|


Поиск по сайту
Главная » 2012 » Ноябрь » 2 » Вирус блокирует Windows. Вирус блокирует компьютер. Вирус «Trojan.​Winlock» Удаляем вирус, с помощью ERD Commander!
00:14
Вирус блокирует Windows. Вирус блокирует компьютер. Вирус «Trojan.​Winlock» Удаляем вирус, с помощью ERD Commander!

 Принцип удаления вируса «Trojan.Winlock» при помощи ERD Commander.

 

Еще один вымогатель, который блокирует нормальную работу Windows, да еще и требует отправить деньги, чтобы очистить экран от баннера является вирус «Trojan.Winlock.3300». Собственно, данный вирус-вымогатель не дает пользователю ПК загрузить систему в безопасном режиме, а потому из этого возникают сложности в процессе борьбы с вирусом.

Как правило, производя загрузку в безопасном режиме (с командной строкой или без нее) компьютер оказывается полностью блокированным и всплывает источник всех проблем – баннер. Это значит, что в борьбе с вирусом вам не обойтись без загрузочного диска. Придется решать проблемы с помощью образа диска «ERD Commander». Как и что делать в данной ситуации?

Во-первых, надо скачать сам образ диска ERDC.iso  нажимаем, сюда: DepositFiles.com. Полученный результат лучше всего записать на диск CD. Если по какой-то причине у вас не получается записать диск (не отвечает CD-Rom), то с ERD Comander придется записать флешку (нажимаем, сюда). 

Как удаляется баннер "Компьютер заблокирован"!

Во-вторых, в загруженном образе выбираем версию операционной системы, которая установлена на вашем пострадавшем ПК (это могут быть ОС «WindowsXP»,  «Windows 7» или  «WindowsVista»). Затем всплывает окно с запросом на подключение к операционной системе. Если вы устанавливали Windows XP, то надо просто выбрать путь к папке «windows».


Если у вас стоит «семерочка», то перед загрузкой придется ответить на несколько вопросов. Среди них: вопрос об инициализации подключения к сети в фоновом режиме (отвечаем отрицательно), вопрос о переназначении букв дисков с целью их совпадения с новой операционной системой (отвечаем «да»).  Перед тем как выбрать путь к ОС, изменяется раскладка клавиатуры.


Далее потребуется редактура реестра. Эта процедура нужна для того чтобы избавить реестр от всех записей, которые внес туда вирус.  Для редактирования реестра,  в меню выбираем «Start Administrative Tools Registry Editor».


Если у вас операционная система «Windows 7», то меню ERDCommander будет слегка другим. При открытии окна надо выбрать команду «Microsoft Diagnostics and Recovery Toolset». Она запускает средства для восстановления ОС. После этой процедуры появляется еще одно окно, где выбираем команду «Редактор реестра ERD».


В первом окне выбираем путь к реестру. То, что предстанет перед нами и есть источник «инфекции», именно не его просторах царит вирус-баннер, а именно «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon».


В реестре проверяется три параметра по направлению «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Прежде всего, на проверку сдается файл «Shell», чьи функции заключаются в загрузке рабочего стола операционной системы. Этот файл должен иметь следующее значение: «Explorer.exe» и полный путь к нему должен иметь вид C:\Windows\explorer.exe. Второй параметрUIHost, его значение должно быть следующим: «logonui.exe». Ну и третьим проверяемым параметром будет Userinit, благодаря которому обеспечивается вход в систему любым из пользователей. Его значение прописываем самостоятельно - «C:\Windows\system32\userinit.exe».

Затем переходим на новую ветку, а именно «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run».


На этом направлении располагаются программы для автозагрузки.  Здесь надо проверить каждую программу отдельно, и если какая-либо из них вызывает подозрение, ее можно просто отключить такие программы зачастую находятся в папках типа:

«C:\temp», «C:\Windows\Temp»,

«C:\DocumentsandSettings\%username%\LocalSettings\Temp»,

«C:\DocumentsandSettings\%username%\LocalSettings\TemporaryInternetFiles». 

Соответственно вместо «%username%» будет стоять ваша учетная запись. 

Встречаются довольно курьезные и одновременно неприятные ситуации, когда вирус-баннер самостоятельно прописывает себя в таком ключе реестра, как «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows_NT\CurrentVersion\Windows\AppInit_DLLs».  Запомните, что значение этого ключа должно пустовать, а если там что-то и написано, то это может быть только антивирусной программой. 

Если эта ветка содержит нечто иное, то это может быть только вирусом, от которого надо избавиться. Для того, чтобы удалить все лишнее, то в реестре выбираем ключ «AppInit_DLLs» и полностью удаляете написанный путь. Поле должно остаться пустым, далее нажимаем «ОК».

Далее переходим на новую ветку реестра: «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options».На этой ветке, под отладчиком происходит старт любых программ. Собственно, сюда тоже может проникнуть вирус, к примеру, он может принять вид отладчика для какого-нибудь файла (к примеру, userinit.exe) или же «explorer.exe». В результате чего вместо запуска программы, получаем запуск вируса. Соответственно, открывая программу, вирус автоматически запускает свои действия на ПК.

Открывая редактор реестра, внимательно изучайте содержимое левого столбца, возможно, там есть что-то типа «explorer.exe», «iexplorer.exe», «userinit.exe». Теперь запомните – этот раздел должен быть чист, как первый снег. Если выше перечисленные разделы присутствуют, то выделяя его, автоматически в другом углу возникает путь к вирусу.  Очистив реестр по указанному адресу, в проводнике удаляются файлы. Если вы не нашли файлы через проводник, то можно попробовать обычный поиск.  В левой половине окна userinit.exe (на выбор) нажимаем левую кнопку мыши и команду «Удалить».

После проверяются параметры реестра: HKEY_USERS\%username%\Software\Microsoft\Windows_NT\CurrentVersion\Winlogo и

HKEY_USERS\%username%\Software\Microsoft\Windows\CurrentVersion\Run. После благополучного исправления и удаления всех «ненужностей» реестр закрывается.




Полное удаление баннера, требующего пополнить счет.

Ну и напоследок,  рассмотрим способ,  при котором намозоливший глаза порно-баннер упорно требует пополнить счет и никуда не исчезает. Для начала  надо при помощи меню «Start — Administrative Tools — Autoruns» (это команда ОС для Windows XP или Управление компьютером случае, если установлена ОС Windows 7) запустить инструмент «Управление компьютером».


Перейдя по ветке «System» можно увидеть элементы для автозагрузок ОС и для учетных записей HKEY_Local_Machine.


По описанию и по разработчику можно увидеть, что файл «userinit.exe» поражен вирусом. Напомним, что данный файл отвечает за работу операционной системы, а  именно за возможность входа в нее пользователя.  Данный файл загружается автоматически, после выбора учетной записи, а потому вирус срабатывает быстрее и не дает возможности работать и загружать ОС даже в безопасном режиме.

Собственно, здесь ничего не остается, как удалить файл «C:\Windows\System32\userinit.exe», заменив его оригиналом. Также, можно заглянуть и в файл «C:\windows\system32\taskmgr.exe». Новые вирусы поражают и его работу (возможна подмена файлов и т.д.). Удаленные файлы заменяются оригинальными, аналогичные действия происходят и с папкой «C:\windows\system32\dllcache».  Можно узнать, как восстановить удаленные или поврежденные файлы в других источниках (нажимаем, сюда)!

После внесения исправлений, диск ПК требует проверки на вирусы (лучше это сделать в безопасном режиме). Для этого можно скачать одноразовый антивирус «DrWebCureit» (нажимаем, сюда).




Просмотров: 5711 | Добавил: Выгдин | Рейтинг: 5.0/3