Меня частенько знакомые просят избавить их ноуты от Trojan.Winlock или так называемых Винлокеров. На примере одного из таких попробую максимально описать варианты защиты и удаления таких вирусов.
При загрузки системы выдало сообщение, повлиять как либо и удалить его не получилось. Различные сочетания клавиш (ctrl+alt+del, alt+F4 и т.д.) были заблокированы, мышка могла двигаться только в пределах выводимого сообщения.
Что делать?
- Ни в коем случае не отправлять sms. С телефона снимут деньги и возможно, в систему вы так и не попадете.
- Используя сервисы для разблокировки и компьютер соседа попрробуйте разблокировать
https://www.drweb.com/xperf/unlocker/
http://sms.kaspersky.ru/
http://www.esetnod32.ru/.support/winlock/ - Пробуйте нажать ctrl+alt+del. Если появился диспетчер задач:
- пробуем завершить процесс вируса. Если удачно, перезагружаем компьютер и проверяем на вирусы.
- запустить через диспетчер задач скачанную утилиту для проверки (выбираем файл — новая задача и указываем путь к утилитам)
- Пробуйте загрузить систему в безопасном режиме (начале загрузки нажимайте F8). Если вам повезет, выбираем «безопасный режим с поддержкой сетевых драйверов». Когда система загрузится, лечим от вирусов.
- Пробуем при помощи загрузочного диска или флешки. для этого можно воспользоваться антивирусными решениями или урезанными версиями XP, работающие со сменного носителя.
Ветки реестра и директории где может скрываться вирус
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- в ключе «shell» должно быть указано «explorer.exe». Тут возможно подмена английских букв русскими, поэтому лучше explorer.exe вписать заново
- «userinit» должно быть «C:\WINDOWS\system32\userinit.exe». возможно в этом параметре после запятой будет указан путь до вируса. userinit.exe лучше также ввести заново.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- В только что установленной винде эта ветка должна быть чистой, если в ней что есть проверяйте, возможно это вирус
- В планировщике заданий. (c\windows\tasks\ — ищем странные задачи)
- HKEY_USERS\Shadow tester\Software\Microsoft\Windows\CurrentVersion\Run
- CTFMON.EXE должен быть c:\windows\system32\ctfmon.exe
Сайты с утилитами для лечения от вирусов
- Kaspersky.ru ( http://www.kaspersky.ru/virusscanner )
Kaspersky Virus Removal Tool — утилита от касперского для лечения от вирусов
Kaspersky Rescue Disk — загрузочный диск касперского. Пригодится в тех случаях когда загрузка в систему не возможна. - Dr.Web ( http://drweb.com/ )
Dr.Web CureIt! ( http://www.freedrweb.com/cureit/ ) — без установки Вы можете быстро проверить Ваш компьютер и, в случае обнаружения вредоносных объектов, вылечить его.
Dr.Web® LiveUSB ( http://www.freedrweb.com/liveusb ) - продукт, позволяющий провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
Dr.Web® LiveCD ( http://www.freedrweb.com/livecd/ ) — образ диска для проверки на вирусы. Пригодится если надо скопировать информацию с зараженного компьютера, а так же для проверки когда загрузиться в windows неполучается. - Avira ( http://www.avira.com/ )
Avira AntiVir Rescue System ( http://www.avira.com/ru/downloads#tools ) - позволяет получить доступ к компьютерам, которые не могут быть загружены. Это позволяет восстановить поврежденную систему, спасти данные или просканировать на вирусные инфекции. - AVG ( http://www.avg.com )
AVG Rescue CD ( http://www.avg.com/ru-ru/avg-rescue-cd ) — универсальный набор инструментов, позволяющий устранять системные сбои и возвращать системы в состояние максимальной производительности благодаря устранению обширных заражений вирусами и восстановлению файловых систем. - BitDefender ( http://download.bitdefender.com/rescue_cd/ ) — загрузочный диск для проверки компьютера на вирусы.
Я бы мог наверно выкладывать ссылки бесконечно. Устал, остановился на основных, которыми пользовался.
Верный способ вылечить недуг, без дисков, без Flash, без ковыряний в реестре — это просто встроенное в Windows система восстановления Rstrui
1. F8 при загрузке Операционной систмы
2. выбор пункта безопасный режим с поддержкой командной строки
3. вводим команду rstrui
Подробная инструкцияhttps://sites.google.com/site/fixtoolz/instrukcii-po-kategorii/windows-xp-vista-7-server/vas-komputer-zablokirovan-za-prosmotr-kopirovanie-i-tirazirovanie-videomaterialov
Мне недавно попался винлокер. Впервые за 10 лет пользования компьютером словил его. Этот винлокер, зараза такая, мне диспетчер задач заблочил. Но, благо, рядом лежит андроид с интернетом, залез в него, быстро поискал что делать.
Перезагрузился я в безопасном режиме, в реестре поправил пункт, запрещающий использование диспетчера задач(винлокер его там отключил), потом у себя в профиле снес папку TEMP и браузер, через который прилез винлокер. И работает...
можно просто включить компьютер в безопасном режиме ввести exporer.exe откроется панель и вручную удаляем загрузку вируса у меня получилось)))