Ваш компьютер заблокирован? Сегодня, мошенничество в IT индустрии распространено повсеместно. И интернет стал тем местом, где преступники чувствуют себя безнаказанно. А там где интернет, там и вирусы. Одними из самых опасных представителей этих вредоносных программ, являются вирусы, замаскированные под баннеры.
Зачастую, такие вирусы не только вымогают деньги, но и сочетают в себе разлагающую составляющую, шантажируя вас порно-баннером. Надо ли говорить, что такое недопустимо? Увидеть порно-баннер могут дети! Хочется заметить, что наиболее распространены баннеры с номерами от МТС. Немного отстают, в этом плане, Билайн и Мегафон. Сразу посоветуем прочитать статью по теме, — . Возможно это поможет в понимании, как удалить смс баннер с рабочего стола и разблокировать компьютер.
Итак, убрать баннер, когда компьютер уже заблокирован, можно несколькими способами. Эти методы разные по сложности, поэтому советуем прочитать про все и выбрать более простой. Вот как это можно сделать:
- Получить коды для разблокировки баннеров на сайтах Касперского или Dr.Web.
- Удалить вирус-баннер из автозагрузки операционной системы Windows.
- Восстановить Windows с помощью службы восстановления.
- Убрать баннер с помощью проверки антивирусом.
- Подождать некоторое время или перевести часы Windows вперед.
Данные способы не универсальны, и подходят к различным ситуациям. Давайте остановимся подробно на этих пунктах и разберемся в плюсах и минусах каждого способа.
Итак, первый способ, как убрать баннер, если компьютер заблокирован. Данный метод подойдет для каждого, у кого под рукой есть интернет. Собственно под рукой доступ в онлайн не обязателен, ведь компьютер уже заблокирован. Вы всегда можете позвонить другу или человеку, который готов помочь, и попросить его продиктовать код.
Где его взять? На сайтах Касперского или Доктор Веб. Эти две компании, производящие антивирусную продукцию уже давно запустили сервисы с кодами для разблокировки баннеров. Вот их адреса:
Сразу предупредим, — способ не универсальный. Далеко не факт, что правильный код разблокировки есть в базах сайтов. Поэтому, читаем про другие методы лечения заблокированного компьютера.
Еще один относительно простой способ, когда компьютер заблокирован, — это “выключить” вирус из автозагрузки Windows. Для этого нужно загрузить систему в безопасном режиме. Делается это просто. В начале загрузки компьютера, нужно нажимать клавишу F8, в результате этих простых манипуляций, появится меню с выбором типов загрузки операционной системы Windows.
В этом меню необходимо выбрать пункт “Безопасный режим” и нажать клавишу Enter.
После того, как ОС загрузится, возможны два варианта событий. Первый, пессимистичный, — баннер будет на своем месте. Это означает, что убрать его в безопасном режиме не получится. Читайте статью дальше.
Второй вариант событий, более оптимистический. Windows загрузилась в безопасном режиме без вируса.
Если после загрузки Windows, баннер не появился, то попробуем его удалить. Делаем следующее:
Если не помогло, попробуйте следующие способы.
Данный способ очень прост, но скорее всего уже мало актуален, поскольку злоумышленники все время совершенствуют вирусы. Заключается он в следующем. Перезагрузив компьютер в безопасный режим, просто переведите часы вперед, например на неделю. Возможно баннер пропадет, от такого счастья, так как некоторые виды этих вирусов запрограммированы пропадать по прошествии некоторого времени.
Если же в безопасном режиме Windows исправить время возможности нет, то его можно изменить в БИОС компьютера. Войти в BIOS можно при загрузке ПК.
Этот метод разблокировки баннера-вируса схож с предыдущими, поскольку обязательным условием его применения, является Windows, сохранившая работоспособность в безопасном режиме. Преимуществом такого лечения системы, является простота реализации. Но есть у такого подхода и существенный недостаток. Вполне вероятно, что разблокировать баннер с помощью отката операционной системы не получится, поскольку не всегда точка восстановления бывает доступна. Тем не менее, опишем все по шагам:
Пуск -> Стандартные -> Служебные -> Восстановление системы.
Здесь также возможны два исхода событий. Если Windows запустилась в безопасном режиме, то всегда можно воспользоваться бесплатным антивирусом предоставленными популярными антивирусными компаниями, которые по слухам, эти вирусы и пишут. Компания Смарт-Троникс, не разделяет это мнение и предлагает вашему вниманию две замечательные, бесплатные для домашнего использования, программы:
Разблокировать баннер при помощи антивируса, на первый взгляд легко. Но что делать, если вирус заблокировал все подходы к рабочему столу, и запустить антивирусную программу не получается?
На помощь придут специальные загрузочные диски, которые называются LiveCD. С помощь них можно загрузить антивирус, который и уничтожит баннер. Процедура загрузки Live CD простая. Необходимо записать образ выбранного вами загрузочного диска на DVD болванку или, что еще удобнее, на флешку. Загрузить с этой флешки содержимое образа, выбрав ее при загрузке компьютера (клавиша F5), или выставив приоритет загрузки в БИОС. И проверить Windows на вирусы.
Вариантов таких спасательных дисков много, но мы советуем использовать бесплатные LiveCD от dr web или касперского. Вот ссылки на них:
Этого арсенала должно хватить, чтобы вывести всех тараканов. Если методы не помогли, то возможно проще будет . Напоследок, напишем несколько рекомендаций, которые помогут вам сохранить компьютер в безопасности.
Соблюдая эти простые советы, вы снизите вероятность заражения компьютера вирусами:
Пожалуй, хватит. Мы надеемся, что статья оказалась для вас информативной. Читайте сайт и побеждайте вирусы-баннеры МТС, Мегафон или Билайн самостоятельно!
Как сегодня люди только не пытаются заработать денег, да и побольше, забывая то человеческое, что вложил в нас Господь. Просто удивляет, насколько люди теряют, обманывая и обворовывая других. Ведь Закон нашего мира, который гласит: «Что человек посеет, то и пожнет» еще никто не отменил. А через какое-то время возникают вопросы: «За что?».
В данной статье, дорогие читатели, я расскажу вам об одном из мошеннических действий, направленного на обворовывание ваших карманов — когда компьютер атакует выпущенный «умными» людьми вирус блокирующий ОС Windows, причем не важно, как версия у Вас операционная система — XP, 7, 8, 10 или другие. Наверняка Вы знаете о чем я, не так ли, по крайней мере думаю что многие из Вас сталкивался с подобной неприятностью? Да, да, я говорю о баннере-вымогателе , который появляется сразу после включения компьютера и блокирует Windows. На этом баннере может быть написано, что мол вы посмотрели какое-то запрещенное видео, и теперь Вам надо срочно отправить кому-то денег, например через Webmoney, и ответно получить СМС с кодом разблокировки операционной системы.
Даже не вздумайте никому ничего платить, т.к. никакие СМС с кодом разблокировки Вам не пришлют. Пусть этими злоумышленниками лучше Господь разбирается, а я Вам тем временем постараюсь помочь разблокировать компьютер.
1. Вирус «Баннер вымогатель» может попасть на компьютер вместе с бесплатными программами или играми, скачанными с сомнительных источников.
2. Если Вы качаете из интернета фото, музыку, видео и т.д., и эти файлы имеют расширение.exe (имя-файла.exe), вместо соответствующих.jpg, .mp3, .avi, .mkv (имя-файла.jpg).
3. Если на некоторых сайтах Вы видите баннер, который говорит, что мол Вам надо что-то обновить или переустановить, и нажимая на которые Вы переходите не на официальные сайты Ваших программ, а на их клоны.
4. Если на компьютере/ноутбуке не установлен антивирус, тогда вирус может проникнуть на компьютер просто со страницы различных сайтов.
Разблокировать Windows, т.е. убрать баннер вымогатель, из-за которого компьютер заблокирован можно следующими способами:
1. Переустановить Windows.
2. Почистить реестр Windows, т.е. убрать баннер из автозагрузки системы.
3. С помощью загрузочного диска со специальным антивирусным софтом (программами) для удаления вирусов из системы.
В сегодняшнем посте речь пойдет о втором способе – убрать баннер вымогатель из автозагрузки операционной системы.
Как бы сложно это не звучало, на самом деле все просто. Просто придерживайтесь дальнейшей инструкции, и будьте внимательными.
1. Заходим в безопасный режим работы Windows. Для этого, после включения ПК, во время загрузки операционной системы нажимайте клавишу «F8» . Должен появиться черный экран, на котором можно выбрать варианты загрузки системы. Выбирайте «Безопасный режим» .
2. Когда Windows загрузится, нажмите сочетание клавиш «Win+R» . Или же «Пуск — Выполнить» .
3. В появившемся окошке введите: regedit
Важно! Если в «Безопасном режиме» также появляется баннер вымогатель, тогда снова перезагрузите ПК и через «F8», в меню выберите «Безопасный режим с поддержкой командной строки». Когда ПК загрузится и появиться черный экран с мигающим курсором, наберите также «regedit», и нажмите «Enter». Появиться то же окно с реестром.
4. Переходим по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon, и проверяем, чтобы следующие значения имели такие настройки:
Shell
– напротив должно быть только «explorer.exe».
Userinit
– напротив должно быть только «C:\Windows\system32\userinit.exe,». Если Windows установлен не на диск C:, то буква здесь будет иная.
Если значения отличаются, тогда исправьте, чтобы вышло так, как я написал выше. Для этого нажмите правой клавишей на строку, в которой нужно изменить значение, и выберите «Изменить».
5. Переходим по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Смотрим, чтобы здесь не было записей «Shell» и «Userinit». Если есть, удаляем их.
6. Проверяем следующие адреса на наличие подозрительных записей, типа – fgkthsinlr.exe , которые необходимо удалить:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Если Вы не уверены, что та запись, которую Вы обнаружили, является вирусом, тогда нажмите на нее правой клавишей мышки, и выберите «Изменить». Значение поставьте «1». Таким образом, Вы отключите эту запись, и если что-то пойдет не так, сможете все исправить.
7. Перезагружаем компьютер и радуемся! Windows уже должен быть разблокирован.
Если Вам было сложно разобраться с разблокировкой компьютера методом чистки системного реестра Windows, тогда можете попробовать использовать специальные антивирусные утилиты (программы), с помощью которых это можно сделать всего в несколько кликов.
— AntiWinLocker LiveCD
http://www.antiwinlocker.ru/download.html
— Kaspersky Rescue Disk
: Скачать можно по этой ссылке: http://sms.kaspersky.ru/
— Dr.Web LiveDisk
http://www.freedrweb.com/livedisk/
— утилита AVZ
. Скачать можно по этой ссылке: http://www.z-oleg.com/secur/avz/download.php
В основном порядок действий по разблокированию компьютера с помощью утилит сводиться к записи их образов на флешку (USB накопитель), включить загрузку компьютера с USB, и во всплывающих окнах просто нажать «Старт», «Анти SMS», «Очистить» и т.д.
Подробнее о данных программах я напишу позже, а на сегодня все. Если у Вас что-то не получилось, пишите в комментариях, попробуем разобраться вместе.
Как правило, это «троян» из семейства Winlock. Определить его легко: если на экране появляется изображение порнографического или, наоборот, делового характера, и при этом компьютер прекращает отвечать на команды - это наш клиент.
Баннер при этом часто содержит сообщение «Ваш компьютер заблокирован» и предложение отправить платное SMS или внести деньги на указанный счёт, - якобы только после этого вредный баннер (а с ним и блокировка ПК) исчезнет. На изображении даже есть поле, куда нужно вписать специальный код, который должен прийти после выполнения вышеуказанных требований. Принцип действия таких вредоносных элементов сводится к подмене параметров Shell в оболочке операционной системы и нивелированию функций проводника Виндовс
Есть несколько поколений вирусов-вымогателей. Некоторые из них обезвреживаются в пару кликов, другие требуют манипуляций посерьезней. Мы приведём способы, применив которые, вы сможете справиться с любым трояном такого рода.
Диспетчер задач
Этот метод сработает против примитивных троянов. Попробуйте вызвать обычный диспетчер задач (комбинация клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC). Если это удастся, найдите в перечне процессов то, что не должно быть запущено, и завершите его.
Если диспетчер не вызывается, можно еще воспользоваться менеджером процессов через клавиши Win+R. В поле «Открыть» впишите слово «notepad» и нажимайте ENTER, - таким образом, вы откроете приложение Блокнот. В отрывшемся окне приложения наберите произвольные символы и коротко нажмите кнопку включения/выключения на своем ноутбуке или стационарном ПК. Все процессы, в том числе, и троянский, тут же завершатся, но компьютер не выключится. Пока вирус деактивирован, вы сможете найти относящиеся к нему файлы и ликвидировать их или же выполнить проверку антивирусом.
Если вы не успели установить антивирусное ПО, вы спросите: как удалить вирус-вымогатель с компьютера? В большинстве случаев отпрыски злобного семейства Winlock пробираются в каталоги каких-нибудь временных файлов или временные файлы браузера. Прежде всего, проверьте пути:
C: \ Documents and Settings \каталог, в котором указано имя пользователя \ и
C: \ Users \ каталог по имени пользователя \ AppData \ Roaming \.
Там ищите «ms.exe», а также подозрительные файлы с произвольным набором символов вроде «0.277949.exe» или «Hhcqcx.exe» и удалите их.
Удаление файлов вируса в безoпасном рeжиме
Если первый способ не подействовал и Виндовс заблокирован - что делать в таком случае? Здесь также расстраиваться не стоит. Значит, мы столкнулись с продвинутым троянчиком, который подменяет системные компоненты и устанавливает блокировку на запуск Диспетчера задач.
В этом случае нам придётся выбрать работу в безопасном режиме. Перезагрузите компьютер. При запуске Windows удерживайте F8. В отобразившемся меню выберите «Безопасный режим с поддержкой командной строки».
Дальше в консоли следует написать: «explorer» и нажать ENTER - вы запустите проводник. После этого прописываем в командной строке слово «regedit» и снова-таки жмём ENTER. Так мы вызовем редактор реестра. В нём вы сможете найти созданные трояном записи, а еще - место, откуда происходит его автозапуск.
Пути к файлам злопакостного компонента будут, скорее всего, в ключах Shell и Userinit (в первом он прописывается explorer.exe, а в «Userinit» его легко определить по запятой). Дальше порядок действий таков: копируем полное имя обнаруженного вирусного файла правой кнопкой в буфер обмена, в командной строке пишем «del», после чего ставим пробел и вставляем скопированное имя. ENTER - и готово. Теперь вы знаете, как удалить вирус-вымогатель.
Также делаем и с остальными заразными файлами.
Восстановление системы
Загружаем систему в безопасном режиме, как это описано выше. В командной строке прописываем: «C:\WINDOWS\system32\Restore\rstrui.exe». Современные версии поймут и просто «rstrui». Ну и, естественно, ENTER.
Перед вами всплывет окно «Восстановление системы». Здесь вам нужно будет выбрать точку восстановления, а вернее - дату, предшествующую попаданию вируса на ПК. Это может быть вчерашний день, а может быть месяц назад. Словом, выбирайте то время, когда ваш компьютер был 100% чист и здоров. Вот и вся разблокировка Windows.
Аварийный диск
Этот способ предполагает, что у вас есть время загрузить софт с другого компьютера или сходить за ним к другу. Хотя, может быть, вы предусмотрительно им уже обзавелись?
Специальное ПО для экстренного лечения и восстановления системы многими разработчиками поставляется прямо в антивирусных пакетах. Однако аварийный диск можно также скачать отдельно - бесплатно и без регистрации.
Вы можете воспользоваться ESET NOD32 LiveCD, Comodo Rescue Disk, или . Все эти приложения работают по одному принципу и могут быть размещены как на CD, DVD, так на USB-накопителе. Они автоматически загружаются вместе с интегрированной ОС (чаще всего это Linux), блокируют запуск Windows и, соответственно - вредоносных элементов, сканируют компьютер на предмет вирусов, удаляют опасное ПО, лечат зараженные файлы.
Если запустив однажды неизвестную программу, ваш компьютер перестает реагировать на команды, а рабочий стол принимает характерный вид:
значит, вы стали очередной жертвой Trojan.WinLock или попросту – трояна-вымогателя, вынуждающего вас заплатить злоумышленнику определенную денежную сумму за возможность пользоваться своим ПК. Ситуация нередкая, хотя пик эпидемии блокировщиков Windows уже прошел. За время существования этого способа вымогательства накоплен немалый опыт выявления и “лечения” заражений такого рода, но, тем не менее, методы блокировки Виндовс злоумышленники совершенствуют до сих пор.
Надо сказать, что несмотря на угрозы уничтожения данных на ПК в случае неуплаты “штрафа”, ничего подобного никогда не происходит. И при умелом подходе любую блокировку можно довольно быстро снять, не прибегая к переустановке системы. Поэтому, увидев на экране грозный баннер “Компьютер заблокирован”, не спешите переводить кибер преступнику деньги – никакого кода для разблокировки вы не получите.
Чтобы вы не чувствовали себя беспомощными в подобной ситуации, мы подготовили для вас описание методов работы троянов-вымогателей и несколько способов борьбы с ними.
Перечислим методы, с помощью которых обычно осуществляется блокировка компьютера под управлением Windows XP.
Кроме перечисленных “чистых” видов блокировки, встречаются и более изощренные, сочетающие в себе сразу несколько способов автозапуска троянского кода. Например, изменения в реестре и патчинг системных файлов, а также – размещение на жестком диске нескольких копий трояна, способных восстанавливать друг друга.
Излюбленными местами расположения троянских файлов в Windows XP являются эти директории:
C:\Documents and Settings\Текущий пользователь\Local Settings\Application Data
C:\Documents and Settings\All Users\Local Settings\Application Data
C:\Documents and Settings\Текущий пользователь\Local Settings\Temporary Internet Files
C:\Documents and Settings\All Users\Local Settings\Temporary Internet Files
C:\Documents and Settings\Текущий пользователь\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows
C:\Windows\Temp
C:\Windows\System32
C:\Documents and Settings\Текущий пользователь\Главное меню\Программы\Автозагрузка
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
А автозапуск обычно осуществляется с помощью записей в следующие разделы реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметры: Userinit, UIHost, Shell.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Параметр Debugger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр AppInit_DLLs
Большинство блокировщиков работают не только в нормальном режиме, но и в безопасном, а в некоторых случаях они просто отключают возможность загрузки безопасного режима, удалив ответственные за это разделы реестра. Поэтому, если у вас заблокировался Windows XP, решать проблему придется с помощью альтернативных загрузочных носителей – так называемых “живых” дисков (Live CD) с собственной операционной системой. Загрузив компьютер с такого носителя, вы сможете получить доступ к жесткому диску, который оказался заблокирован. Далее мы разберем, как работать с Live CD, а пока испытаем более простые способы, которые хоть и не всегда, но во многих случаях выручают.
Этот способ был обнаружен пользователями экспериментальным путем. В случаях сложной блокировки он вряд ли поможет, но попробовать все равно стоит, тем более, что все действия займут у вас не более 5 минут.
Если предыдущие действия не помогли вам справиться с баннером “Компьютер заблокирован”, можно попробовать подобрать код разблокировки с помощью онлайн-сервисов антивирусных компаний. Этот вариант помогает в 50 – 70% случаев, но он будет вам полезен только тогда, когда у вас есть другой ПК (телефон, планшет и т. п.) с выходом в Интернет. Ниже приводятся ссылки и инструкции по использованию этих сервисов.
Если предыдущие меры не возымели никакого действия и ваш ПК по-прежнему заблокирован, удалить баннер можно с помощью специализированных программ на загрузочных дисках (Live CD). Ниже приведены инструменты, позволяющие автоматически снять блокировку Windows XP и ликвидировать троянскую программу.
Полностью автоматическая утилита, излечивающая все известные модификации троянов-вымогателей и восстанавливающая стандартные настройки загрузки системы. Рекомендуется для начинающих пользователей, неискушенных в администрировании ПК. Всю работу программа выполняет скрыто, а запускается двойным кликом по ярлыку на рабочем столе загрузочного носителя.
Еще один загрузочный диск, способный помочь, если ваш Windows XP вдруг заблокировался. Утилита в автоматическом режиме найдет и удалит троянскую программу, а также восстановит поврежденные файлы и системный реестр. На коммерческой основе AntiWinLocker можно использовать и для защиты Виндовс от блокировщиков, установив на компьютер.
Для удаления баннера с помощью этой программы потребуется минимум действий:
Еще один универсальный инструмент, способный помочь не только в случаях, когда компьютер заблокирован, но и при любых вирусных заражениях. Оснащен функцией обновления вирусных баз через Интернет.
Для использования достаточно запустить с рабочего стола сканер, выбрать области сканирования и нажать “Начать проверку”.
Не менее простой в использовании инструмент, чем предыдущие. Также позволяет с легкостью решать различные вирусные проблемы на ПК, в том числе и тогда, когда вход в Windows XP оказался заблокирован. Обладает возможностью “интеллектуального сканирования”, полезного для поиска неизвестных вредоносных объектов.
Теперь рассмотрим ручные способы удаления вредоносного кода, мешающего загрузке Windows XP. Для того, чтобы их использовать, необходимо быть по меньшей мере опытным пользователем ПК, иначе проблем после попыток удаления баннера может быть больше, чем было изначально. Для первого способа лечения компьютера с помощью профессиональной утилиты Universal Virus Sniffer (uVS) нам понадобится любой загрузочный диск на базе OS Windows. Мы воспользуемся Alkid Live CD.
Этот способ, можно сказать, наиболее трудоемок, поскольку все операции придется выполнять вручную. Однако в экстремальных ситуациях, когда родной Windows XP заблокировался, выбирать не приходится, и мы будем использовать то, что есть под рукой. Итак, приступим.
Важно! Если в список подозрительных попал системный файл, особенно Userinit.exe, LogonUI.exe, Explorer.exe или Taskmgr.exe, вероятно, он изменен и содержит код блокировщика. Такие файлы нужно заменять на их чистые копии, которые хранятся в папке C:WindowsSystem32dllcache.
Если у вас под рукой оказался этот замечательный инструмент восстановления Windows XP, избавиться от баннера “Компьютер заблокирован” можно гораздо проще, например, воспользовавшись функцией восстановления системы. Чтобы получить к ней доступ, загрузите ПК с диска ERD Commander версии 5.0 и переходите к следующим действиям.
Если сразу после включения ПК, еще до начала загрузки Windows XP, вашему взору открылась такая картина:
значит, вы пострадали от трояна-вымогателя, прописавшегося в MBR. Удалить оттуда вредоносный код может не каждое из перечисленных здесь средств – для этого необходимы полноценные антивирусные продукты, которые мы назовем ниже. А сейчас уделим пару минут тому, чего в этом случае делать не стоит.
Многие пользователи знают назначение консольной команды fixmbr – она предназначена для перезаписи первого сектора жесткого диска. И, по-хорошему, должна восстанавливать загрузочный код, одновременно удаляя сидящего там трояна. Но не тут-то было. В процессе перезаписи нестандартной MBR (а в случае заражения трояном она и будет нестандартной) часто повреждается таблица разделов, которая находится на жестком диске сразу же после загрузочного кода MBR и является ее частью.
Если мы проигнорируем предупреждение консоли восстановления и выполним fixmbr, вместо сообщения о том, что компьютер заблокирован, увидим следующее:
что означает повреждение таблицы разделов. А значит, больше загрузить систему мы не сможем.
Для корректного и безопасного восстановления главной загрузочной записи можно использовать:
Этих инструментов более чем достаточно, чтобы снять любую блокировку Windows XP, в том числе и такую.
Вряд ли кто поспорит, что предотвратить заражение компьютера троянами-вымогателями гораздо легче, чем потом с ними бороться. И чтобы ваш ПК однажды “случайно” не заблокировался, придерживайтесь этих несложных правил:
Как самостоятельно разблокировать компьютер, не отправляя деньги на запрос вымогателей и без использования специальных средств.
Эта статья является дополнением к моей статье Вирусы вымогатели. . В ней даются конкретные рекомендации по удалению наиболее распостраненных блокировщиков.
Здесь рассмотрены два вида блокировки: полная блокировка жесткого диска и, соответственно, компьютера, и блокировка проводника (explorer) Windows.
В первом случае изменяется главная загрузочная запись жесткого диска (MBR). Попытка загрузки компьютера может закончиться лишь мигающим курсором в левом углу на черном фоне или картинкой подобно следующей:
Во втором случае компьютер грузится, доходит до момента прорисовки значков на рабочем столе, но вместо них мы видим следующее:
Здесь блокируется только текущая Windows. Другие ОС, если такие установлены, будут преспокойно загружаться.
Загружаемся с любого CD/DVD с дистрибутивом Windows XP, поддерживающим консоль восстановления. Заходим в консоль восстановления
и выполняем команду fixmbr
.
На предупреждение, что у вас нестандартная загрузочная запись и это может закончиться плохо, не обращаем внимания.
После выполнения команды и перезагрузки, восстанавливается загрузка Windows.
Загружаемся с оригинального установочного дистрибутива Windows 7, поддерживающего опцию восстановления
Выбираем "Восстановление системы"
В окне "Параметры восстановления системы" выбираем операционную систему, которую необходимо восстановить, и жмем "Далее".
В следующем окне выбрать пункт "Командная строка"
Запущенная с ключом /FixMbr, утилита записывает совместимую с Windows 7 главную загрузочную запись MBR (Master Boot Record) в системный раздел.
В большинстве случаев этого бывает достаточно, чтобы восстановить нормальную загрузку Windows 7. Если все же загрузка системы не произойдет, то повторите вышеуказанную операцию и дополнительно введите команду:
Bootrec.exe /FixBoot
Запущенная с ключом /FixBoot , утилита записывает в системный раздел новый загрузочный сектор, совместимый с Windows 7.
Загружаемся в "Безопасный режим с поддержкой командной строки
".
Внимание! Именно "Безопасный режим с поддержкой командной строки". Просто "Безопасный режим" вам ничего не даст. Блокировка сохранится.
Напомню, для загрузки в безопасном режиме после вклучения компьютера необходимо нажимать клавишу F8. В некоторых BIOS F8 выводит загрузочное меню откуда должен загружаться компьютер (FDD, CD/DVD, HDD). В таком случае нужно выбрать HDD нажать Enter и затем снова F8.
В командном процессоре набираем: regedit
и жмем Enter. Запускается редактор реестра, в котором заходим в следующую ветвь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Здесь исправляем приведенные ниже параметры, чтобы они были именно такими:
Shell = Explorer.exe
Userinit = C:\\WINDOWS\\system32\\userinit.exe,
(если Windows на диске C:)
Кто с реестром не в ладах, может заранее скачать этот файл, а в случае блокировки запустить в командной строке explorer - откроется проводник с графической оболочкой, с помощью которого отыщете скачанный файл и запустите его, соглашаясь с внесением изменений в реестр.
Закрываем редактор реестра и еще проверим, не стоит ли наш вредонос в автозагрузке. Иначе вся наша коррекция будет отменена при перезагрузке.
Для этого вначале через Ctrl+Alt+Del вызываем диспетчер задач, в котором вибирам "новая задача", где набираем msconfig
и жмем ОК.
Откроется окно настройки системы, где переходим на вкладку
Просматривая элементы автозагрузки особо следует обратить внимание на столбец "Команда". Здесь указаны места откуда запускаются файлы. Если это папка Temp или Temporary Internet Files , то это практически 100% вирус. Записываем где он находится, удаляем из автозагрузки и, далее, запустив Explorer , находим и удаляем сам вредоносный файл. Если не уверены, то можно его просто переименовать, установив впереди имени например такой знак #.
Здесь рассмотрены наиболее простые методы блокировки. Техническая мысль злоумышленников не стоит на месте и в будущем возможно придется столкнуться с более изощренными методами. Чтобы обезопасить себя от возможных сюрпризов необходимо периодически делать архивные копии системного раздела, желательно на внешнем носителе.