"Ваш компьютер заблокирован за просмотр...." или "Windows заблокирован"
?
На Вашем мониторе красуется такой или подобный баннер?
***Информация из источников со свободным доступом. Ваш компьютер заблокирован одной из
разновидностей вируса Troyan.Winlock.origin. А всё почему?
А потому, что Вы не заботитесь о безопасности Вашего
компьютера. Что делать, чтобы не подхватить эту заразу снова, написано далее Только не нужно отчаиваться и, тем
более, отправлять СМС по указаному номеру и уж совсем не
надо надеятся, что какой-то модуль оплаты напечатает Вам код на чеке. Кода может не существовать вообще , даже в базах данных антивирусов!!!
Тем временем - проблема решаема!!! ВНИМАНИЕ! Помните - после удаления модуля, блокирующего экран, любым из приведённых
ниже способов, нужно обязательно просканировать компьютер,
чтобы уничтожить его остатки в системе, одним из этих антивирусных сканеров.
Перед тем, как приступить к выполнению, каких-либо
действий очень важно понять, что и зачем делается. Я, да,
мне кажется, и никто другой не сможет дать такой универсальный совет, который поможет Вам
в любом случае. Вирусы ( а это, конечно же, они) пишутся разными людьми, с разным уровнем фантазии
и изобретательности. Тот совет, который идеально подойдёт под одну разновидность может не помочь Вам с
другой, если только Вы не будете понимать, что Вы делаете
и проявлять смекалку и находчивость комбинируя действия из разных способов, если это необходимо и
придумывая, на их основе, свои решения.
Баннер - это программа, самовольно записавшая себя в список автозагрузки с приоритетными правами по
отношению ко всем остальным программам Вашего компьютера, чаще всего блокирующая своим кодом важные
службы компьютера, с помощью которых Вы можете её удалить. Попутно с вымоганием денег, она может нести в
себе функцию шпиона, ворующего Ваши данные и пароли. Поэтому удаление любого такого банера сводится к следующим
действиям:
- Удаление вредоносной программы из списка автозагрузки.
- Запуск остановленных ею жизненно-необходимых служб операционной системы.
- Удаление всех остатков вредоносной программы из компьютера.
ИТАК:
Вариант 1:
Попробуйте СНАЧАЛА воспользоваться самым
простым способом решения проблем - восстановление системы.
Вариант 2:
Обратитесь за помощью на специализированые, для решения этой проблемы, сервисы: (кликните по
соответствующей картинке).
Вариант 3:
Попробуйте зайти в БИОС (при перезагрузке нажмите DEL) и преревести часы компьютера на сутки вперёд.
Появление информера может прекратиться (иногда помогает).
Вариант 4: (самый
сложный, но самый надёжный)
Если раньше такие блокираторы появлялись, в основном, на вполне ещё функционирующем рабочем столе,
т.е. работали меню кнопки Пуск, Панель управления и другие службы управления компьютером,
то теперь всё чаще этот "информер" полностью закрывает весь экран, и Рабочего стола, как такового,
нет вообще. То есть файл Explorer.exe (проводник Windows) не загружается вместе с системой
при запуске.
В любом случае Вам может помочь Диспетчер задач:
- Запустите Диспетчер задач одновременным нажатием клавиш Ctrl+Alt+Del или (если не
получается) Ctrl+Shift+Esc
- В диспетчере задач на вкладке Приложения, найдите неизвестную Вам программу, которую
видите впервые на Вашем компьютере (в последнем излечении с моим участием это называлось Form1)
выделите её мышью и кликните по кнопке Снять задачу. Если там нет таких, откройте вкладку
Процессы и найдите там, опять же, неизвестный Вам процесс (в нашем случае он назывался
nwiz.exe) выделите его и нажмите Завершить процесс. Если Вы нашли и завершили именно тот
процесс, "информер" сразу исчезнет с экрана.
Примечание: Бывает, что диспетчер задач отображается только при нажатых клавишах, а
если их отпустить - исчезает. В этом случае Вам придётся исхитрится и удерживая клавиши нажатыми одной
рукой, выполнять операции с мышью, другой. Пробуйте снова и снова, пока не получится удерживать окно
диспетчера открытым достаточное время. Ведь в безопасный режим Вы зайти не можете? Если можете -
читайте вариант 6 или вариант 7.
b>И ещё, не бойтесь завершить какой-то не тот процесс, максимум, что случиться - это
отключится компьютер, в этом случае его нужно просто снова запустить и больше тот процесс не
завершать.
- После того как "информер" исчез нужно, наконец, запустить Explorer. Для этого нажмите
клавиши Win+R (Win - клафиша с "флажком") и в появившееся окно так и впишите: explorer.exe,
затем нажмите клавишу Enter. Появится рабочий стол или хотя бы одна открытая папка и Вы сможете
совершать последующие действия.
- Если у Вас установлена любая программа, в которой можно совершать операции с автозапуском программ
(CCleaner,
TuneUP и др.), запустите её (если меню Пуск не работает, найдите её в папке
ProgramFiles и запустите оттуда или из той же командной строки), найдите в автозапуске программу,
которую Вы не добавляли туда или она Вам неизвестна, или подозрительна (скорее всего это будет что-то
похожее на название программы, которую Вы отключили, или совпадать с завершённым процессом) и удалите
её из списка.
Если ни одной программы для управления автозапуском нет, то в командной строке
(Win+R) наберите msconfig.exe, нажмите Enter и, в открывшемся окне, на вкладке
Автозагрузка сделайте то же самое (уберите галочку, чтобы отключить запуск.
- Скачайте и запустите антивирусный сканер (ссылки вверху), проведите полную антивирусную
проверку компьютера и удалите все найденные объекты. После окончания проверки перезапустите
компьютер. Если Вы всё сделали правильно, то этот (именно этот, не забудьте застраховаться от других) зловредный "информер" больше Вас не побеспокоит.
- На всякий случай стоит удалить все файлы из папки
C:\Document and Settings\[Ваша учётная запись]\Недавние документы (должно быть включено
отображение скрытых файлов и папок в Панель управления » Свойства папки), папки в которую
скачиваются файлы (по умолчанию - Мои документы » Downloads) и проверьте, не осталось ли
файлов и папок с похожим на удалённый процесс или программу названием в папке
C:\Documents and Settings\All Users\Application Data. Если найдёте - удаляйте.
Вариант 5: ( Нужен другой компьютер)
Вот ответ, полученный мной на, специально для этого сайта, посланный запрос, из службы поддержки компании
Dr.WEB.
Кстати, можете пройти по ссылке, рассказать о проблеме и послать скриншот Вашего
банера, ответ придёт Вам на почту (если укажете).
Попробуйте прибегнуть к этому совету (привожу без изменений):
- Скачайте ISO образ DrWeb Live CD: ftp://ftp.drweb.com/pub/drweb/livecd/
Подробная инструкция на русском языке в формате PDF по использованию LiveCD находится в этом же
каталоге FTP-сервера.
- Запишите загруженный образ на компакт-диск.
- Загрузите компьютер с использованием LiveCD.
- Произведите полную проверку всех дисков.
- Зараженные файлы необходимо лечить, неизлечимые - удалять.
- Если на компьютере не установлено никакого программного обеспечения для записи дисков,
скачайте бесплатную программу "Free ISO Burner" по следующей ссылке: www.freeisoburner.com
Она не требует установки и очень проста в использовании. Достаточно просто запустить скачанный
файл (FreeISOBurner.exe), в открывшемся окне нажмите кнопку "Open" и укажите скачанный ранее файл
образа загрузочного диска (minDrWebLiveCD-5.0.3.iso), убедитесь, что в поле "Drive" указано название
вашего привода и нажмите кнопку "Burn".
Вариант 6: (через
безопасный режим)
Шаг 1. перезагрузите
компьютер в Безопасном режиме:
- в левой нижней части экрана нажмите на кнопку Пуск » Завершение работы »
Перезагрузка
- нажмите кнопку F8 до того, как появится логотип Windows
- выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with
Command Prompt)
- нажмите клавишу Enter на клавиатуре
- в списке операционных систем выберите систему, в которую требуется выполнить вход
- нажмите клавишу Enter на клавиатуре
- дождитесь появления окна cmd.exe (окно командной строки) на экране
Что делать, если компьютер загружается только в обычном режиме?
Шаг 2. в окне
cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре
Шаг 3. в окне Рабочий
стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме
В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку
Нет (No).
Шаг 4. в левой нижней
части экрана нажмите на кнопку Пуск (Start) » Выполнить (Run)
Шаг 5. в окне Запуск
программы (Run) в поле Открыть (Open) введите regedit
Шаг 6. нажмите на кнопку
ОК
Шаг 7. в окне Редактор
реестра найдите ключ реестра Shell по следующему пути:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Шаг 8. нажмите правой
кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить.
Нет ключа Shell? Читайте ниже:
Шаг 9. в окне Изменение
строкового параметра запомните путь из поля Значение (указанный путь в поле Значение -
это путь к файлу вируса)
Шаг 10. закройте окно
Изменение строкового параметра
Шаг 11. нажмите правой
кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить
Шаг 12. в окне Подтверждение удаления параметра
нажмите на кнопку Да
Шаг 13. выберите раздел реестра SYSTEM по
следующему пути: HKEY_CURRENT_USER\SYSTEM
Шаг 14. нажмите правой кнопкой мыши на раздел реестра
SYSTEM и в контекстном меню выберите пункт Удалить
Шаг 15. в окне Подтверждение удаления раздела
нажмите на кнопку Да
Шаг 16. в окне командной строки cmd.exe введите
команду del и введите путь из поля Значение, который вы запомнили ранее
Шаг 17. нажмите клавишу Enter на клавиатуре
Шаг 18. перезагрузите компьютер в обычном режиме.
Источник: www.support.kaspersky.ru
Примечание к варианту 6:
Если у Вас нет ключа Shell, можно попробовать вообще запретить автозапуск программ,
на время удаления вируса (чтобы баннер не запускался и не мешал). Для автозапуска используется несколько
разделов реестра и каждый из них нужно будет отключить.
Для запрета запуска программ:
- прописанных в подразделе Run раздела LOCAL MACHINE используется параметр
DisableLocalMachineRun со значением 1. В этом случае система игнорирует содержимое списка
Run, находящегося в LOCAL MACHINE.
- запрет списка Run Once для LOCAL MACHINE производится с помощью параметра
DisableLocalMachineRunOnce. Система игнорирует содержимое RunOnce в LOCAL
MACHINE.
- запрет списка Run раздела CURRENT USER используется параметр
DisableCurrentUserRun.
- запрет списка Run Once раздела CURRENT USER используется параметр
DisableCurrentUserRunOnce.
Ну и после отключения автозапуска перезапустить компьютер в нормальный режим и,запустив exploer.exe. Начинать убивать зловредный вирус.
Ниже полные пути к ключам в ветвях HKEY CURRENT USER и HKEY LOCAL MASHINE (они идентичны
для обоих разделов):
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run,
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunOnce,
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunOnceEx,
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunOnce\ Setup,
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices,
SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServicesOnce,
которые могут содержать строковые параметры, с именами приложений или документов запускающиеся при
старте системы.
Так же, нужно помнить, что ключи, содержащиеся в разделе HKEY LOCAL MACHINE, отрабатываются
раньше соответствующих ключей, находящихся в разделе HKEY CURRENT USER, так-что запись
баннера, скорее всего находится именно там.
Источники: www.windxp.com.ru, www.hardtek.ru
(в моей редакции) В дополнение к вышесказанному приведу ссылку на форум dr. WEB Как удалить Winlock своими силами тут имеются еще способы борьбы с трояном.
|
|