Меня частенько знакомые просят избавить их ноуты от Trojan.Winlock или так называемых Винлокеров. На примере одного из таких попробую максимально описать варианты защиты и удаления таких вирусов.

При загрузки системы выдало сообщение, повлиять как либо и удалить его не получилось. Различные сочетания клавиш (ctrl+alt+del, alt+F4 и т.д.) были заблокированы, мышка могла двигаться только в пределах выводимого сообщения.

Что делать?

1. Ни в коем случае не отправлять sms. С телефона снимут деньги и возможно, в систему вы так и не попадете.
2. Используя сервисы для разблокировки и компьютер соседа попрробуйте разблокировать
   

   https://www.drweb.com/xperf/unlocker/
   http://sms.kaspersky.ru/
   http://www.esetnod32.ru/.support/winlock/

   Если код получилось подобрать и после перезагрузки windows система загрузилась нормально и вы видите привычную вам систему, то вас можно поздравить. Правда, все равно стоит всё проверить. Попробуйте немного поработать за компьютером и переходите к лечению компьютера (несколько пунктов ниже)
3. Пробуйте нажать ctrl+alt+del. Если появился диспетчер задач:
•  пробуем завершить процесс вируса. Если удачно, перезагружаем компьютер и проверяем на вирусы.
• запустить через диспетчер задач скачанную утилиту для проверки (выбираем файл — новая задача и указываем путь к утилитам)
4. Пробуйте загрузить систему в безопасном режиме (начале загрузки нажимайте F8). Если вам повезет, выбираем «безопасный режим с поддержкой сетевых драйверов». Когда система загрузится, лечим от вирусов.
5. Пробуем при помощи загрузочного диска или флешки. для этого можно воспользоваться антивирусными решениями или урезанными версиями XP, работающие со сменного носителя.

Ветки реестра и директории где может скрываться вирус

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • в ключе «shell» должно быть указано «explorer.exe». Тут возможно подмена английских букв русскими, поэтому лучше explorer.exe вписать заново
   • «userinit» должно быть «C:\WINDOWS\system32\userinit.exe». возможно в этом параметре после запятой будет указан путь до вируса. userinit.exe лучше также ввести заново.
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • В только что установленной винде эта ветка должна быть чистой, если в ней что есть проверяйте, возможно это вирус
3. В планировщике заданий. (c\windows\tasks\ — ищем странные задачи)
4. HKEY_USERS\Shadow tester\Software\Microsoft\Windows\CurrentVersion\Run
   • CTFMON.EXE должен быть c:\windows\system32\ctfmon.exe

Сайты с утилитами для лечения от вирусов

1. Kaspersky.ru ( http://www.kaspersky.ru/virusscanner )
   Kaspersky Virus Removal Tool — утилита от касперского для лечения от вирусов
   Kaspersky Rescue Disk — загрузочный диск касперского. Пригодится в тех случаях когда загрузка в систему не возможна.
2. Dr.Web ( http://drweb.com/ )
   Dr.Web CureIt! ( http://www.freedrweb.com/cureit/ ) —  без установки Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.
   Dr.Web® LiveUSB ( http://www.freedrweb.com/liveusb ) - продукт, позволяющий провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
   Dr.Web® LiveCD ( http://www.freedrweb.com/livecd/ ) — образ диска для проверки на вирусы. Пригодится если надо скопировать информацию с зараженного компьютера, а так же для проверки когда загрузиться в windows неполучается.
3.  Avira ( http://www.avira.com/ )
   Avira AntiVir Rescue System ( http://www.avira.com/ru/downloads#tools ) - позволяет получить доступ к компьютерам, которые не могут быть загружены. Это позволяет восстановить поврежденную систему, спасти данные или просканировать на вирусные инфекции.
4. AVG ( http://www.avg.com )
   AVG Rescue CD ( http://www.avg.com/ru-ru/avg-rescue-cd ) — универсальный набор инструментов, позволяющий устранять системные сбои и возвращать системы в состояние максимальной производительности благодаря устранению обширных заражений вирусами и восстановлению файловых систем.
5. BitDefender ( http://download.bitdefender.com/rescue_cd/ ) — загрузочный диск для проверки компьютера на вирусы.