Новости

Вірус блокує Windows. Вірус блокує комп'ютер. Вірус «Trojan. Winlock» Видаляємо вірус, за допомогою ERD Commander!

  1. Як видаляється банер "Комп'ютер заблокований"!
  2. Повне видалення банера, що вимагає поповнити рахунок.

Ще одного здирника, який блокує нормальну роботу Windows, та ще й вимагає відправити гроші, щоб очистити екран від банера є вірус «Trojan.Winlock.3300». Власне, цей вірус-вимагач не дає користувачеві ПК завантажити систему в безпечному режимі, а тому з цього виникають складнощі в процесі боротьби з вірусом.

Як правило, виробляючи завантаження в безпечному режимі (з командним рядком або без неї) комп'ютер виявляється повністю блокованим і спливає джерело всіх проблем - банер. Це означає, що в боротьбі з вірусом вам не обійтися без завантажувального диска. Доведеться вирішувати проблеми за допомогою образу диска «ERD Commander». Як і що робити в даній ситуації?

По-перше, треба завантажити сам образ диска ERDC.iso натискаємо, сюди: DepositFiles.com . Отриманий результат найкраще записати на диск CD. Якщо з якоїсь причини у вас не виходить записати диск (не відповідає CD-Rom), то з ERD Comander доведеться записати флешку ( натискаємо, сюди ).

Як видаляється банер "Комп'ютер заблокований"!

Як видаляється банер Комп'ютер заблокований

По-друге, в завантаженому образі вибираємо версію операційної системи, яка встановлена на вашому постраждалому ПК (це можуть бути ОС «WindowsXP», «Windows 7» або «WindowsVista»). Потім спливає вікно із запитом на підключення до операційної системи. Якщо ви встановлювали Windows XP, то треба просто вибрати шлях до папки «windows».

Якщо ви встановлювали Windows XP, то треба просто вибрати шлях до папки «windows»

Якщо у вас стоїть «Семерочка», то перед завантаженням доведеться відповісти на кілька запитань. Серед них: питання про ініціалізації підключення до мережі у фоновому режимі (відповідаємо негативно), питання про перепризначення букв дисків з метою їх збігу з новою операційною системою (відповідаємо «так»). Перед тим як вибрати шлях до ОС, змінюється розкладка клавіатури.

Перед тим як вибрати шлях до ОС, змінюється розкладка клавіатури

Далі буде потрібно редактура реєстру. Ця процедура потрібна для того щоб позбавити реєстр від всіх записів, які вніс туди вірус. Для редагування реєстру, в меню вибираємо «Start - Administrative Tools - Registry Editor».

Для редагування реєстру, в меню вибираємо «Start - Administrative Tools - Registry Editor»

Якщо у вас операційна система «Windows 7», то меню ERDCommander буде злегка іншим. При відкритті вікна треба вибрати команду «Microsoft Diagnostics and Recovery Toolset». Вона запускає кошти для відновлення ОС. Після цієї процедури з'являється ще одне вікно, де вибираємо команду «Редактор реєстру ERD».

Після цієї процедури з'являється ще одне вікно, де вибираємо команду «Редактор реєстру ERD»

У першому вікні вибираємо шлях до реєстру. Те, що постане перед нами і є джерело «інфекції», саме на її теренах панує вірус-банер, а саме «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon».

Те, що постане перед нами і є джерело «інфекції», саме на її теренах панує вірус-банер, а саме «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon»

У реєстрі перевіряється три параметра за напрямом «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon. Перш за все, на перевірку здається файл «Shell», чиї функції полягають в завантаженні робочого столу операційної системи. Цей файл повинен мати таке значення: «Explorer.exe» і повний шлях до нього повинен мати вигляд C: \ Windows \ explorer.exe. Другий параметр - UIHost, його значення має бути наступним: «logonui.exe». Ну і третім перевіряється параметром буде Userinit, завдяки якому забезпечується вхід в систему будь-яким з користувачів. Його значення прописуємо самостійно - «C: \ Windows \ system32 \ userinit.exe».

Потім переходимо на нову гілку, а саме «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run».


На цьому напрямку розташовуються програми для автозавантаження. Тут треба перевірити кожну програму окремо, і якщо котрась із них викликає підозру, її можна просто відключити такі програми часто знаходяться в папках типу:

«C: \ temp», «C: \ Windows \ Temp»,

«C: \ DocumentsandSettings \% username% \ LocalSettings \ Temp»,

«C: \ DocumentsandSettings \% username% \ LocalSettings \ TemporaryInternetFiles».

Відповідно замість «% username%» буде стояти ваш обліковий запис.

Зустрічаються досить курйозні і одночасно неприємні ситуації, коли вірус-банер самостійно прописує себе в такому ключі реєстру, як «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows_NT \ CurrentVersion \ Windows \ AppInit_DLLs». Запам'ятайте, що значення цього ключа повинно бути порожнім, а якщо там щось і написано, то це може бути тільки антивірусною програмою.

Запам'ятайте, що значення цього ключа повинно бути порожнім, а якщо там щось і написано, то це може бути тільки антивірусною програмою

Якщо ця гілка містить щось інше, то це може бути тільки вірусом, від якого треба позбутися. Для того, щоб видалити все зайве, то в реєстрі вибираємо ключ «AppInit_DLLs» і повністю видаляєте написаний шлях. Поле має залишитися порожнім, далі натискаємо «ОК».

Далі переходимо на нову гілку реєстру: «HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options» .На цій гілці, під отладчиком відбувається старт будь-яких програм. Власне, сюди теж може проникнути вірус, наприклад, він може прийняти вид відладчика для якого-небудь файлу (наприклад, userinit.exe) або ж «explorer.exe». В результаті чого замість запуску програми, отримуємо запуск вірусу. Відповідно, відкриваючи програму, вірус автоматично запускає свої дії на ПК.

Відкриваючи редактор реєстру, уважно вивчайте вміст лівого стовпця, можливо, там є щось типу «explorer.exe», «iexplorer.exe», «userinit.exe». Тепер запам'ятайте - цей розділ повинен бути чистий, як перший сніг. Якщо вище перераховані розділи присутні, то виділяючи його, автоматично в іншому кутку виникає шлях до вірусу. Очистивши реєстр за вказаною адресою, в провіднику видаляються файли. Якщо ви не знайшли файли через провідник, то можна спробувати звичайний пошук. У лівій половині вікна userinit.exe (на вибір) натискаємо ліву кнопку миші і команду «Видалити».

Після перевіряються параметри реєстру: HKEY_USERS \% username% \ Software \ Microsoft \ Windows_NT \ CurrentVersion \ Winlogo і

HKEY_USERS \% username% \ Software \ Microsoft \ Windows \ CurrentVersion \ Run. Після благополучного виправлення і видалення всіх «непотрібності» реєстр закривається.

Повне видалення банера, що вимагає поповнити рахунок.

Ну і наостанок, розглянемо спосіб, при якому намозолили очі порно-банер наполегливо вимагає поповнити рахунок і нікуди не зникає. Для початку треба за допомогою меню «Start - Administrative Tools - Autoruns» (це команда ОС для Windows XP або Управління комп'ютером випадку, якщо встановлена ​​ОС Windows 7) запустити інструмент «Керування комп'ютером».


Перейшовши по гілці «System» можна побачити елементи для автозагрузок ОС і для облікових записів HKEY_Local_Machine.


За описом і по розробнику можна побачити, що файл «userinit.exe» вражений вірусом. Нагадаємо, що даний файл відповідає за роботу операційної системи, а саме за можливість входу в неї користувача. Даний файл завантажується автоматично, після вибору облікового запису, а тому вірус спрацьовує швидше і не дає можливості працювати і завантажувати ОС навіть в безпечному режимі.

Власне, тут нічого не залишається, як видалити файл "C: \ Windows \ System32 \ userinit.exe», замінивши його оригіналом. Також, можна заглянути і в файл "C: \ windows \ system32 \ taskmgr.exe». Нові віруси вражають і його роботу (можлива підміна файлів і т.д.). Дистанційні файли замінюються оригінальними, аналогічні дії відбуваються і з папкою «C: \ windows \ system32 \ dllcache». Можна дізнатися, як відновити видалені або пошкоджені файли в інших джерелах (натискаємо, сюди)!

Після внесення виправлень, диск ПК вимагає перевірки на віруси (краще це зробити в безпечному режимі). Для цього можна завантажити одноразовий антивірус «DrWebCureit» ( натискаємо, сюди ).


Як і що робити в даній ситуації?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: