечающих за автозагрузку, для постоянного пользователя, и многие другие.
    Кстати, в частном случае, если зараженным оказался как раз профиль единственного в системе администратора, но присутствует хотя бы один какой-то другой профиль, без административных прав, то можно произвести лечение и из-под него – запустить тот же HiJackThis от имени администратора. Так он и сможет искать по всех ветках реестра без ограничений, и не вызовет запуска баннера. Если зараженный файл нельзя удалить из-под конкретного пользователя – тогда надо запустить с административными правами (“Запуск от имени…”) любой файловый менеджер – Total Commander, Far, и др. , и удалять из него.


    Возможна ситуация, когда под рукой нет вообще ничего – никаких загрузочных дисков, ничего вообще. Только “голый” Windows, который вот уже заражен. И в этом случае возможно решение проблемы, тут уже надо использовать огрехи в написании вируса-баннера, которые часто допускаются. Например, баннер может перекрывать не весь экран полностью. Возможен переход на рабочий стол, выбор клавишей Tab “Мой компьютер”, запуск вручную “taskmgr” – и вот уже на экране диспетчер задач, из него уже возможно прибить баннер. Другой вариант решения – запуск хотя бы обычного блокнота (“notepad”, если набирать это вслепую, за баннером), набор там нескольких символов, а затем нажатие Ctrl-Alt-Delete и отправка системы в перезагрузку. Многие процессы закроются (и баннера в том числе) – а вот блокнот спросит, сохранять ли файл. Отменив все на этом этапе перегрузку можно остановить, и дальше уже искать файл баннера. Еще один оригинальный способ (требующий, правда, предварительных действий) – использование встроенного в Windows обработчика многократных нажатий клавиш – “залипаний”.
    Как он действует – при пятикратном нажатии любой кнопки выводит окно о залипании клавиш, с запросом о действии. Сам по себе этот обработчик залипаний не особо нужен, а вот если его файл sethc. exe, заменить файлом консоли, C:\Windows\System32\cmd. exe, то можно будет вызывать и командную строку просто пятикратным нажатием Shift, или его-то еще. Вызванная командная строка будет сверху баннера, и из нее можно уже сделать очень многое. Если следовать нескольким простым правилам, которые вообще никак не мешают каждодневной работе – иметь всегда резервный рабочий профиль еще одного пользователя с административными правами, и помнить пароль от него; регулярно делать копии системы (ntbackup. exe); иметь под рукой загрузочные диски с livecd-версией Windows и утилитами для борьбы с вирусами и редактированием файлов реестра, то не только баннеры-вымогатели, но и другие вирусы вряд ли смогут прервать работу за компьютером дольше, чем на пару перегрузок.