Баннер, блокирующий Windows

Компьютеры & Интернет »   Безопасность

Автор совета: Артем Аленин Дата публикации: 20.07.2012

На данном сайте уже есть статья на данную тему от другого автора, которая сильно устарела. В данной статье я приведу вам универсальные способы устранения вируса. На собственном опыте я убедился, что жертв подобных вирусов очень много. И большинство людей решают проблему кардинально – переустанавливают Windows, хотя в 99,9% случаев можно обойтись "малой кровью", т.е. удалить вирус без переустановки системы и, соответственно, потери многих программ и настроек.

Внимание! В статье будет большое обилие компьютерных терминов и технической информации. Если вы новичок в компьютерах, то дайте её прочитать своему знакомому не новичку, которой после прочтения статьи починит компьютер вам и сам наберётся знаний. Или посетите компьютерный форум http://www.hardforum.ru/t21083/, где вы сможете узнать для себя много нового о компьютерах и компьютерных терминах, а также спросить совет знающих людей. Однако, я всё равно постараюсь описать проблему и способы её решения понятным языком.

Что это за вирус?

Как правило, вирусы такого типа называются Trojan.winlocker или просто Winlock. Однако, подобные вирусы часто меняют свою структуру и тип работы, а потому их принято называть обобщающим термином «Ransomware» (переводится примерно как «вирусы, требующие выкуп»).

Выглядит вирус примерно так

Работает вирус таким образом: перед вами выскакивает вот такой баннер, который нельзя закрыть или убрать стандартными средствами. При этом, такой вирус блокирует всю панель инструментов и интерфейс. Вы видите только баннер поверх обоев рабочего стола.

На баннере написано, что вы сделали что-то нехорошее, нарушающее закон. Может быть написано, что у вас пиратская Windows, или то, что на вашем компьютере нашлась детская порнография и т.д. А чтобы убрать баннер, нужно либо отправить дорогое СМС на короткий номер (тогда вам придёт пароль разблокировки), или же предлагается пополнить счёт чего-то мобильного телефона на сумму около 500 рублей (типа тогда на чеке оплаты вы увидите код). Стоит ли говорить, что всё это обман и развод. Даже если у вас стоит лицензионный Windows, даже если у вас на компьютере нет ничего неприличного и вы не смотрели ничего неприличного в сети, то вирус всё равно покажет вам такой баннер.

К тому же, на баннере будет написано, что если вы не введёте пароль/код, то все ваши данные на компьютере и BIOS будут удалены. Как правило, вам даётся срок в 24 часа. И опять же – это обман. Такой баннер ничего не удалит на вашем компьютере (и уж тем более BIOS – это невозможно). А потому, если вы обнаружили у себя такой баннер – спокойно выключаете компьютер и следуйте советам в данной статье.

Кстати, если вы даже заплатите/отправите СМС – то есть 90% шанс, что пришедший код не подойдёт (или скорее всего код вообще не придёт). Однако код может и подойти, но вирус не будет удалён, а значит через неделю он появится снова.
Хотя встречаются и «добросовестные вирусы», к которым код подойдёт и они удалят себя, но, повторюсь, в 90% случаев этого не произвойдет и потраченные вами деньги ничего на компьютере не изменят.

Как избавиться от вируса?

Способ 1. Простая перезагрузка

Попробуйте просто перезагрузиться. Да, да… по интернету всё ещё ходят старые и неразвитые модификации вируса (написанные криворукими людьми). Если после перезагрузки компьютер нормально запустился, то проверьте компьютер антивирусами.

Способ 2. Безопасный режим

Большинство современных блокировщиков запускаются и в безопасном режиме, но попробовать стоит. Выключите компьютер, а при запуске нажимайте клавишу F8. Однако на всех компьютерах клавиша запуска подобного меню разная. А потому, при включении компьютера начинайте нажимать на все кнопки от F1 до F9 подряд. В общем, перед вами должно появиться вот такое окно

Далее клавишами Вверх и Вниз выбираете «Безопасный режим». Если система загрузилась нормально, то проверяете компьютер антивирусами. Если нет, то выбираете режим «Безопасный режим с поддержкой командной строки». Если всё нормально запустилось, то вводите regedit. Далее следуете Способу 3.

Способ 3. Редактирование реестра

Если у вас получилось зайти в систему, в обход вируса, то нажимаете одновременно две клавиши Win+R. В появившемся окне, вводите regedit. После чего, вам откроется окно редактирования реестра.

Данное окно похоже на Проводник. В панели слева вы можете выбирать ветки реестра (как выбираете подпапки). Вирус прописывает себя в определённые ветки реестра, позволяющими ему запускаться даже в безопасном режиме.

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon
В данной ветке смотрим два параметра Shell и Userinit.

В значении Shell должно быть написано explorer.exe, а в значении Userinit – userinit.exe, (обязательно с запятой). Чтобы переписать значение, нужно дважды кликнуть по нему. Если вместо нужных значений написано что-то другое, то это название вируса. Запоминаем название вируса, чтобы потом можно было найти его обычным поиском и удалить.

Кстати, вирус может подменить некоторые буквы на кириллические. Например, explorer.exe, где вместо английской x (икс), стоит русское х. А потому, всё равно введите эти значения заново.

Однако прошли те счастливые времена, когда вирус прописывался только в эти ветки. Поэтому, если в вышеуказанных ветках всё нормально, то смотрите эти ветки:
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\
В этих ветках указаны программы, запускающиеся при старте системы. Нашли что-то странное – удаляете.

Плюс так же можно посмотреть
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce

Если баннер блокирует не Windows, а браузер Internet Explorer, то очистите ветку
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

Также ищите подозрительные названия в ветках:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options

Если вы избавились от баннера, но редактор реестра заблокирован и не работает диспетчер задач, то смотрим ветку
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
В данной ветке ищем значения:
DisableRegistryTools
DisableRegedit
DisableTaskMgr
И присваиваем им значение 0.

Способ 4. Живой диск. Живая флешка

Можете запуститься с живого диска или с флешки и также отредактировать реестр, как в Способе 3.
Если лень искать подходящий вам образ диска и скачивать его, то можно воспользоваться утилитой Kaspersky Rescue Disc. По данной ссылке вы сможете прочитать все инструкции и скачать всё нужное. В итоге, вы создадите загрузочную флешку. На сайте сказано, как запустить с неё систему. После запуска системы с флешки, вы можете проверить компьютер на вирусы, а заодно выбрать утилиту Kaspersky Registry Editor. Это такой же редактор реестра, а потому следуйте Способу 3.

Способ 5. Ищем по названию

Если у вас установлены две системы на одном компьютере, или манипуляции с реестром не помогли. Если вам даже не помогли живой диск и антивирусы, то есть детский способ.

Большинство баннеров перекрывают не весь рабочий стол. А потому, если попробовать вызвать диспетчер задач клавишами Alt+Ctrl+Del, то он появится на долю секунды, а потом исчезнет. А потому, вы просто зажимаете эти три клавиши и диспетчер задач начнёт как бы моргать. Вы не сможете проводить с ним никаких манипуляций, зато сможете увидеть подозрительный процесс. Запоминаете это подозрительное название. Затем загружаетесь с другой системы или с живого диска/флешки и в меню обычного поиска файлов вводите это название. Если нашли – удаляем.

Правда есть и такие вирусы, которые работают следующим образом. К вирусу прикреплена dll – библиотека, которая постоянно создаёт исполняемый файл вируса под разными названиями. В таком случае, название вируса всегда будет разным.

Способ 6. Ищем по дате

Если не нашли по названию, то ищите по дате. Загружаетесь с живого диска/флешки и задаёте пустой поиск, но в особых условиях укажите дату изменения. Т.е. в дате изменения пишем день заражения. После окончания поиска, система покажет вам множество файлов. Ищем подозрительные. Подозрительные носят расширение .exe или .swf. Подозрительные файлы имеют также длинные названия. Большинство вирусов имеют вид 0.nnnnnnnn, где n – это любое число. Иногда это просто длинный набор букв и цифр.

Кстати, можете удалить все файлы, которые выдал вам поиск. Системных файлов среди них не будет.

Способ 7. Деблокиратор

Можно зайти на сайты доктора Веба или Касперского, где по номеру указанного на баннере телефона или по фотографии, вы сможете подобрать код деактивации. А уже потом, после деактивации – проверьтесь антивирусом или следуйте способу 3.
Ссылки:
https://www.drweb.com/xperf/unlocker/
http://sms.kaspersky.ru/
https://www.drweb.com/xperf/unlocker/gallery/

Способ 8. ERD Commander и AntiWinlocker

Это специальные образы с понятным даже простому пользователю интерфейсом. Скачиваете и устанавливаете их на диск или флешку, загружаетесь с них и следуете инструкциям.
Ссылки:
http://www.antiwinlocker.ru/download.html - АнтиВинлокер
ERD Commander можете найти на трекерах.

Способ 9. Юридический

Как юрист, я просто обязан рассказать вам способ, который не только избавит вас от вируса, но ещё и доставит много неприятностей создателям.
Главный минус для разработчика блокировщика – это номер телефона, указанный в баннере. Если вас просят положить денег на чей-то номер или просят отправить СМС, то можете подать заявление в полицию с указанием этого номера. Если полиция не примет заявление, то звоните телефонному оператору, которому принадлежит этот телефон. «Быкуйте» и угрожайте оператору судом – оператор должен назвать вам либо контактные данные для дальнейшего разбирательства, либо подаст заявление в полицию вместе с вами. Если и там вас послали, то подайте заявление в прокуратуру, напишите иск в суд, подайте заявление в полицию. В общем, подайте заявления во все инстанции.

В данном способе есть много минусов. Во-первых, вам придётся оставить вирус на компьютере в качестве доказательства. Во-вторых, процесс будет длиться долго и не факт, что будет решён. В-третьих, готовы ли вы потратить уйму свободного времени, ради «дурацкого» вируса? Именно поэтому создателей таких вирусов просто никто не ищет. В таком обилии блокировщиков виноваты сами пользователи с пассивной гражданской позицией.

Способ 10. MBR

Есть вирусы, которые прописывают себя в специальную загрузочную область на жёстком диске. Таким образом, вирус запускается даже раньше самой системы. Т.е. на чёрном экране, белыми буквами будет написано то же, что и в обычных блокировщиках. Однако такой вирус уже не удалить с помощью стандартных манипуляций с реестром. Вам нужен диск, с которого вы устанавливали Windows. Если такого нет, то скачайте в интернете образ того Windows, который стоит у вас, и запишите образ на диск или флешку. Вставьте диск с Windows. Заходите в консоль восстановления (обычно клавиша R) и пишите fixmbr. Затем для согласия нажимаем «Y» (Yes), далее нажимаем Enter. Таким образом, загрузочная область у вас восстановится на обычную.

Итог

Защититься от блокировщиков одновременно трудно и просто. С одной стороны, современные виды блокировщиков пропускаются почти всеми антивирусами. Более того, из-за уязвимостей большинства браузеров, поймать вирус можно даже на проверенных и популярных сайтах.
Чтобы защититься, нужно ограничить себя в правах. Если у вас установлен Windows 7/Vista, то включите UAC (Панель управления – Учётные записи пользователей – Изменения параметров контроля). После включения UAC, перед каждым вашим действием система будет требовать вашего согласия. Теперь вирус не пройдёт! Но всё, опять же, не так просто. Большинству пользователей просто надоест перед каждым действием давать отдельное разрешение системе. К тому же UAC предполагает, что пользователям придётся делать подозрительно ответственные решения. Например, если блокировщик решит запуститься, то UAC выдаст сообщения типа «Приложение systemf.exe пытается запуститься» и предложит вам запустить его или отменить. Как думаете, будут ли люди, которые его запустят? Конечно, будут. Обычный пользователь не определит вирус, исходя из его названия.
А ещё можно установить плагин к браузеру, который будет блокировать запуск скриптов на сайтах. Например, плагин для Firefox – NoScript. И опять же, проблема. После установки плагина, вы не сможете зайти на свои любимые сайты, так как плагин по умолчанию блокирует все скрипты! А значит, придётся тратить драгоценное время на тонкую настройку.

Стоит ли становиться параноиком ради полной защиты своего компьютера – решать вам.

И на этой весёлой ноте я заканчиваю!
Спасибо за внимание!








Последние советы раздела «Компьютеры & Интернет»:

Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона
Внешний аккумулятор для смартфона: советы по выбору
Какие бывают компьютеры
Преимущества смартфонов Xiaomi
Аренда сервера – особенности и преимущества
Хостинг и его особенности
Как продвигаются мобильные приложения?





Комментарии совета:

Комментарий добавил(а): Артём Аленин
Дата: 22.08.2013

Владимир, попробуйте проверить компьютер специальными портативными антивирусами, типа CureIt... Если у вас такое уже второй раз, то можете включить UAC - в будущем он вас защитит.

Комментарий добавил(а): Владимир
Дата: 20.08.2013

Доброго здоровья Артём! Проблема такая - winodws 7 максимальная. В безопасном режиме ветка реестра HKCUSoftwareMicrosoftWindowsCurrentVersionRun отображается пустая. Запускал regedit.exe и regedit32.exe от имени администратора. Все бесполезно. Гуглил. Информации нет. Вирус был c:windowsexplorer.exe (какая то буква не латинская). И запускался именно из той ветки. У меня такой случай второй раз уже.

Комментарий добавил(а): Артём Аленин
Дата: 18.07.2013

Иван, воспользуйтесь способом номер 4 или 8. Скачайте антивирус и установите на флешку или диск. Система автоматически загрузится с неё.

Комментарий добавил(а): Иван
Дата: 18.07.2013

У меня баннер: на чёрном фоне буквы красного цвета(Windows заблокирован)номера телефона нету, только поле для ввода кода разблокировки. Пытаюсь поменять винду, клавиатура перестаёт работать, когда нажимаю f8, тоже клавиатура не работает. Комбинация Ctrl+Alt+Delete работает и сразу исчезает, но можно увидеть название вируса spid. Помогите подобрать код.

Комментарий добавил(а): Артём Аленин
Дата: 26.04.2013

Юрий, если иероглифы только в некоторых программах, ане во всём Windows, то может достаточно сменить кодировку в этих программах. Обычно в настройках программы можно выбрать кодировку. Вам нужен либо Unicode, либо windows-1251. Если же в программах этого сделать нельзя, то попробуйте сменить кодировку во всей системе. Так как вы не сказали, какая у вас операционка, то гуглите фразу "смена кодировки в {ваша версия ОС}". Прошу прощения, что не ответил сразу - госэкзамены :)

Комментарий добавил(а): Юрий
Дата: 24.04.2013

Спасибо за ответ. Переустанавливал и не один раз, не помогает. Вот такие символы в окне помощи: Ïðîñüáà Может быть, изменилась кодировка букв, но где её поправить я не знаю.

Комментарий добавил(а): Артём Аленин
Дата: 24.04.2013

Юрий, вероятно какие-то настройки шрифтов слетели. Или, что более вероятно, повредился какой-то файл в самой программе. Если такое происходит в программах, то можно просто переустановить или обновить.

Комментарий добавил(а): Юрий
Дата: 23.04.2013

Добрый день. У меня была такая ситуация и я восстановил систему, удалив ссылки на вирус в регистре. Но есть остаточное явление: в некоторых программах (например, Mmetro) вместо любых русских букв подставляются знаки ?. Подскажите, пожалуйста, как это побороть.

Комментарий добавил(а): Артём Аленин
Дата: 13.03.2013

Владимир, да это нормально.

Комментарий добавил(а): владимир
Дата: 12.03.2013

посмотрел реестр, в shell было значение Explorer.exe (с большщй буквы и без запятой в конце), переименовал по феншую, а вот в интернет эксплоререBrowser Helper Objects нет такой папки, это нормально?

Комментарий добавил(а): Артём Аленин
Дата: 12.03.2013

Владимир, вам можно сказать повезло с вирусом, что он так просто ликвидировался)))) А я вот однажды 4 часа над компьютером одной девушки просидел, прежде чем смог баннер удалить. Попался очень уж сложный и умный блокировщик...

Комментарий добавил(а): владимир
Дата: 11.03.2013

у меня подобное было: выскочила на весь экран картинка, якобы от мвд украины, сказала мне что я смотрел очень неприличное и непристойное видео,и если я мигом не поскачу к ближайшему платежному терминалу и не перешлю денюшку на какойто эл,адрес, то все,,, компу валянки,,,, я с начала тоже перезагрузил,но тщетно-картинка висит, тогда нажимаю ctri+ait+del (диспетчер задач) и там (вотхоть убей,но не помню через что именно,,, или через новую задачу, или через завершение сеанса юзер, или через смену пользователя)в общем сделал восстановление системы-получилось! картинка исчезла, а на рабочем столе смотрю файлик незнакомый новый-снес его сразу нафик,,,, и все,,,, аплодисменты!

Добавить комментарий

Имейте, пожалуйста, ввиду, что любые ссылки, html-теги или скрипты, будут выводиться в виде обычного текста - бессмысленно их использовать. Комментарии, содержащие нецензурные выражения, оскорбления, флуд и рекламу будут немедленно удалены.


В целях предотвращения спама в комментариях, сделайте, пожалуйста, два действия:

1. Напишите столицу Франции (с заглавной буквы)

2. Введите сумму чисел: 29 + 24 =

Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)