компьютер заблокирован — Trojan.Winlock (Винлокер)

Меня частенько знакомые просят избавить их ноуты от Trojan.Winlock или так называемых Винлокеров. На примере одного из таких попробую максимально описать варианты защиты и удаления таких вирусов.

При загрузки системы выдало сообщение, повлиять как либо и удалить его не получилось. Различные сочетания клавиш (ctrl+alt+del, alt+F4 и т.д.) были заблокированы, мышка могла двигаться только в пределах выводимого сообщения.

Что делать?

  1. Ни в коем случае не отправлять sms. С телефона снимут деньги и возможно, в систему вы так и не попадете.
  2. Используя сервисы для разблокировки и компьютер соседа попрробуйте разблокировать

    https://www.drweb.com/xperf/unlocker/
    http://sms.kaspersky.ru/
    http://www.esetnod32.ru/.support/winlock/

    Если код получилось подобрать и после перезагрузки windows система загрузилась нормально и вы видите привычную вам систему, то вас можно поздравить. Правда, все равно стоит всё проверить. Попробуйте немного поработать за компьютером и переходите к лечению компьютера (несколько пунктов ниже)
  3. Пробуйте нажать ctrl+alt+del. Если появился диспетчер задач:
    •  пробуем завершить процесс вируса. Если удачно, перезагружаем компьютер и проверяем на вирусы.
    • запустить через диспетчер задач скачанную утилиту для проверки (выбираем файл — новая задача и указываем путь к утилитам)
  4. Пробуйте загрузить систему в безопасном режиме (начале загрузки нажимайте F8). Если вам повезет, выбираем «безопасный режим с поддержкой сетевых драйверов». Когда система загрузится, лечим от вирусов.
  5. Пробуем при помощи загрузочного диска или флешки. для этого можно воспользоваться антивирусными решениями или урезанными версиями XP, работающие со сменного носителя.

Ветки реестра и директории где может скрываться вирус

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • в ключе «shell» должно быть указано «explorer.exe». Тут возможно подмена английских букв русскими, поэтому лучше explorer.exe вписать заново
    • «userinit» должно быть «C:\WINDOWS\system32\userinit.exe». возможно в этом параметре после запятой будет указан путь до вируса. userinit.exe лучше также ввести заново.
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • В только что установленной винде эта ветка должна быть чистой, если в ней что есть проверяйте, возможно это вирус
  3. В планировщике заданий. (c\windows\tasks\ — ищем странные задачи)
  4. HKEY_USERS\Shadow tester\Software\Microsoft\Windows\CurrentVersion\Run
    • CTFMON.EXE должен быть c:\windows\system32\ctfmon.exe

 

Сайты с утилитами для лечения от вирусов

  1. Kaspersky.ru ( http://www.kaspersky.ru/virusscanner )
    Kaspersky Virus Removal Tool — утилита от касперского для лечения от вирусов
    Kaspersky Rescue Disk — загрузочный диск касперского. Пригодится в тех случаях когда загрузка в систему не возможна.
  2. Dr.Web ( http://drweb.com/ )
    Dr.Web CureIt! ( http://www.freedrweb.com/cureit/ ) —  без установки Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.
    Dr.Web® LiveUSB ( http://www.freedrweb.com/liveusb ) - продукт, позволяющий провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
    Dr.Web® LiveCD ( http://www.freedrweb.com/livecd/ ) — образ диска для проверки на вирусы. Пригодится если надо скопировать информацию с зараженного компьютера, а так же для проверки когда загрузиться в windows неполучается.
  3.  Avira ( http://www.avira.com/ )
    Avira AntiVir Rescue System ( http://www.avira.com/ru/downloads#tools ) - позволяет получить доступ к компьютерам, которые не могут быть загружены. Это позволяет восстановить поврежденную систему, спасти данные или просканировать на вирусные инфекции.
  4. AVG ( http://www.avg.com )
    AVG Rescue CD ( http://www.avg.com/ru-ru/avg-rescue-cd ) — универсальный набор инструментов, позволяющий устранять системные сбои и возвращать системы в состояние максимальной производительности благодаря устранению обширных заражений вирусами и восстановлению файловых систем.
  5. BitDefender ( http://download.bitdefender.com/rescue_cd/ ) — загрузочный диск для проверки компьютера на вирусы.
Я бы мог наверно выкладывать ссылки бесконечно. Устал, остановился на основных, которыми пользовался.
Остались или есть ещё вопросы? Задавайте!
(не забудьте указать ссылку на этот пост)




3 комментария

  1. DemoN Russian Federation Internet Explorer Windows :

    Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре — это просто встроенное в Windows система восстановления Rstrui

    1. F8 при загрузке Операционной систмы

    2. выбор пункта безопасный режим с поддержкой командной строки

    3. вводим команду rstrui

    Подробная инструкция https://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov

    Thumb up 0 Thumb down 0

  2. Lorrus Russian Federation Opera Windows :

    Мне недавно попался винлокер. Впервые за 10 лет пользования компьютером словил его. Этот винлокер, зараза такая, мне диспетчер задач заблочил. Но, благо, рядом лежит андроид с интернетом, залез в него, быстро поискал что делать.

    Перезагрузился я в безопасном режиме, в реестре поправил пункт, запрещающий использование диспетчера задач(винлокер его там отключил), потом у себя в профиле снес папку TEMP и браузер, через который прилез винлокер. И работает...

    Thumb up 0 Thumb down 0

  3. skilain Russian Federation Google Chrome Windows :

    можно просто включить компьютер в безопасном режиме ввести exporer.exe откроется панель и вручную удаляем загрузку вируса у меня получилось))) =)

    Thumb up 0 Thumb down 0

Оставить комментарий

Установка, настройка, мониторинг и администрирование linux, unix, windows систем