Баннер, блокирующий Windows

Компьютеры & Интернет »   Безопасность

Автор совета: Артем Аленин Дата публикации: 20.07.2012

На данном сайте уже есть статья на данную тему от другого автора, которая сильно устарела. В данной статье я приведу вам универсальные способы устранения вируса. На собственном опыте я убедился, что жертв подобных вирусов очень много. И большинство людей решают проблему кардинально – переустанавливают Windows, хотя в 99,9% случаев можно обойтись "малой кровью", т.е. удалить вирус без переустановки системы и, соответственно, потери многих программ и настроек.

Внимание! В статье будет большое обилие компьютерных терминов и технической информации. Если вы новичок в компьютерах, то дайте её прочитать своему знакомому не новичку, которой после прочтения статьи починит компьютер вам и сам наберётся знаний. Или посетите компьютерный форум http://www.hardforum.ru/t21083/, где вы сможете узнать для себя много нового о компьютерах и компьютерных терминах, а также спросить совет знающих людей. Однако, я всё равно постараюсь описать проблему и способы её решения понятным языком.

Что это за вирус?

Как правило, вирусы такого типа называются Trojan.winlocker или просто Winlock. Однако, подобные вирусы часто меняют свою структуру и тип работы, а потому их принято называть обобщающим термином «Ransomware» (переводится примерно как «вирусы, требующие выкуп»).

Выглядит вирус примерно так

Работает вирус таким образом: перед вами выскакивает вот такой баннер, который нельзя закрыть или убрать стандартными средствами. При этом, такой вирус блокирует всю панель инструментов и интерфейс. Вы видите только баннер поверх обоев рабочего стола.

На баннере написано, что вы сделали что-то нехорошее, нарушающее закон. Может быть написано, что у вас пиратская Windows, или то, что на вашем компьютере нашлась детская порнография и т.д. А чтобы убрать баннер, нужно либо отправить дорогое СМС на короткий номер (тогда вам придёт пароль разблокировки), или же предлагается пополнить счёт чего-то мобильного телефона на сумму около 500 рублей (типа тогда на чеке оплаты вы увидите код). Стоит ли говорить, что всё это обман и развод. Даже если у вас стоит лицензионный Windows, даже если у вас на компьютере нет ничего неприличного и вы не смотрели ничего неприличного в сети, то вирус всё равно покажет вам такой баннер.

К тому же, на баннере будет написано, что если вы не введёте пароль/код, то все ваши данные на компьютере и BIOS будут удалены. Как правило, вам даётся срок в 24 часа. И опять же – это обман. Такой баннер ничего не удалит на вашем компьютере (и уж тем более BIOS – это невозможно). А потому, если вы обнаружили у себя такой баннер – спокойно выключаете компьютер и следуйте советам в данной статье.

Кстати, если вы даже заплатите/отправите СМС – то есть 90% шанс, что пришедший код не подойдёт (или скорее всего код вообще не придёт). Однако код может и подойти, но вирус не будет удалён, а значит через неделю он появится снова.
Хотя встречаются и «добросовестные вирусы», к которым код подойдёт и они удалят себя, но, повторюсь, в 90% случаев этого не произвойдет и потраченные вами деньги ничего на компьютере не изменят.

Как избавиться от вируса?

Способ 1. Простая перезагрузка

Попробуйте просто перезагрузиться. Да, да… по интернету всё ещё ходят старые и неразвитые модификации вируса (написанные криворукими людьми). Если после перезагрузки компьютер нормально запустился, то проверьте компьютер антивирусами.

Способ 2. Безопасный режим

Большинство современных блокировщиков запускаются и в безопасном режиме, но попробовать стоит. Выключите компьютер, а при запуске нажимайте клавишу F8. Однако на всех компьютерах клавиша запуска подобного меню разная. А потому, при включении компьютера начинайте нажимать на все кнопки от F1 до F9 подряд. В общем, перед вами должно появиться вот такое окно

Далее клавишами Вверх и Вниз выбираете «Безопасный режим». Если система загрузилась нормально, то проверяете компьютер антивирусами. Если нет, то выбираете режим «Безопасный режим с поддержкой командной строки». Если всё нормально запустилось, то вводите regedit. Далее следуете Способу 3.

Способ 3. Редактирование реестра

Если у вас получилось зайти в систему, в обход вируса, то нажимаете одновременно две клавиши Win+R. В появившемся окне, вводите regedit. После чего, вам откроется окно редактирования реестра.

Данное окно похоже на Проводник. В панели слева вы можете выбирать ветки реестра (как выбираете подпапки). Вирус прописывает себя в определённые ветки реестра, позволяющими ему запускаться даже в безопасном режиме.

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon
В данной ветке смотрим два параметра Shell и Userinit.

В значении Shell должно быть написано explorer.exe, а в значении Userinit – userinit.exe, (обязательно с запятой). Чтобы переписать значение, нужно дважды кликнуть по нему. Если вместо нужных значений написано что-то другое, то это название вируса. Запоминаем название вируса, чтобы потом можно было найти его обычным поиском и удалить.

Кстати, вирус может подменить некоторые буквы на кириллические. Например, explorer.exe, где вместо английской x (икс), стоит русское х. А потому, всё равно введите эти значения заново.

Однако прошли те счастливые времена, когда вирус прописывался только в эти ветки. Поэтому, если в вышеуказанных ветках всё нормально, то смотрите эти ветки:
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\
В этих ветках указаны программы, запускающиеся при старте системы. Нашли что-то странное – удаляете.

Плюс так же можно посмотреть
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce

Если баннер блокирует не Windows, а браузер Internet Explorer, то очистите ветку
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

Также ищите подозрительные названия в ветках:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options

Если вы избавились от баннера, но редактор реестра заблокирован и не работает диспетчер задач, то смотрим ветку
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
В данной ветке ищем значения:
DisableRegistryTools
DisableRegedit
DisableTaskMgr
И присваиваем им значение 0.

Способ 4. Живой диск. Живая флешка

Можете запуститься с живого диска или с флешки и также отредактировать реестр, как в Способе 3.
Если лень искать подходящий вам образ диска и скачивать его, то можно воспользоваться утилитой Kaspersky Rescue Disc. По данной ссылке вы сможете прочитать все инструкции и скачать всё нужное. В итоге, вы создадите загрузочную флешку. На сайте сказано, как запустить с неё систему. После запуска системы с флешки, вы можете проверить компьютер на вирусы, а заодно выбрать утилиту Kaspersky Registry Editor. Это такой же редактор реестра, а потому следуйте Способу 3.

Способ 5. Ищем по названию

Если у вас установлены две системы на одном компьютере, или манипуляции с реестром не помогли. Если вам даже не помогли живой диск и антивирусы, то есть детский способ.

Большинство баннеров перекрывают не весь рабочий стол. А потому, если попробовать вызвать диспетчер задач клавишами Alt+Ctrl+Del, то он появится на долю секунды, а потом исчезнет. А потому, вы просто зажимаете эти три клавиши и диспетчер задач начнёт как бы моргать. Вы не сможете проводить с ним никаких манипуляций, зато сможете увидеть подозрительный процесс. Запоминаете это подозрительное название. Затем загружаетесь с другой системы или с живого диска/флешки и в меню обычного поиска файлов вводите это название. Если нашли – удаляем.

Правда есть и такие вирусы, которые работают следующим образом. К вирусу прикреплена dll – библиотека, которая постоянно создаёт исполняемый файл вируса под разными названиями. В таком случае, название вируса всегда будет разным.

Способ 6. Ищем по дате

Если не нашли по названию, то ищите по дате. Загружаетесь с живого диска/флешки и задаёте пустой поиск, но в особых условиях укажите дату изменения. Т.е. в дате изменения пишем день заражения. После окончания поиска, система покажет вам множество файлов. Ищем подозрительные. Подозрительные носят расширение .exe или .swf. Подозрительные файлы имеют также длинные названия. Большинство вирусов имеют вид 0.nnnnnnnn, где n – это любое число. Иногда это просто длинный набор букв и цифр.

Кстати, можете удалить все файлы, которые выдал вам поиск. Системных файлов среди них не будет.

Способ 7. Деблокиратор

Можно зайти на сайты доктора Веба или Касперского, где по номеру указанного на баннере телефона или по фотографии, вы сможете подобрать код деактивации. А уже потом, после деактивации – проверьтесь антивирусом или следуйте способу 3.
Ссылки:
https://www.drweb.com/xperf/unlocker/
http://sms.kaspersky.ru/
https://www.drweb.com/xperf/unlocker/gallery/

Способ 8. ERD Commander и AntiWinlocker

Это специальные образы с понятным даже простому пользователю интерфейсом. Скачиваете и устанавливаете их на диск или флешку, загружаетесь с них и следуете инструкциям.
Ссылки:
http://www.antiwinlocker.ru/download.html - АнтиВинлокер
ERD Commander можете найти на трекерах.

Способ 9. Юридический

Как юрист, я просто обязан рассказать вам способ, который не только избавит вас от вируса, но ещё и доставит много неприятностей создателям.
Главный минус для разработчика блокировщика – это номер телефона, указанный в баннере. Если вас просят положить денег на чей-то номер или просят отправить СМС, то можете подать заявление в полицию с указанием этого номера. Если полиция не примет заявление, то звоните телефонному оператору, которому принадлежит этот телефон. «Быкуйте» и угрожайте оператору судом – оператор должен назвать вам либо контактные данные для дальнейшего разбирательства, либо подаст заявление в полицию вместе с вами. Если и там вас послали, то подайте заявление в прокуратуру, напишите иск в суд, подайте заявление в полицию. В общем, подайте заявления во все инстанции.

В данном способе есть много минусов. Во-первых, вам придётся оставить вирус на компьютере в качестве доказательства. Во-вторых, процесс будет длиться долго и не факт, что будет решён. В-третьих, готовы ли вы потратить уйму свободного времени, ради «дурацкого» вируса? Именно поэтому создателей таких вирусов просто никто не ищет. В таком обилии блокировщиков виноваты сами пользователи с пассивной гражданской позицией.

Способ 10. MBR

Есть вирусы, которые прописывают себя в специальную загрузочную область на жёстком диске. Таким образом, вирус запускается даже раньше самой системы. Т.е. на чёрном экране, белыми буквами будет написано то же, что и в обычных блокировщиках. Однако такой вирус уже не удалить с помощью стандартных манипуляций с реестром. Вам нужен диск, с которого вы устанавливали Windows. Если такого нет, то скачайте в интернете образ того Windows, который стоит у вас, и запишите образ на диск или флешку. Вставьте диск с Windows. Заходите в консоль восстановления (обычно клавиша R) и пишите fixmbr. Затем для согласия нажимаем «Y» (Yes), далее нажимаем Enter. Таким образом, загрузочная область у вас восстановится на обычную.

Итог

Защититься от блокировщиков одновременно трудно и просто. С одной стороны, современные виды блокировщиков пропускаются почти всеми антивирусами. Более того, из-за уязвимостей большинства браузеров, поймать вирус можно даже на проверенных и популярных сайтах.
Чтобы защититься, нужно ограничить себя в правах. Если у вас установлен Windows 7/Vista, то включите UAC (Панель управления – Учётные записи пользователей – Изменения параметров контроля). После включения UAC, перед каждым вашим действием система будет требовать вашего согласия. Теперь вирус не пройдёт! Но всё, опять же, не так просто. Большинству пользователей просто надоест перед каждым действием давать отдельное разрешение системе. К тому же UAC предполагает, что пользователям придётся делать подозрительно ответственные решения. Например, если блокировщик решит запуститься, то UAC выдаст сообщения типа «Приложение systemf.exe пытается запуститься» и предложит вам запустить его или отменить. Как думаете, будут ли люди, которые его запустят? Конечно, будут. Обычный пользователь не определит вирус, исходя из его названия.
А ещё можно установить плагин к браузеру, который будет блокировать запуск скриптов на сайтах. Например, плагин для Firefox – NoScript. И опять же, проблема. После установки плагина, вы не сможете зайти на свои любимые сайты, так как плагин по умолчанию блокирует все скрипты! А значит, придётся тратить драгоценное время на тонкую настройку.

Стоит ли становиться параноиком ради полной защиты своего компьютера – решать вам.

И на этой весёлой ноте я заканчиваю!
Спасибо за внимание!

Последние советы раздела «Компьютеры & Интернет»:

Получаем большое количество денег в GTA 5
5 плюсов общения в видеочате
Как и зачем получать онлайн-образование
Как проверить скорость интернета на ноутбуке
Как и зачем стоит купить прокси-сервер
Программа для восстановления удаленных файлов
Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона

Навигация по разделу
Компьютеры & Интернет

Бесплатные программы

Преимущества браузера Mozilla Firefox

WhatsApp Messenger

MySMS и iSendSMS

Leader Task - программа управления своей жизнью

Decrap - для очистки нового компьютера от триального мусора

Много других программ »

Наши путешествия

Интересные новости

Кости, напечатанные на 3D-принтере

Роботы наступают!

Грузовики без водителей уже на дорогах!

Тёмную Башню экранизируют, премьера в 2017 году

Селфи опасны для вашего здоровья и даже жизни

Много других новостей »

Полезная информация

Полезные телефоны Москвы

Экстренные службы, телефоны доверия, эвакуация автомобилей и автопарковки, медицинская помощь, ветеринарные услуги и др.

Налоговые инспекции Москвы и С.Петербурга

Он-лайн справочник по налоговым инспекицям двух столиц

Банки Москвы, С.Петербурга и др. городов

Он-лайн справочник крупнейших банков России и их филиалов в крупных городах разных регионов.

Нотариусы Москвы, С.Петербурга и Казани

Он-лайн справочник нотариусов трех крупнейших городов

Много другой информации »

Все обновления проекта на Twitter'е

Самые популярные советы

• Процесс svchost.exe грузит систему. Устраняем проблему » (955102)
• Не работает микрофон, что делать? » (534551)
• Не работает клавиатура, что делать? » (499887)
• Как узнать, кто подключен к моему wi-fi » (474311)
• Почему Интернет стал медленно работать » (381793)

Самые популярные статьи

• Поиск информации в Интернете » (3150257)
• Что такое аська и как ей пользоваться » (3150241)
• Что такое 32 и 64-битные системы и что означает x86, x64, x32 » (3150212)
• Как пользоваться Hamachi » (3150172)
• Основные составляющие компьютера и их характеристики » (3150016)

Наши рекомендации:

• Как защитить себя от мошенников »
• Что такое аська и как ей пользоваться »
• Зачем люди идут в горы »
• Почему плачут липы »
• Когда нужно сажать овощи »
• Куда поехать. Новая Зеландия – путешествие мечты! »