<
  • Главная
Статьи

Windows заблокований

Повний набір локеров   Неоходимости набір інструментів   Варіанти вирішення проблемми:   Winlock, ransom, sms-blocker - його називають по різному, з'явився він у 2009
Повний набір локеров

Неоходимости набір інструментів

Варіанти вирішення проблемми:

Winlock, ransom, sms-blocker - його називають по різному, з'явився він у 2009. Я називаю цього паразита - порнодетектор, чому? -Про це трохи пізніше. З 2009 р вірус пристойно змінився, проте принципи видалення все ті ж.

Отже, якщо при включенні ПК ви побачили не робочий стіл, а картинку сумнівного змісту, ну або просто лякає текст і пропозиція відправити смс / поповнити рахунок - знайте, ви зловили ransom. Давайте позбудемося цієї зарази!

Є 2 типи вірусів блокувальників - одні просять відправити смс і отримати відповідь з кодом розблокування, інші вимагають пройти до найближчого платіжного терміналу і покласти грошей на рахунок, при цьому як свідчить банер на робочому столі: "Код для розблокування буде надрукований на чеку про оплату" .

Перше, що варто запам'ятати - все, що написано на банері про кримінальну відповідальність, видалення даних і т.д. - туфта. Друге - нікуди не відправляйте смс і не несіть гроші.

1. Видалення за допомогою "гарячих клавіш" операційної системи

Спосіб допомагає проти ранніх версій вірусів, останні модифікації блокують всі комбінації геть. Суть методу полягає в тому, щоб комбінацією клавіш запустити командний рядок або диспетчер задач Windows, і потім, з їх допомогою розправитися з загрозою.

Комбінація Win + R - викликає вікно "виконати", звідси можна запустити командний рядок-команда cmd або диспетчер задач-команда taskmgr, ще стане в нагоді tasklist. Послідовність - запускаємо cmd потім tasklist, знаходимо підозрілий процес з назвою що то типу 2clauncher і т.д. іноді це rundll32.exe. Запускаємо taskkill / f / im rundll32.exe (або ваше назва.) Після видалення запускаємо explorer.exe. І не забуваємо прогнати комп'ютер утилітами від доктора веба або касперского (посилання вище). В принципі, можна після Win + R викликати taskmgr і видаляти процес із загального списку, але дані віруси часто відключають диспетчер задач.

Комбінація CTRL + Shift + Esc - відразу відкриває диспетчер задач (якщо не відключений вірусом) зі списком процесів - знаходимо підозрілий і видаляємо.

Комбінація Win + U - викликає вікно, з якого можна запустити екранну лупу. Після її запуску відкривається додаткове вікно з кнопочкою "Ок", а поруч з кнопкою буде посилання на сайт Майкрософта. При натисканні на посилання - запускається інтернет-браузера та відображення сайт. Сайт нам не потрібен, але за допомогою таких маніпуляцій ми тепер можемо зайти на сайт деблокеров (посилання вище) або вобще виконати будь-яку програму на комп'ютері, наприклад редактор реєстру (file: /// c: /windows/regedit.exe), диспетчер задач file : /// c: /windows/system32/taskmgr.exe, і т.д. Однак, мені зустрічалися віруси які відкриття даної посилання блокують.

Якщо вам вдалося запустити редактор реєстру на цьому етапі - переходите до універсальної процедури лікування.
Головною умовою в цьому способі є те, що після закриття банера необхідно комп'ютер перевірити на віруси.

2. Видалення з безпечного режиму операційної системи

Деякі модифікації вірусу прописуючись в системному реєстрі не зачіпають ту частину, яка відповідає за завантаження в безпечному режимі. Особливо це часто відбувається на Windows 7 і Windows Vista. Увійти в безпечний режим можна, натискаючи при завантаженні комп'ютера, клавішу F8 (краще стукати безперервно), до тих пір поки на чорному тлі не з'являться варіанти завантаження ОС - вибираємо безпечний. Якщо в безпечному режимі вийшло увійти в систему - натискайте Пуск - Виконати - regedit. потім виконуйте універсальну процедуру лікування .

3. Видалення з використанням завантажувального диска.

Завантажуємося з образу. Після завантаження запускаємо редактор реєстру: Пуск - Виконати ... -в полі Відкрити введіть regedit. Завантажиться реєстр поточної системи, і тепер нам потрібно підключити до нього реєстр зараженої системи. Для цього виділіть потік HKEY_LOCAL_MACHINE, розкрийте її, натисніть Файл - завантажити кущ. У діалозі пройдете в папку C: \ Windows \ System32 \ config і оберіть файл SOFTWARE, натисніть Ок. ім'я куща після завантаження можна привласнити будь-яке - це не має значення. Потім переходите до універсальної процедури лікування. Не забудьте після закінчення виділити завантажений кущ і через меню Файл вивантажити його.

Універсальна процедура лікування

Суть процедури в тому, щоб за всяку ціну дістатися до реєстру зараженої системи. До речі, якщо реєстру не запускається (іноді вірус його відключає) його можна включити так: Пуск - Виконати ... в полі Відкрити: введіть gpedit.msc - Групова політика Політика «Локальний комп'ютер» - Конфігурація користувача - Адміністративні шаблони Система - справа у вікні Система подвійним клацанням лівої кнопки миші по рядку Зробити недоступними засоби редагування реєстру (Стан за замовчуванням Чи не задана) викличте вікно Властивості: Зробити недоступними засоби редагування реєстру встановлено перемикач Включений поставте Роз'єднатися н (або Чи не заданий) - Застосувати - OK

Отже, до реєстру ми дісталися тепер проробляти такі дії:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon, там - параметр shell, де має бути вказано explorer.exe і параметр userinit, де має бути вказано C: \ WINDOWS \ system32 \ userinit.exe.

Тут 2 варіанти: або в цих параметрах написана нісенітниця - тобто нехай до вірусу, або все в порядку, на перший погляд. Якщо в параметрах написано що то крім explorer.exe і userinit.exe - запам'ятовуємо те, що написано (не забудьте потім цим шляхом видалити вірус) потім міняємо на нормальні значення. Буває так, що написано explorer і userinit, але ніхто не заважає хакерам в словах використовувати спільно з англійськими літерами використовувати в слові explorer російську букву "е". Так що в будь-якому випадку міняйте значення на explorer.exe і userinit.exe.

Найчастіше, самі файли explorer.exe і userinit.exe у вашій системі модифіковані вірусом після зараження, так що необхідно замінити їх на вихідні. Нормальні файли варто покласти в папки: для explorer.exe це C: \ windows \, для userinit.exe це C: \ Windows \ system32. Також обидва файли необхідно помістити в папку C: \ Windows \ system32 \ dllcasche (може бути прихована). Всі файли при копіюванні необхідно переміщати з заміною.

Сподіваюся ви не закрили реєстр, тому що нам потрібно тут зробити ще дещо що:

Знайдіть гілку HKEY_LOCAL_MACHINE \ SOFTWARE \ MISROSOFT \ WindowsNT \ CurrentVersion \ Image File Execution Options \ і якщо там є taskmgr.exe - видаліть її .. зовсім. Цей параметр відповідає за підміну диспетчера задач калькулятором.

Потім, необхідно перевірити ще парочку затишних куточків. а саме: [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System] потрібно знайти параметр REG_DWORD DisableTaskMgr і встановити його значення 0 (або зовсім видалити цей параметр). Цей параметр створює вірус, щоб заблокувати диспетчер задач. Winlock вобще практично не використовує цей параметр, але перевірити варто.

Після того як всі параметри перевірені і відредаговані. Необхідно видалити файли вірусу (шлях до них ми побачили в реєстрі в параметрах shell і userinit) вручну або утилітами AVZ або Cureit. (Посилання вище).

Тепер можна перезавантажувати комп'ютер - вірус видалений. Не забудьте виконати повну перевірку ПК антивірусом.

2009. Я називаю цього паразита - порнодетектор, чому?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью