Windows заблокирован как вылечить
[dropshadowbox align=»none» effect=»lifted-both» width=»100%» height=»» background_color=»#ffffff» border_width=»1″ border_color=»#f6d939″ ]Это будет большая статья о том как разблокировать Ваш компьютер. В этой статье будет три вариант один из которых Вам точно поможет разблокировать windows.[/dropshadowbox] [dropshadowbox align=»center» effect=»lifted-both» width=»250px» height=»» background_color=»#ef542b» border_width=»1″ border_color=»#dddddd» ] 1 Вариант[/dropshadowbox]
Самый просто способ вылечить свой компьютер при заражении его «баннерным вирусом» это проделать следующие шаги по восстановлению системы на рабочее состояние, делать будем так:
- Перезагружаем компьютер в Безопасном режиме с поддержкой командной строки
- В командной строке введите команду c:WINDOWSsystem32Restorerstrui
- При запуске окна с восстановлением windows выбираем дату на которую Мы хотим восстановить наш Windows жмем далее и ждем некоторое время пока он перезагрузит компьютер и восстановит его на выбранный вами период (дату восстановления лучше выбирать не больше недели назад от инцидента)
[youtube url=»https://www.youtube.com/watch?v=9V2-B912QwE» width=»500″ height=»300″] - Но этот метод как самый простой и действенный имеет свои недостатки, так например если у Вас изначально не было включено «Восстановление системы» , то при вводе команды c:WINDOWSsystem32Restorerstrui Вы получите ошибку:
Восстановление системы отключено и не может быть запущено в безопасном режиме. Для восстановления системы перезагрузите компьютер в нормальном режиме и запустите восстановление системы.»
Этот способ увы не для Вас 
Но это не конец света, потому как Мы переходим к Варианту 2
[dropshadowbox align=»center» effect=»lifted-both» width=»250px» height=»» background_color=»#ef542b» border_width=»1″ border_color=»#dddddd» ] 2 Вариант[/dropshadowbox] 
Сегодня утром принесли ноутбук на котором при загрузке сразу появлялось окно о том что, windows заблокирован. Этот trojan winlock не такой как был раньше т.е. в котором надо было вводить код (его можно было получить на сайтах касперского и drweb). Но не будем вдаваться в теорию, а сразу перейдем к практике, т.е. к удалению этой гадости.
- изначально мы имеем winlock который заблокировал комп с таким текстом:
[dropshadowbox align=»none» effect=»lifted-both» width=»100%» height=»» background_color=»#ffffff» border_width=»1″ border_color=»#eeede9″ ]Microsoft Security обнаружил нарушение использования сети интернет Причина: Вы смотрели фильм содержащий гей-порно. для разблокировки Windows необходимо: пополнить номер абонента Билайн 8-963-666-94-10 на сумму 400 рублей Оплатить можно через терминал для оплаты сотовой связи После оплаты, на выданном терминальном чеке. Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.[/dropshadowbox]
Наши дальнейшие действия такие:
- перезагрузите компьютер в Безопасном режиме с поддержкой командной строки
- как компьютер загрузится и увидите командную строку введите regedit и у Вас запускается редактор реестра
- В реестре ищем пункт HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
- и в нем ищем строку Shell и проверяем что у нас там была только одна запись Explorer.exe (т.е. все что там есть Explorer.exe удаляем!!!)
- Далее перегружаем комп и радуемся загруженной винде
[youtube url=»https://www.youtube.com/watch?v=PMkAqvlaCU4″ width=»500″ height=»300″]
какие могут быть проблемы если этот вариант не сработал:
- Если Вы все сделали как я написал, но ни чего не происходит, то проверьте в этой же ветки реестра пункт Userinit в нем должна быть только одна запись: C:Windowssystem32userinit.exe, (все что там есть удаляем)
- Если же опять не сработало, то нужно сравнить файл userinit.exe на зараженном компе с файлом на рабочем компе, бывает так что другая модификация вируса подменяла файл userinit.exe и Explorer.exe . Сверять нужно с компа на котором стоит такая же операционная система (допустим Windows xp SP3 стоит на компе который поймал вирус и сравниваем файлы с рабочего компа на котором стоит тоже Windows xp SP3). Для того что бы у Вас в безопасном режиме с поддержкой командной строки загрузился рабочий стол в консоли(где до этого вводили команду regedit) вводим команду explorer , а далее ищем файлы userinit.exe который находится в директории C:WindowsSystem32 и сверяем файлы по размеру и дате создания.
— если все таки Вы поняли что эти файлы у вас были подменены, то я решал данную проблему так:
1) эти два файла можно было взять из директории C:WindowsSystem32dllcache либо если у Вас есть диск с windows с которого была установлена эта операционная система, то он там находится в папке I386 (под именем userinit.ex_ либо прямо как есть userinit.exe)
2) заменяете файлы и перезагружаете систему.
Очень надеюсь что у Вас все получилось через правку в реестре и Вам не пришлось копаться с заменами файлов, просто бывают разные ситуации и я сразу решил описать все способы.
[dropshadowbox align=»center» effect=»lifted-both» width=»250px» height=»» background_color=»#ef542b» border_width=»1″ border_color=»#dddddd» ] 3 Вариант[/dropshadowbox]
Если вы словили смс банер вымогающий денюжку «за просмотр и тиражирование детской порнографии». Этот вид банера кардинально отличается от того который я описывал в Варианте 1, хотя и методы удаления частично похожы
текст баннера такой:
Компьютер заблокирован
[dropshadowbox align=»none» effect=»lifted-both» width=»100%» height=»» background_color=»#ffffff» border_width=»1″ border_color=»#eeede9″ ]Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер телефона Билайн 89037310755 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.[/dropshadowbox]
Удаление этого баннера как я писал выше по первому варианту не получилось, ну это и хорошо, потому как этот способ очень легкий и простой.
Лидеры антивирусных продуктов такие как dr.web и Касперский быстро среагировали на данную ситуацию и предоставили пользователям свою помощь в удалении данной модификации баннерного вируса с компьютеров.
- Заходим на сайт dr.web https://www.drweb.com/xperf/unlocker/ и вводим в строку номер кошелька или телефон куда Вас просят положить деньги либо ищем в ручную баннер из списка (для этого нажмите на ссылку изображения)
- Если Вашего кода нету на сайте dr.web, то заходим на сайт Касперского https://sms.kaspersky.ru/ и скачиваем утилиту Kaspersky WindowsUnlocker по адресу https://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
[dropshadowbox align=»center» effect=»lifted-both» width=»250px» height=»» background_color=»#ef542b» border_width=»1″ border_color=»#dddddd» ] 4 Вариант [/dropshadowbox]
Есть разновидность этой гадости которая после попытки самолечения компьютера запускает второй вирус который перезаписывает загрузочную область диска и после перезагрузки Вы увидите на черном экране след текст :
Which Windows installation would you like to log onto (To cancel, press ENTER) and I type 1 (либо смотри картинку ниже)
Данная гадость тоже лечить, но в этом Вам поможет моя другая статья на тему — Как восстановить загрузчик windows
[dropshadowbox align=»center» effect=»lifted-both» width=»550px» height=»» background_color=»#ef542b» border_width=»1″ border_color=»#dddddd» ] Советы по защите от Trojan.Winlock [/dropshadowbox]
Для защиты от данной проблемы, да и от проблем вообще с компом я могу дать много, но самые Важные которые нужно соблюдать для максимальной защиты компьютера это:
- Лицензионная копия Windows -Желательно что бы операционная система у Вас была установлена на компьютер без разных сторонних твиков и дополнений, лучше использовать диск лицензионной копии на которой кроме windows ни чего нету (т.е. те которые продаются в магазинах).
- Антивирус — к антивирусам я отношусь очень серьезно и за все года для меня был зарекомендован только один бренд, это Касперский. Да он подтормаживает иногда комп, но он и отрабатывает свои минусы с лихвой!
- Не скачивать программы с неизвестных сайтов — кряки, активации, аудио книги, игры и прочую фигню люди не заморачиваясь начинают искать просто вбив запрос в яндекс или гугл и кликать на все кнопки где написано «скачать» . Мой совет и я себя уже и своих всех тоже приучил, если что то хотите скачать, то используйте торенты, я использую rutracker или nnm-club там хоть на половину можно быть спокойным что софт там проверенный.
Ну а на последок скажу так, что 90% компьютерных ошибок сидят в 50 см от монитора. Будьте бдительны и осторожны и у Вас ни когда не будет проблем. Всем удачи и пишите Ваши вопросы если не получилось разблокировать windows, будем разбираться вместе.
Источник
17.10.2013  windows | лечение вирусов
Если, в очередной раз включив компьютер, вы увидели сообщение о том, что Windows заблокирован и нужно перевести 3000 рублей для того, чтобы получить номер разблокировки, то знайте несколько вещей:
- Вы не одиноки — это один из самых распространенных видов вредоносного ПО (вируса)
- Никуда и ничего не отправляйте, номера вы скорее всего не получите. Ни на счет билайн, ни на мтс ни куда-либо еще.
- Любой текст о том, что полагается штраф, грозит УК, упоминания о Microsoft security и прочее — это не более чем выдуманный горе-вирусописателем текст, чтобы ввести вас в заблуждение.
- Решить проблему и убрать окно Windows заблокирован довольно просто, сейчас мы и разберем, как это сделать.
Типичное окно блокировки Windows (не настоящее, сам нарисовал)
Надеюсь, вводная часть была достаточно ясной. Еще один, последний момент, на который обращу ваше внимание: не стоит искать по форумам и на специализированных сайтах антивирусов коды разблокировки — навряд ли вы их найдете. То, что в окне имеется поле для ввода кода, не означает, что такой код есть на самом деле: обычно мошенники не «заморачиваются» и не предусматривают его (особенно в последнее время). Итак, если у вас любая версия ОС от Microsoft — Windows XP, Windows 7 или Windows 8 — то вы потенциальная жертва. Если это не совсем то, что вам нужно, посмотрите другие статьи в категории: Лечение вирусов.
Как убрать Windows заблокирован
Первым делом, я расскажу, как проделать эту операцию вручную. Если вы хотите использовать автоматический способ удаления этого вируса, то перейдите к следующему разделу. Но отмечу, что несмотря на то, что автоматический способ, в целом, проще, возможны и некоторые проблемы после удаления — наиболее распространенная из них — не загружается рабочий стол.
Запуск безопасного режима с поддержкой командной строки
Первое, что нам потребуется для того, чтобы убрать сообщение Windows заблокирован — зайти в безопасный режим с поддержкой командной строки Windows. Для того, чтобы это сделать:
- В Windows XP и Windows 7, сразу после включения начните лихорадочно нажимать клавишу F8, пока не появится меню альтернативных вариантов загрузки и выберите соответствующий режим там. Для некоторых версий BIOS нажатие F8 вызывает выбор меню устройств для загрузки. Если такое появится, выберите ваш основной жесткий диск, нажмите Enter и в ту же секунду начинайте нажимать F8.
- Зайти в безопасный режим Windows 8 может оказаться сложнее. О различных способах сделать это вы можете прочитать здесь. Самый быстрый — неправильно выключить компьютер. Для этого, при включенном ПК или ноутбуке, глядя на окно блокировки, нажмите и удерживайте кнопку питания (включения) на нем в течение 5 секунд, он выключится. После очередного включения вы должны попасть в окно выбора вариантов загрузки, там нужно будет отыскать безопасный режим с поддержкой командной строки.
Введите regedit, чтобы запустить редактор реестра
После того, как командная строка запустилась, введите в нее regedit и нажмите Enter. Должен открыться редактор реестра, в котором мы и будем проделывать все необходимые действия.
Прежде всего, в редакторе реестра Windows следует зайти в ветку реестра (древовидная структура слева) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, именно здесь, в первую очередь располагают свою записи вирусы, блокирующие Windows.
Shell — параметр, в котором наиболее часто запускается вирус Windows Заблокирован
Обратите внимание на два параметра реестра — Shell и Userinit (в правой области), их правильные значения, вне зависимости от версии Windows, выглядят следующим образом:
- Shell — значение: explorer.exe
- Userinit — значение: c:windowssystem32userinit.exe, (именно с запятой на конце)
Вы же, скорее всего, увидите несколько иную картинку, особенно в параметре Shell. Ваша задача — кликнуть правой кнопкой мыши по параметру, значение которого отличается от нужного, выбрать «Изменить» и вписать нужное (правильные написаны выше). Также обязательно запомните путь к файлу вируса, который там указан — мы его чуть позже удалим.
В Current_user параметра Shell быть не должно
Следующий шаг — зайти в раздел реестра HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon и обратить внимание на тот же параметр Shell (и Userinit). Тут их быть вообще не должно. Если есть — нажимаем правой кнопкой мыши и выбираем «Удалить».
Далее идем в разделы:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
И смотрим, чтобы ни один из параметров этого раздела не вел к тем же файлам, что и Shell из первого пункта инструкции. Если таковые имеются — удаляем их. Как правило, имена файлов имеют вид набора цифр и букв с расширением exe. Если есть что-то подобное, удалите.
Закройте редактор реестра. Перед вами снова будет командная строка. Введите explorer и нажмите Enter — запустится рабочий стол Windows.
Быстрый переход к скрытым папкам с использованием адресной строки проводника
Теперь зайдите в проводник Windows и удалите файлы, которые были указаны в удаленных нами разделах реестра. Как правило, они находятся в глубине папки Users и добраться до этого месторасположения не так-то просто. Самый быстрый способ это сделать — указать путь к папке (но не к файлу, иначе он запустится) в адресной строке проводника. Удалите эти файлы. Если они находятся в одной из папок «Temp», то можно без страха очистить эту папку вообще от всего.
После того, как все эти действия были совершены, перезагрузите компьютер (в зависимости от версии Windows, возможно потребуется нажать Ctrl + Alt + Del.
По завершении вы получите работающий, нормально запускающийся компьютер — «Windows заблокирован» больше не появляется. После первого запуска рекомендую открыть Планировщик заданий (Расписание выполнения задач, можно найти через поиск в меню Пуск или на начальном экране Windows 8) и посмотреть, чтобы там не было странных заданий. При обнаружении удалить.
Убираем Windows заблокирован автоматически с помощью Kaspersky Rescue Disk
Как я уже сказал, этот способ убрать блокировку Windows несколько проще. Вам потребуется с работающего компьютера скачать Kaspersky Rescue Disk с официального сайта https://support.kaspersky.ru/viruses/rescuedisk#downloads и записать образ на диск или загрузочную флешку. После этого, нужно загрузиться с этого диска на заблокированном компьютере.
После загрузки с Kaspersky Rescue Disk вы сначала увидите предложение нажать любую клавишу, а после этого — выбор языка. Выбираем тот, который удобнее. Следующий этап — лицензионное соглашение, для того, чтобы его принять, нужно нажать 1 на клавиатуре.
Меню Kaspersky Rescue Disk
Появится меню Kaspersky Rescue Disk. Выберите Графический режим.
Настройки сканирования на вирусы
После этого запустится графическая оболочка, в которой можно делать очень многие вещи, но нас интересует быстрая разблокировка Windows. Отметьте галочками «Загрузочные сектора», «Скрытые объекты автозагрузки», а заодно можно отметить и диск C: (проверка займет намного больше времени, но будет более эффективной). Нажмите «Выполнить проверку».
Отчет о результатах проверки в Kaspersky Rescue Disk
После завершения проверки вы можете посмотреть отчет и увидеть, что именно было проделано и каков результат — обычно, чтобы убрать блокировку Windows, такой проверки оказывается достаточно. Нажмите «Выход», а затем выключите компьютер. После выключения вытащите диск или флешку Kaspersky и снова включите ПК — Windows больше не должен быть заблокирован и вы сможете вернуться к работе.
Источник
Борьба с троянцами семейства
WinLock и MbrLock
(блокировщики Windows)
Актуальность вопроса
Троянцы, блокирующие работу
Windows, с сентября 2009 года — одни из самых распространенных по частоте
проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов —
блокировщики Windows. Общее название подобных вредоносных программ —
Trojan.Winlock.XXX, где XXX — номер, присвоенный сигнатуре, которая позволяет
определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные
программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое
случается значительно реже.
Внешне троянец может быть двух
принципиальных видов. Первый: заставка на весь экран, из-за которой не видно
рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран
полностью, но баннер все равно делает невозможной полезную работу с ПК,
поскольку всегда держится поверх любых других окон.
Вот классический пример
внешнего вида программы Trojan.Winlock:
Цель троянца проста: добыть для
вирусописателей побольше денег с жертв вирусной атаки.
Наша задача — научиться быстро
и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После
устранения проблемы необходимо написать заявление в полицию и предоставить
сотрудникам правоохранительных органов всю известную вам информацию.
Внимание! В текстах многих
блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось
10 попыток ввода кода», «в случае переустановки Windows все данные будут
уничтожены» и т. д.). В основном это не более чем блеф.
Алгоритм действий по борьбе с Trojan.Winlock
Модификаций блокировщиков
существует великое множество, но и число известных экземпляров очень велико. В
связи с этим лечение зараженного ПК может занять несколько минут в легком случае
и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться
приведенного ниже алгоритма:
1. Подбор кода разблокировки.
Коды разблокировки ко многим троянцам уже известны и занесены
в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы
воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/
и попробуйте подобрать код. Инструкция по работе с базой
разблокировки:
https://support.drweb.com/show_faq?qid=46452743&lng=ru
Прежде всего, попробуйте
получить код разблокировки, воспользовавшись формой, позволяющей ввести текст
сообщения и номер, на который его нужно отправить. Обратите внимание на
следующие правила:
Если требуется перевести деньги на счет или
телефонный номер, в поле Номер необходимо указать номер счета или
телефона, в поле Текст ничего писать не нужно.Если требуется перевести деньги на телефонный
номер, в поле Номер необходимо указать номер телефона в формате
8хххххххххх, даже если в баннере указан номер без цифры 8.Если требуется отправить сообщение на короткий
номер, в поле Номер укажите номер,в поле Текст — текст сообщения.
Если
сгенерированные коды не подошли — попробуйте вычислить название вируса с помощью
представленных картинок. Под каждым изображением блокировщика указано его
название. Найдя нужный баннер, запомните название вируса и выберите его в
списке известных блокировщиков. Укажите в выпадающем списке имя вируса,
поразившего ваш ПК, и скопируйте полученный код в строку баннера.
Обратите внимание, что, кроме
кода, может быть выдана другая информация:
Win+D to unlock
— нажмите комбинацию клавиш
Windows+D для разблокировки.
any 7 symbols
— введите любые 7 символов.
Воспользуйтесь генератором выше
или use generator above
— используйте для получения кода разблокировки форму Номер-Текст
в правой части окна.
Используйте форму
или Пожалуйста,
воспользуйтесь формой — используйте для получения кода разблокировки
форму Номер-Текст в правой части окна.
Если подобрать ничего чего не
удалось
2. Если система заблокирована частично. Этот шаг относится
к случаям, когда баннер «висит» в середине экрана, не занимая его целиком.
Если доступ заблокирован полностью — переходите сразу к шагу 3. Диспетчер задач
при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить
вредоносный процесс обычными средствами нельзя.
Пользуясь остатками свободного пространства на экране, сделайте следующее:
1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt!
https://www.freedrweb.com/cureit/
. Если вирус благополучно удален, дело можно считать сделанным, если ничего не
найдено — переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке
https://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный
файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу,
перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с
сайта
Microsoft: https://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если
запуск удался —
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет
процесс,
который отвечает за работу баннера.
3. Если доступа нет совсем.
Обычно
блокировщики полностью загромождают баннером экран, что делает невозможным
запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо
загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB
https://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки
загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему.
Если нет — переходите к шагу 4.
4. Ручной поиск вируса. Если вы дошли до этого пункта, значит
поразивший систему
троянец — новинка, и искать его придется вручную.
Для удаления блокировщика вручную необходимо получить доступ к
реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.
Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceПутем подмены системных файлов(одного или нескольких)
запускаемых в ветке HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon
или, например, файла taskmgr.exe.
Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства
работы с внешним реестром).
Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или
флешки, после чего скопируйте на флеш- карту следующие файлы:
C:WindowsSystem32configsoftware
*файл не имеет расширения*
C:Document and SettingsВаше_имя_пользователяntuser.dat
В этих файлах содержится системный реестр зараженной машины.
Обработав их в программе Regedit, мы сможем очистить реестр от последствий
вирусной активности и одновременно найти подозрительные файлы.
Теперь перенесите указанные файлы на функционирующий ПК под
управлением Windows и сделайте следующее:
Запустите Regedit, откройте куст HKEY_LOCAL_MACHINE
и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software, задайте имя (например,
текущую дату) для раздела и нажмите ОK.
В этом кусте необходимо проверить следующие ветки:
MicrosoftWindows NTCurrentVersionWinlogon:
Параметр Shell должен быть равен Explorer.exe. Если перечислены
любые другие файлы — необходимо записать их названия и полный путь к ним. Затем
удалить все лишнее и задать значение Explorer.exe.
Параметр userinit должен быть равен
C:Windowssystem32userinit.exe, (именно так, с запятой на конце, где C —
имя системного диска). Если указаны файлы после запятой — нужно записать их
названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием
MicrosoftWindowsNTCurrentVersionwinlogon. Если эта
ветвь есть, ее необходимо удалить.
MicrosoftWindowsCurrentVersionRun — ветвь содержит
настройки объектов автозапуска.
Особенно внимательно следует отнестись к наличию здесь объектов,
отвечающих следующим критериям:
Имена напоминают системные процессы, но программы запускаются
из других папок
(например, C:Documents and SettingsDimasvchost.exe).Имена вроде vip-porno-1923.avi.exe.
Приложения, запускающиеся из временных папок.
Неизвестные приложения, запускающиеся из системных папок
(например, С:Windowssystem32install.exe).Имена состоят из случайных комбинаций букв и цифр
(например, C:Documents and SettingsDima�94238387764�94238387764.exe).
Если подозрительные объекты присутствуют — их имена и пути
необходимо записать, а соответствующие им записи удалить из автозагрузки.
MicrosoftWindowsCurrentVersionRunOnce — тоже ветвь
автозагрузки, ее необходимо проанализировать аналогичным образом.
Завершив анализ, нажмите на имя загруженного раздела (в нашем
случае он называется по дате) и выполните Файл –> Выгрузить куст.
Теперь необходимо проанализировать второй файл — NTUSER.DAT.
Запустите Regedit, откройте куст HKEY_LOCAL_MACHINE и выполните
Файл –> Загрузить куст. В открывшемся окне укажите путь к файлу
NTUSER.DAT, задайте имя для раздела и нажмите ОK.
Здесь интерес представляют ветки
SoftwareMicrosoftWindowsCurrentVersionRun и
SoftwareMicrosoftWindowsCurrentVersionRunOnce, задающие объекты
автозагрузки.
Необходимо проанализировать их на наличие подозрительных
объектов, как указано выше.
Также обратите внимание на параметр Shell в ветке
SoftwareMicrosoftWindows NTCurrentVesionWinlogon. Он должен иметь
значение Explorer.exe. В то же время, если такой ветки нет вообще — все в
порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он
называется по дате) и выполните Файл –> Выгрузить куст.
Получив исправленный реестр и список подозрительный файлов,
необходимо сделать следующее:
Сохраните реестр пораженного ПК на случай, если что-то было
сделано неправильно.Перенесите исправленные файлы реестра в соответствующие папки
на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов).
Файлы, информацию о которых вы записали в ходе работы — сохраните на флешке
и удалите из системы. Их копии необходимо отправить в вирусную лабораторию
компании «Доктор Веб» на анализ.Попробуйте загрузить инфицированную машину с жесткого диска.
Если загрузка прошла
успешно и баннера нет — проблема решена. Если троянец по-прежнему
функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом
всех уязвимых и часто используемых вирусами мест системы.
Внимание! Если после лечения с помощью Dr.Web LiveCD/USB
компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:
Убедитесь, что в папке config находится один файл software.
Проблема может возникать, потому что в Unix-системах регистр в имени файлов
имеет значение (т. е. Software и software — разные имена, и эти
файлы могут находиться в одной папке), и исправленный файл software может
добавиться в папку без перезаписи старого. При загрузке Windows, в которой
регистр букв роли не играет, происходит конфликт и ОС не загружается. Если
файлов два — удалите более старый.
Если software один, а загрузка не происходит, высока
вероятность, что система поражена «особенной» модификацией Winlock. Она
прописывает себя в ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon, в параметр Shell и перезаписывает файл
userinit.exe. Оригинальный userinit.exe хранится в той же папке, но
под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe
и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но
найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего
попробовать загрузиться с жесткого диска.
На каком бы из этапов ни кончилась битва с троянцем,
необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и
регулярно
обновляйте вирусные базы.
Источник
