Как разблокировать Windows от вируса-вымогателя
Как правило, это «троян» из семейства Winlock. Определить его легко: если на экране появляется изображение порнографического или, наоборот, делового характера, и при этом компьютер прекращает отвечать на команды – это наш клиент.
Баннер при этом часто содержит сообщение «Ваш компьютер заблокирован» и предложение отправить платное SMS или внести деньги на указанный счёт, — якобы только после этого вредный баннер (а с ним и блокировка ПК) исчезнет. На изображении даже есть поле, куда нужно вписать специальный код, который должен прийти после выполнения вышеуказанных требований. Принцип действия таких вредоносных элементов сводится к подмене параметров Shell в оболочке операционной системы и нивелированию функций проводника Виндовс
Есть несколько поколений вирусов-вымогателей. Некоторые из них обезвреживаются в пару кликов, другие требуют манипуляций посерьезней. Мы приведём способы, применив которые, вы сможете справиться с любым трояном такого рода.
Способ №1
Этот метод сработает против примитивных троянов. Попробуйте вызвать обычный диспетчер задач (комбинация клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC). Если это удастся, найдите в перечне процессов то, что не должно быть запущено, и завершите его.
Если диспетчер не вызывается, можно еще воспользоваться менеджером процессов через клавиши Win+R. В поле «Открыть» впишите слово «notepad» и нажимайте ENTER, — таким образом, вы откроете приложение Блокнот. В отрывшемся окне приложения наберите произвольные символы и коротко нажмите кнопку включения/выключения на своем ноутбуке или стационарном ПК. Все процессы, в том числе, и троянский, тут же завершатся, но компьютер не выключится. Пока вирус деактивирован, вы сможете найти относящиеся к нему файлы и ликвидировать их или же выполнить проверку антивирусом.
Если вы не успели установить антивирусное ПО, вы спросите: как удалить вирус-вымогатель с компьютера? В большинстве случаев отпрыски злобного семейства Winlock пробираются в каталоги каких-нибудь временных файлов или временные файлы браузера. Прежде всего, проверьте пути:
C: \ Documents and Settings \каталог, в котором указано имя пользователя \ и
C: \ Users \ каталог по имени пользователя \ AppData \ Roaming \.
Там ищите «ms.exe», а также подозрительные файлы с произвольным набором символов вроде «0.277949.exe» или «Hhcqcx.exe» и удалите их.
Способ №2
Удаление файлов вируса в безoпасном рeжиме
Если первый способ не подействовал и Виндовс заблокирован — что делать в таком случае? Здесь также расстраиваться не стоит. Значит, мы столкнулись с продвинутым троянчиком, который подменяет системные компоненты и устанавливает блокировку на запуск Диспетчера задач.
В этом случае нам придётся выбрать работу в безопасном режиме. Перезагрузите компьютер. При запуске Windows удерживайте F8. В отобразившемся меню выберите «Безопасный режим с поддержкой командной строки».
Дальше в консоли следует написать: «explorer» и нажать ENTER — вы запустите проводник. После этого прописываем в командной строке слово «regedit» и снова-таки жмём ENTER. Так мы вызовем редактор реестра. В нём вы сможете найти созданные трояном записи, а еще — место, откуда происходит его автозапуск.
Пути к файлам злопакостного компонента будут, скорее всего, в ключах Shell и Userinit (в первом он прописывается explorer.exe, а в «Userinit» его легко определить по запятой). Дальше порядок действий таков: копируем полное имя обнаруженного вирусного файла правой кнопкой в буфер обмена, в командной строке пишем «del», после чего ставим пробел и вставляем скопированное имя. ENTER – и готово. Теперь вы знаете, как удалить вирус-вымогатель.
Также делаем и с остальными заразными файлами.
Способ № 3
Загружаем систему в безопасном режиме, как это описано выше. В командной строке прописываем: «C:\WINDOWS\system32\Restore\rstrui.exe». Современные версии поймут и просто «rstrui». Ну и, естественно, ENTER.
Перед вами всплывет окно «Восстановление системы». Здесь вам нужно будет выбрать точку восстановления, а вернее – дату, предшествующую попаданию вируса на ПК. Это может быть вчерашний день, а может быть месяц назад. Словом, выбирайте то время, когда ваш компьютер был 100% чист и здоров. Вот и вся разблокировка Windows.
Способ №4.
Этот способ предполагает, что у вас есть время загрузить софт с другого компьютера или сходить за ним к другу. Хотя, может быть, вы предусмотрительно им уже обзавелись?
Специальное ПО для экстренного лечения и восстановления системы многими разработчиками поставляется прямо в антивирусных пакетах. Однако аварийный диск можно также скачать отдельно — бесплатно и без регистрации.
Вы можете воспользоваться ESET NOD32 LiveCD, Comodo Rescue Disk, Kaspersky Rescue Disk или Dr.Web LiveDisk . Все эти приложения работают по одному принципу и могут быть размещены как на CD, DVD, так на USB-накопителе. Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно — вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.
Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно — вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.
Вывод:
Если разблокировка Windows, удаление баннера с рабочего стола проведены успешно, не спешите на радостях обо всём забыть и дальше так же беспечно бороздить просторы Интернета. Раз в вашей системе безопасности есть брешь, поторопитесь скачать антивирус. Мы рекомендуем выбрать один из лучших вариантов бесплатной защиты от всех типов вирусов – Avast Free Antivirus , AVG Antivirus Free или 360 Total Security .
Как убрать вирус «Ваш компьютер заблокирован за нарушение закона». Или привет от ФСБ
Всем хороших выходных! Сегодня будем говорить о довольно популярном способе вымогательства денег в интернете. Ведь многие пользователи не раз сталкивались с проблемой, когда рабочий стол компьютера блокировал баннер.
А этот баннер есть не что иное, как самый обычный вирус , который просит у вас денег и пугает фразой » Ваш компьютер заблокирован за нарушение закона «. Так вот, никогда никому не платите за такую разблокировку. Все равно обманут.
Содержание статьи:
Что делать в случае заражения вирусом баннера-вымогателя
Как удалить вирусный баннер «Ваш компьютер заблокирован»
Инструкция по работе с программой для удаления троянцев
Как вы уже поняли, суть баннера-вымогателя заключается в том, что на ПК жертвы проникает специальный скрипт, который блокирует рабочий стол и за якобы снятие такой блокировки просит перечислить деньги. Вот один из таких примеров:
И чем только бедных людей не пугают: МВД, ФСБ, грозятся затаскать по судам и все такое прочее. Но помните, что это обман чистой воды, который организован для вымогательства денег и не более того.
Даже если пойти на поводу у этих закомплексованных дебилов, которые пытаются таким способ еще и самореализоваться в Сети, то все равно блок не снимется. Да и удаляется он довольно легко и просто. Так что ни бойтесь, все будет хорошо.
Итак, друзья, чтобы разобраться с таким вирусом, нам нужно будет сделать специальную аварийную флешку, с которой мы загрузимся и обойдем данную заразу:
Для этого, первым делом, автор хотел использовать утилиту Kaspersky Rescue Disk. Но почему-то на тестовом ноутбуке она так и не смогла запуститься. Та же самая история вышла и с ESET NOD32 LiveCD. Просто наваждение какое-то.
И честно говоря, уже опустились руки, но все-таки выход был найден. Вот он, аварийный загрузочный диск Dr.Web LiveDisk . Скачиваем его по ссылке отсюда . Надо сказать, что файл довольно большой, весит около 740 Мб.
Но зато работает очень стабильно и эффективно. Поэтому давайте запускать скачанный дистрибутив:
В открывшемся окне выбираем нашу флешку и обязательно ставим галку напротив опции форматирования накопителя:
Кстати, помните, что после таких процедур, вся информация с USB-носителя будет полностью удалена. Имейте это в виду, чтобы потом не кусать себе локти. Теперь жмем внизу кнопку «Создать Dr.Web LiveUSB».
Запустится процесс копирования необходимых файлов, в завершение которого будет показано вот такое радостное сообщение:
Ну что же, дамы и господа, теперь переходим к истреблению ненавистной фразы «Ваш компьютер заблокирован за нарушение закона». Для этого нужно перезапустить компьютер и выставить в БИОСе загрузку с только что созданного носителя.
Как это делается в деталях, напрямую зависит от конкретной марки и модели ПК. Один из вариантов, на примере автора статьи, был подробно рассмотрен в этой публикации . Это касается новых микропрограмм с функциями UEFI.
По более старым, а потому весьма распространенным БИОСам, информация есть в обучающем видеоролике от самих разработчиков утилиты Dr. Web LiveCD. Да и вообще, настоятельно рекомендую данное видео к просмотру от начала до конца:
Ну что же, у нас уже установлена в БИОС загрузка с USB, начинаем включение:
Пошла первоначальная работа, появляется вот такое стартовое окно:
Выбираем пункт «Dr.Web LiveDisk» и русский язык внизу. После этого некоторое время нужно подождать, так как начнет запускаться графическая оболочка. Вот она какая:
Так, первым делом пробуем обновить антивирусные базы, чтобы встретить врага во всеоружии и с полной мощью:
Помним, что для того, чтобы в таком режиме на ПК был интернет, он должен быть соединен кабелем с домашним модемом, который настроен в режиме роутера . В нашем случае, все закончилось успехом:
Ну что же, друзья, давайте переходить непосредственно к лечению и удалению заразы. И для этого нужно запустить антивирусный сканер под названием Dr.Web CureIt :
Он очень прост в использовании и настройке:
Да что тут говорить, мы ведь уже раньше с вами очень подробно его рассматривали вот в этой статье . Поэтому настоятельно рекомендую ее еще раз перечитать, чтобы узнать, как запускать полную проверку системы.
Ведь если сразу нажать на кнопку «Начать проверку», то запустится анализ эдаким экспресс-методом. А в нашем случае, баннер-вымогатель можно вытравить только глубоким сканированием системы Windows.
После того как утилита завершит свою работу, можно перезагрузить компьютер и, по идее, проклятый баннер с надписью «Ваш компьютер заблокирован за нарушение закона» должен исчезнуть:
Ну а если нет, то помним, что прямо из-под оболочки Dr.Web LiveDisk все равно можно сидеть без проблем в интернете:
Хотя, конечно же, это была очередная неудачная шутка автора. Так что ни волнуйтесь, все вирусы должны сгинуть раз и навсегда. А на этом всем пока и до новых встреч.
SetupComp
Как убрать баннер Windows заблокирован
Программы, блокирующие операционную систему (винлокеры), встречаются достаточно часто – это, наверное, самый распространенный вид вирусов.
Они представляют собой вредоносный код, который блокирует операционную систему. Если Вы стали счастливым обладателем винлокера – не стоит пугаться, в большинстве своем это пpоделки криворуких школьников и студентов, и убрать их при наличии некоторого количества мозга не представляет большого труда.
В одной из своих статей я уже рассказывал Вам, как убрать баннер Windows заблокирован, подробно можете ознакомиться в этой нашумевшой статье в сети Интернет.
Как удалить вирус-вымогатель с компьютера?
Итак, винлокеры делятся на:
— Запускаемые пользователем (трояны в файлах).
— Запускающиеся автоматически (из браузера, используют уязвимости).
Алгоритм работы винлоков заключается в следующем:
После запуска винлокер прописывает себя в автозагрузку и блокирует клавиатуру, кнопку «Пуск», эксплорер… да почти все, информируя о том, что Вы должны выполнить некоторые действия для успешной разблокировки своего компьютера. А как раз таки для разблокировки предлагается отправить платное SMS сообщение или перевести деньги на указанный электронный кошелек. Недалеких пользователей винлокер запугивает «удалением всех данных», «поломкой компьютера» и прочими казнями, что является обычной провокацией.
Выглядят такие баннеры-вымогатели примерно так.
Ни в коем случае не платите — ключ Вы не получите. А только разоритесь и еще больше разочаруетесь, а последнее как раз таки будет являться фактором влияющий на Ваше здоровье.
Итак, никаких SMS мы не отправляем, денюжки не переводим, а ищем мы с Вами работающий компьютер/смартфон, чтобы зайти на сайт DrWeb или Касперского – ведь там есть сервисы подбора ключей. Введите номер телефона или кошелька вымогателя и скормите винлокеру полученный ключ. Вполне может помочь. На момент написание данной статьи на сайте Касперского сервис подбора ключей несколько видоизменился, а именно теперь Вы можете скачать уже с самого сайта утилиту и выполнить проверку своего компьютера. На скрине – цифра 1. Кроме того, чтобы расшифровать данные, которые заблокированы программами-шифровальщиками, можно воспользоваться дополнительными утилитами, на скрине ниже отмечены цифрой 2.
Сейчас же Вам понадобится дополнительный компьютер, чтобы, скажем, записать ту же утилиту на флешку или болванку (кстати, это лучше сделать заранее, пока Ваш компьютер еще не заражен), чтобы приступить к удалению вредоносного кода в компьютере.
А каким образом запустить операционную систему?
1. BIOS, настроенный на загрузку с CD-привода
2. Тот самый «Реаниматор»
Способы чистки «своими руками»
Проверенная методика: запускаем файловый менеджер и чистим все кэши браузеров и все папки, имеющие в названии слово «Temp», а также папку Application Data в папке пользователя. Частенько помогает при попадании винлокера на компьютер через браузер – вирус имеет обыкновение сохраняться именно там. Если не через браузер – удалите скачанный вами файл с вирусом. Перезагрузите. Ну как, помогло? Если нет – идем дальше.
Можно воспользоваться специальной программой, которая очистит Ваш компьютер от ненужных файлов. Более подробно читайте эту статью:
Как очистить компьютер от всякого хлама?
Попробуйте поискать файлы по дате изменения – многие винлокеры пренебрегают сменой дат и легко вычисляются.
Как Вы думаете, кто отвечает за автозапуск в операционной системе? Правильно, реестр. Его мы и будем чистить. Если получилось запустить родную ОС – нажмите комбинацию клавиш Win+R и в появившемся окне в строке поиска введите «regedit», либо введите regedit в консоль – для безопасного режима с поддержкой командной строки.
В общем, откроется редактор реестра.
Если работаете с другой ОС – запустите редактор реестра и в меню «Файл» выберите «Загрузить куст». Найдите в пораженной системе файл «Software» — он находится тут: Windows\system32\config.
Проверьте параметр Shell – там должно стоять значение «explorer.exe», и Userinit — \WINDOWS\system32\userinit.exe. Если оно отличается – ставьте то, которое должно быть. Стоит учесть, что некоторые винлокеры прописывают параметр, внешне не отличающийся от «родного», но некоторые буквы там кириллические. Поэтому будет хорошо перезаписать важные параметры вручную.
Также проверьте ветки автозагрузки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (а также runonce – ветка одноразовой загрузки, может каждый раз перезаписываться винлокером). Обнаружили подозрительные записи – удаляйте, если боитесь чего попортить – измените значение параметра, приписав к имени файла любой символ.
Кстати, некоторые винлоки не прописывают в автозагрузку свой файл, а модифицируют имеющийся системный – Explorer или Userinit. Решается снятием хеш-сумм с системных файлов и, при необходимости, заменой их на чистые с подходящей версии системы.
4. Редактор реестра
Нам понадобится рабочая ОС и «одноразовая» версия антивируса: DrWeb CureIt, Kaspersky Removal Tool (исполняемые файлы) или DrWeb LiveCD, Kaspersky Rescue Disk (сборки «операционная система + антивирус», их необходимо записать на диск и загрузиться с него; это называется «LiveCD»).
Итак, завершая сегодняшнюю статью « Как убрать баннер Windows заблокирован » следует отметить, что достаточно будет соблюдать выполнение следующих мер:
— Создайте ограниченную учетную запись – винлокер не сможет редактировать куст HKLM, а в случае чего заразу можно вычистить из администраторской записи.
— Запаситесь загрузочным диском и «одноразовым» антивирусом. Последний имеет смысл регулярно скачивать заново.
— Не запускайте программы, скачанные откуда попало – используйте проверенные официальные сайты или пиратские порталы.
— Не используйте Internet Explorer.
— Не ходите по подозрительным сайтам, не ведитесь на требования «прямо сейчас» что-то загрузить.
— Обязательно поставьте Anvir Task Manager (программа защиты автозагрузки и отслеживания процессов, подробнее о нем читайте на официальном сайте).
— Желательно установить антивирус и регулярно обновлять базы.
Пожалуй, это все о чем я хотел Вам сегодня рассказать, желаю Вам не встречать на своем пути всевозможных троянов и винлокеров.