Как сбросить забытый пароль от антивируса Dr. Есть ли опасные вредоносные программы для Android? Как на время отключить dr.Web

Решил сегодня написать еще одну статью с том как бороться с вирусом-вымогателем, (баннером-вымогателем). Они же вирусы MBRlock и Winlock . Я уже писал о них не раз, и не знаю стоит ли снова повторять что это такое. Но если вы ищите информацию о том, как разблокировать компьютер после того как баннер-вымогатель его заблокировал , то думаю что вы уже знаете как он выглядит и как может вам навредить. Даже не то чтобы навредить, просто испортить настроение и заставить поволноваться.

Недавно я написал один эффективный способ, которым можно удалить вирус-вымогатель почитайте, как убрать баннер-вымогатель с помощью Dr.Web LiveCD. Сегодня же мы снова обратимся за помощью к антивирусной компании Dr.Web, а именно к ихнему сервису “Сервис разблокировки компьютеров”. Он кстати абсолютно бесплатный и использовать его можно без каких либо регистраций.

Значит так, наш компьютер поражен вирусом-вымогателем. Не важно, это Winlock, или MBRlock. отличаются он вроде бы только тем, что в Winlock – баннер-вымогатель появляется после загрузки Windows. А в MBRlock появляется сразу же после запуска компьютера. Он появляется обычно в виде красного текста на черном фоне. Текст конечно же с разными угрозами и запугивает тем, что передаст информацию о вас в соответствующие органы. Ничего он не передаст, он так шутит:).

Допустим вирус Winlock на нашем компьютере выглядит вот так:

Или вот так (MBRlock):

В любом случае, вирус покажет вам номер телефона, или номер кошелька, на который нужно перевести деньги. Давайте для примера возьмем второй баннер-вымогатель. Видите, я выделил номер на который нужно перевести деньги.

Ни в коем случае не переводите деньги на эти номера, это не спасет вас!

Для того, что бы попробовать удалить Winlock нам нужно только этот номер, на который вирус просит перевести деньги.

К тому же нам еще понадобится компьютер подключенный к интернету (идем к соседу), можно и со смартфона. Если у вас нет второго компьютера, нет хороших соседей и смартфона, то можно загрузится с загрузочного диска от Dr.Web, в нем есть браузер и таким образом зайти в интернет.

Заходим на сайт https://www.drweb.com/xperf/unlocker/ и видим форму, в которую нужно вписать номер который указан в баннере-вымогателе. Указываем номер и нажимаем “Искать коды”. Этот сервис недавно обновился и появилась функция поиска вируса по изображениям. Если первый способ поиска по номеру не поможет, то можете попробовать поискать по изображениям.

Система выдаст нам список результатов (хорошо если что-то найдется, ведь результатов может и не быть). Смотрим результаты, ищем свой вирус, смотрим код разблокировки вируса и обязательно смотрим примечание если оно сеть.

Берем этот код разблокировки и прописываем в специальное окно в вирусе который заблокировал Windows. Так же если есть примечание, то делаем то что в нем написано.

После этих действий, вирус должен исчезнуть. После включения компьютера просканируйте его антивирусом. И обязательно новым антивирусом с новыми антивирусными базами, а не теми, которые в последний раз обновлялись пару лет назад.

Код разблокировки вируса не найден. Что делать?

Мы должны понимать, что Dr.Web не может иметь в своей базе абсолютно все номера таких вирусов. Вирусы эти появляются очень активно, (хотя в последний несколько лет их активность немного снизилась) поэтому вы можете получить и вот такой результат поиска:

Не стоит расстраиваться, есть еще много способов победить вирус-вымогатель. Можно воспользоваться загрузочным диском от Dr.Web (ссылку на статью я давал выше).

Так же в компании ESET, есть такой же сервис как и в Dr.Web. Находится он по адресу http://www.esetnod32.ru/.support/winlock/. Описывать его работу, я думаю смысла нет. Принцип его работы такой же, как и тот, что я описал в этой статье. Сервис хороший и попробовать его стоит.

Я же продолжу ряд статьей по борьбе с этими вирусами. И буду писать, что еще можно сделать, когда вирус просит отправить СМС, или отправить деньги на кошелек.

Если у Вас на экране монитора, в один прекрасный день, появилась надпись "Windows заблокирован! " (Windows мужского рода? ), причем причины блокировки банальны и возможно описаны в самом окне блокировки вируса Trojan.Winlock - "неправомерный доступ к материалам пор-кого содержания.. ." и т.д. см. скриншот окна Winlock .

При виде этого счастья, у пользователя, находящегося в предшоковом состоянии, постепенно рождается вопрос - , да еще без оплаты, да еще и и чтобы эта гадость не стерла этот... ну в общем сами знаете какой Windows , "правила эксплуатации " которого нарушены (кто-нибудь видел эти правила? ).

Читаем: на "чеке Вы найдете... код", где его искать? Может это налоговый номер (ИНН) данного ИП (масштабно работают! ) или сам терминал в доле, а может быть он и есть злодей-вымогатель и вирус в одном терминале, который каждому горе-юзеру за 1000 руб печатает циферки активации.

А последняя фраза: "Попытка переустановить систему приведет к нарушениям работы вашего компьютера! ", убивает окончательно и бесповоротно все надежды спастись от вируса, куда уж можно больше нарушений в работе системы, если тут и сейчас вообще никак? а там, потом еще?

Но, наберемся мужества и вернемся к тексту блокировщика, приведшего нашего пользователя в стрессовое состояние.

Эти "действия ", скорее относятся к автору вируса Trojan.Winlock , а не к бедолаге пользователю, который и так уже в прединфарктном состоянии ползет к терминалу с тысячной купюрой в руках в надежде разблокировать компьютер.

А исходя из вердикта вирусописателя он нарушил еще и: лицензию "по эксплуатации ПО" целой корпорации! Полная программа нарушений всего и вся, а значит пора покупать индульгенцию.

Этот пугающий текст в окне, написан наверное на всякий случай, чтобы счастливчик заблокированного компьютера, не вздумал жаловаться в органы, ведь за противоречия УК РФ , там уж точно по головке не погладят!

- Противоречил УК?! Нарушал эксплуатацию?! - тогда отвечай, такой-сякой, по полной программе, перед всей Российской Федерации и томиком УК РФ по башке тебя, чтобы в следующий раз непротиворечился .

Оказывается есть еще и какое-то тайное соглашение "по эксплуатации ПО" между Microsoft и... кем-то?, о котором знает только автор-доброхот (хочет добра, это не ругательное слово!) защищающий интересы маленькой, бедненькой и никем не защищенной забугорной корпорации расположенной где-то за море-окияном .

Полная графомания, если и пугать, так надо было и пугать по-настоящему, серьезно, типа:

розовый зайчик, в виде длинноногой девицы с бутафорскими заячьими ушами, показывающей эротический стриптиз на рабочем столе Вашего компьютера и жеманно предлагающей беспрецедентную акцию (только сегодня и сейчас! ) бесплатной разблокировки компьютера за покупку кассового чека в ближайшем терминале на сумму 1000 руб,
за 2000 руб - бесплатно активировать 2-а компьютера,
а за 3000 руб. бесплатно разденется догола только у Вас, да еще и на рабочем столе, персонального Вашего компьютера!

Супер! Есть за что платить, а то пополни номер, а если номер не пополнится? вдруг номер уже полный, ... бред какой-то. Да, а где скидки дают?, где бонусы наконец?

Как бесплатно разблокировать Windows от вируса вымогателя Trojan.Winlock ?.

Внимание. Для крутых спецов, которые не желают читать как разблокировать Windows, даем самый простой способ удаления вируса - удалите все разделы диска, переформатируйте винчестер и Вы получите почти 100 процентную гарантию уничтожения вражины, если конечно загрузочный диск не заражен, но можно и этого избежать низкоуровневым форматированием, если микросхема не заражена, и т.д. пока не дойдём до китайского производителя.

Приведем изображение экрана монитора с окном вируса Trojan.WinlockTrojan.

Самый простой способ разблокировать свою любимую Windows бесплатно и легко, это перейти на сайт онлайн-сервиса антивируса Dr.Web , используя любой еще живой компьютер с выходом в интернет, в крайнем случае сделайте звонок другу.

На странице разработчиков антивируса Dr.Web в окошке: "Сервис разблокировки компьютеров" , ввести номер, в данном случае номер телефона из текста вымогателя, вируса-блокировщика: "пополнить номер абонента МТС: 79874498961 ".

Как Вы понимаете, все здесь реально и вирус Trojan.Winlock , и абонент 79874498961 , который является настоящим преступником с реальными реквизитами, адресом и паспортными данными, ведь безналичные деньги всегда имеют конкретный адрес, даже если паспорт фальшивый и оптом скупаются тел.номера.

Да и сайты (домены регистрируются в России и оплачиваются по паспортным данным) распространяющие данный вредоносный код не скрываются и не прячутся по углам, а очень даже уважаемы поисковыми системами и радуют пользователей интернета такими и сякими фишками

Не все владельцы вирусных сайтов оголтелые вредители, множество сайтов просто взломаны и заражены вирусами. Да и в последнее время надо отдать должное, поисковая система Яндекс предупреждает пользователя о зараженных сайтах.

Скриншот страницы Dr.Web - "Сервис разблокировки компьютеров"

После ввода цифр номера вымогателя, нажимаем кнопку "Искать коды" и если повезет, то совершенно бесплатно получим требуемый код для разблокировки многострадальной Windows .

Но в данный момент, огорчение, не получается быстро получить код от онлайн-сервиса антивируса Dr.Web и отделаться от окна вируса-вымогателя с его дурацкими надписями апокалипсиса.

И антивирусный сервис Dr.Web предлагает перейти к следующему шагу - определить название вируса по изображению .

Переходим по полученной ссылке и на первой же странице сервиса антивируса Dr.Web, находим точно такое же изображение окна вируса блокировщика Trojan.Winlock с соответствующим содержанием (содержание на всех картинках практически одинаково, чувствуется рука "поэта" ).

Рядом с идентифицированным снимком, на веб-странице антивируса Dr.Web , расположен столбец кодов активаций, из которого и выбираем необходимые цифры для ввода на заблокированном компьютере.

Случайная выборка кодов разблокировки, не решила проблему.

Тогда, монотонно и по порядку, начинаем вводить и проверять цифры для активации.

Очень неудобно елозить курсором по кнопкам в окне заблокированного компьютера, движения которого, ограничены вирусной программой. Но на пятой или шестой попытке вирус проглотил циферки и появился долгожданный рабочий стол измученной бездельем Windows.

Ага! (или типа: вау, крутой перец )

Бах! и опять та же смешная картинка перекрывает открытые окна на рабочем столе.

На столбе висит мочало, начинай сначала .

Нет желания заниматься перебором, вводим те же цифры, вирус нежадный, разблокировал доступ.

Ждем, может еще чего-нибудь отчубучит. Нет молчит, успокоился. Никакого разнообразия. Скукота, честный какой-то вирус, не по понятиям.

Но если вариант с готовыми кодами разблокировки Windows не сработал или Вас он просто не интересует, то сервис Dr.Web предлагает воспользоваться бесплатными загрузочными дисками (Вы должны скачать образ диска и записать его): Dr.Web LiveCD или Dr.Web LiveUSB , на базе Linux .

После загрузки с выбранного носителя, Вы можете отсканировать компьютер бесплатной антивирусной программой Dr.Web .

Фото меню загрузчика Dr.Web LiveCD

При помощи всегда обновляющейся антивирусной базы Dr.Web на онлайн-сервисе можно бесплатно проверить на вирусы отдельные файлы и ссылки на веб-страницы, причем для всех популярных браузеров существует и отдельный плагин антивируса Dr.Web LinkChecker

Если код разблокировки Вы не подобрали, не отчаивайтесь, есть альтернативные разблокировщики и возможность бесплатно отправить код, специалистам со страницы Dr.Web

Вот и все, присказка закончилась и начинается сказка.

Для очистки и удаления оставшихся вирусов воспользуемся следующим общим алгоритмом:

Последний пункт из вышеперечисленного ни кем из специалистов практически не делается, слишком накладно, трудоемко и требуются специфические знания по настройке и администрирования Windows.
- Да и мало-ли что Вы сами натворили еще до того, как? Исправишь, а потом выслушивай комплименты.

Разблокировать Windows другими бесплатными антивирусными онлайн-сервисами.

Лаборатория Касперского

Лаборатория Касперского, страница Deblocker: "Удаление баннера с рабочего стола, разблокировка Windows":
онлайн-сервис

Лаборатория Касперского, страница:"Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями ",
здесь находится вся информация о работе с WindowsUnlocker , а также можно скачать специальную версию образа Kaspersky Rescue Disk (CD диск) или Kaspersky USB Rescue Disk (USB устройство) для лечения компьютера:
Ссылки на антивирусные программы, см. в нижней части страницы на support.kaspersky.ru

ESET LLC (антивирус NOD32)

Компания ESET, LLC (антивирус NOD32), разблокировка Windows - онлайн-сервис

ESET Online Scanner, страница онлайн-сканирования антивирусом ESET NOD32 - Online Scanner

Бесплатный загрузочный диск LiveCD ESET NOD32 для восстановления операционной системы – LiveCD

Лаборатория Касперского и VirusInfo

Совместный бесплатный онлайн-сервис "Лаборатория Касперского" и портала VirusInfo.

Страница сервиса "Деактивации вымогателей-блокеров" - virusinfo.info

Вот такой короткий алгоритм, а занимает времени.... Так, что вспоминаем замечательные стихи Корнея Чуковского :

"Маленькие дети! Ни за что на свете Не ходите в Африку, В Африку гулять! В Африке акулы, В Африке гориллы, В Африке большие Злые крокодилы Будут вас кусать, Бить и обижать,- Не ходите, дети, В Африку гулять. В Африке разбойник, В Африке злодей, В Африке ужасный Бар-ма-лей!"

Основа психологии создания вредоносных программ (читай вирусы, трояны, и др. варе) проста: сначала заставить пользователя нажать кнопочку и инфицировать компьютер, далее запугать пользователя, а потом за деньги решить проблему.

В последнее время компьютеры стали подвергаться заражению, так называемым, вирусом вымогателем (Trojan.Winlock), для разблокировки которого, предлагается отправить платное смс. В этой статье вы узнаете о том, как можно избавиться от этого вируса абсолютно бесплатно. В ситуациях, когда сайты антивирусов не окрываются, скачайте и запустите эту утилиту.

1 способ. Для случая, когда Windows загружается и на экране появляется баннер.

Самый простой способ избавиться от вируса на рабочем столе - это зайти на сайт разработчика антивирусного программного обеспечения Лаборатория Касперского и воспользоваться формой для получения ключа разблокировки. Аналогичную операцию можно проделать, перейдя на сайт компании Доктор Веб. После того, как баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.

Последовательность действий:

1. Зайти на сайт Лаборатории Касперского или Доктор Веб. и воспользоваться ключом разблокировки.

2 и следующие способы, для случаев, когда КЛЮЧ РАЗБЛОКИРОВКИ НЕ ПОДХОДИТ.

Если при включении компьютера, на рабочем столе появляется баннер, воспользуйтесь бесплатной утилитой для лечения от вирусов CureIt - Скачать , или утилитой Kaspersky Virus Removal Tool Скачать Эти лечащие утилиты можно запускать, даже если у вас на компьютере уже установлен другой антивирус.

Последовательность действий:

Скачать и запустить утилиту CureIt - Скачать , или Kaspersky Virus Removal Tool Скачать

3 способ. Для случая, когда Windows не загружается.

Если при включении компьютера, вместо загрузки операционной системы на экране монитора появляется предложение расстаться с парой сотен рублей, загрузите компьютер в безопасном режиме. Для этого, перезагрузите компьютер и постоянно жмите клавишу на клавиатуре "F8". Через несколько секунд вам будет предложено выбрать вариант загрузки Windows. Выберите "Безопасный режим с загрузкой сетевых драйверов". Далее избавляемся от вируса одним из способов, описанных выше.

Последовательность действий:

1. Загрузиться в безопасном режиме
2. Удалить используя ключ с одного из сайтов Лаборатории Касперского или Доктор Веб.
3. Перезагрузить компьютер.
4. Проверить компьютер на вирусы.

4 способ. Для случая, когда Windows не грузится в безопасном режиме.

В ситуации, когда требуется удалить баннер с рабочего стола, а операционная система не грузится ни в обычном, ни в безопасном режиме, лучшим вариантом будет либо второй домашний компьютер, либо компьютер соседа. Если таковые имеются, делаем все как в «первом или втором способе» Также, будет весьма не плохо, если у вас есть LiveCD скачать LiveCD от Dr.Web , , загрузившись с которого вы сможете проверить компьютер на вирусы. Почти все антивирусные программы с последними обновлениями лечат компьютер от баннера на рабочем столе.

Последовательность действий:

1. Ввести ключ разблокировки, воспользовавшись другим компьютером, либо загрузившись с LiveCD скачать LiveCD от Dr.Web , скачать LiveCD от Лаборатории Касперского .
2. Проверить компьютер на вирусы.

5 способ удаления баннера.

Для Windows 7: после нажатия клавиш Win + U кликнете по ссылке «Помощь в настройках параметров» - «Заявление о конфиденциальности». Далее переходите к пункту 5

1. После запуска компьютера нажмите сочетания клавиш кнопка со значком windows + U
2. Выберите экранную клавиатура и нажмите «Запустить».
3. Нажмите «Справка» - «О программе»
4. В появившемся окне снизу выберите «Веб узел Майкрософт»
5. В поле адреса перепишите http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
6. Всплывет окно сохранения файла, сохраните на рабочий стол.
7. В браузере нажмите сверху «Файл» - «Открыть» - «Обзор».
8. Слева нажмите «Рабочий стол». В самом низу «Тип файлов» - «Все файлы»
9. Найдите скаченную программу и запустите ее.
10. Выберите полную проверку.

6 способ удаления баннера.

Если баннер появился до загрузки рабочего стола, экран заблокирован.

1. Нажмите Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач "Cнять задачу ".
3. В диспетчере задач нажмите "новая задача" и введите "regedit "
4. Перейдите в раздел HKEY_LOCAL_MACHINE /SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell ” и “Userinit ”. Значением параметра Shell должно быть "Explorer.exe ". Параметр Userinit – "C:\WINDOWS\system32\ userinit.exe, " (без пробелов, обязательно в конце запятая)!
6. Если параметры “Shell” и “Userinit” в порядке, найдите раздел HKEY_LOCAL_MACHINE /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
7. Перезагрузите компьютер.
8. Обязательно проверьте компьютер на вирусы.

В случае неудачи, повторите этот способ в безопасном режиме.

Если не один из приведенных способов вам не помог, вы можете обратиться в нашу компанию по

Борьба с троянцами семейства WinLock и MbrLock

(блокировщики Windows)

Актуальность вопроса

Троянцы, блокирующие работу Windows, с сентября 2009 года - одни из самых распространенных по частоте проявления. Например, за декабрь 2010 года более 40% обнаруженных вирусов - блокировщики Windows. Общее название подобных вредоносных программ - Trojan.Winlock.XXX, где XXX - номер, присвоенный сигнатуре, которая позволяет определить несколько (зачастую несколько сотен) схожих вирусов. Также подобные программы могут относиться к типам Trojan.Inject или Trojan.Siggen, но такое случается значительно реже.

Внешне троянец может быть двух принципиальных видов. Первый: заставка на весь экран, из-за которой не видно рабочий стол, второй: небольшое окно в центре. Второй вариант не закрывает экран полностью, но баннер все равно делает невозможной полезную работу с ПК, поскольку всегда держится поверх любых других окон.

Вот классический пример внешнего вида программы Trojan.Winlock:

Цель троянца проста: добыть для вирусописателей побольше денег с жертв вирусной атаки.

Наша задача - научиться быстро и без потерь устранять любые баннеры, ничего не платя злоумышленникам. После устранения проблемы необходимо написать заявление в полицию и предоставить сотрудникам правоохранительных органов всю известную вам информацию.

Внимание! В текстах многих блокировщиков встречаются различные угрозы («у вас осталось 2 часа», «осталось 10 попыток ввода кода», «в случае переустановки Windows все данные будут уничтожены» и т. д.). В основном это не более чем блеф.

Алгоритм действий по борьбе с Trojan.Winlock

Модификаций блокировщиков существует великое множество, но и число известных экземпляров очень велико. В связи с этим лечение зараженного ПК может занять несколько минут в легком случае и несколько часов, если модификация еще не известна. Но в любой ситуации следует придерживаться приведенного ниже алгоритма:

1. Подбор кода разблокировки.

Коды разблокировки ко многим троянцам уже известны и занесены в специальную базу, созданную специалистами компании «Доктор Веб». Чтобы воспользоваться базой, перейдите по ссылке https://www.drweb.com/xperf/unlocker/ и попробуйте подобрать код. Инструкция по работе с базой разблокировки: http:// support. drweb. com/ show_ faq? qid=46452743& lng= ru

Прежде всего, попробуйте получить код разблокировки, воспользовавшись формой, позволяющей ввести текст сообщения и номер, на который его нужно отправить. Обратите внимание на следующие правила:

Если требуется перевести деньги на счет или телефонный номер, в поле Номер необходимо указать номер счета или телефона, в поле Текст ничего писать не нужно.

Если требуется перевести деньги на телефонный номер, в поле Номер необходимо указать номер телефона в формате 8хххххххххх, даже если в баннере указан номер без цифры 8.

Если требуется отправить сообщение на короткий номер, в поле Номер укажите номер,

в поле Текст - текст сообщения.

Если сгенерированные коды не подошли - попробуйте вычислить название вируса с помощью представленных картинок. Под каждым изображением блокировщика указано его название. Найдя нужный баннер, запомните название вируса и выберите его в списке известных блокировщиков. Укажите в выпадающем списке имя вируса, поразившего ваш ПК, и скопируйте полученный код в строку баннера.

Обратите внимание, что, кроме кода, может быть выдана другая информация:

Win+D to unlock - нажмите комбинацию клавиш Windows+D для разблокировки.

any 7 symbols - введите любые 7 символов.

Воспользуйтесь генератором выше или use generator above - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Используйте форму или Пожалуйста, воспользуйтесь формой - используйте для получения кода разблокировки форму Номер-Текст в правой части окна.

Если подобрать ничего чего не удалось

2. Если система заблокирована частично. Этот шаг относится к случаям, когда баннер «висит» в середине экрана, не занимая его целиком. Если доступ заблокирован полностью - переходите сразу к шагу 3. Диспетчер задач при этом блокируется аналогично полноэкранным версиям троянца, то есть завершить вредоносный процесс обычными средствами нельзя.

Пользуясь остатками свободного пространства на экране, сделайте следующее:

1) Проверьте ПК свежей версией лечащей утилиты Dr.Web CureIt! http://www.freedrweb.com/cureit/ . Если вирус благополучно удален, дело можно считать сделанным, если ничего не найдено - переходите к шагу 4.
2) Скачайте восстанавливающую утилиту Dr.Web Trojan.Plastix fix по ссылке http://download.geo.drweb.com/pub/drweb/tools/plstfix.exe и запустите скачанный файл. В окне программы нажмите Продолжить, и когда Plastixfix закончит работу, перезагрузите ПК.
3) Попробуйте установить и запустить программу Process Explorer (скачать можно с сайта
Microsoft: http://technet.microsoft.com/ru-ru/sysinternals/bb896653). Если запуск удался -
нажмите мышью в окне программы кнопку с изображением прицела и, не отпуская ее,
наведите курсор на баннер. Когда вы отпустите кнопку, Process Explorer покажет процесс,
который отвечает за работу баннера.

3. Если доступа нет совсем. Обычно блокировщики полностью загромождают баннером экран, что делает невозможным запуск любых программ, в том числе и Dr.Web CureIt! В этом случае необходимо загрузиться с Dr.Web LiveCD или Dr.Web LiveUSB http://www.freedrweb.com/livecd/ и проверить ПК на вирусы. После проверки загрузите компьютер с жесткого диска и проверьте, удалось ли решить проблему. Если нет - переходите к шагу 4 .

4. Ручной поиск вируса. Если вы дошли до этого пункта, значит поразивший систему троянец - новинка, и искать его придется вручную.

Для удаления блокировщика вручную необходимо получить доступ к реестру Windows, загрузившись с внешнего носителя.
Обычно блокировщик запускается одним из двух известных способов.

Через автозагрузку в ветках реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Путем подмены системных файлов(одного или нескольких) запускаемых в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
или, например, файла taskmgr.exe.

Для работы нам понадобится Dr.Web LiveCD/USB(или другие средства работы с внешним реестром).

Для работы с Dr.Web LiveCD/USB загрузите ПК с компакт-диска или флешки, после чего скопируйте на флеш- карту следующие файлы:

C:\Windows\System32\config\software *файл не имеет расширения*
C:\Document and Settings\Ваше_имя_пользователя\ntuser.dat

В этих файлах содержится системный реестр зараженной машины. Обработав их в программе Regedit, мы сможем очистить реестр от последствий вирусной активности и одновременно найти подозрительные файлы.

Теперь перенесите указанные файлы на функционирующий ПК под управлением Windows и сделайте следующее:

Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст.
В открывшемся окне укажите путь к файлу software , задайте имя (например, текущую дату) для раздела и нажмите ОK.

В этом кусте необходимо проверить следующие ветки:
Microsoft\Windows NT\CurrentVersion\Winlogon:
Параметр Shell должен быть равен Explorer.exe . Если перечислены любые другие файлы - необходимо записать их названия и полный путь к ним. Затем удалить все лишнее и задать значение Explorer.exe .

Параметр userinit должен быть равен C:\Windows\system32\userinit.exe, (именно так, с запятой на конце, где C - имя системного диска). Если указаны файлы после запятой - нужно записать их названия и удалить все, что указано после первой запятой.
Встречаются ситуации, когда присутствует схожая ветвь с названием Microsoft\WindowsNT\CurrentVersion\winlogon . Если эта ветвь есть, ее необходимо удалить.

Microsoft\Windows\CurrentVersion\Run - ветвь содержит настройки объектов автозапуска.

Особенно внимательно следует отнестись к наличию здесь объектов, отвечающих следующим критериям:

Имена напоминают системные процессы, но программы запускаются из других папок
(например, C:\Documents and Settings\Dima\svchost.exe ).

Имена вроде vip-porno-1923.avi.exe .

Приложения, запускающиеся из временных папок.

Неизвестные приложения, запускающиеся из системных папок (например, С:\Windows\system32\install.exe ).

Имена состоят из случайных комбинаций букв и цифр
(например, C:\Documents and Settings\Dima\094238387764\094238387764.exe ).

Если подозрительные объекты присутствуют - их имена и пути необходимо записать, а соответствующие им записи удалить из автозагрузки.

Microsoft\Windows\CurrentVersion\RunOnce - тоже ветвь автозагрузки, ее необходимо проанализировать аналогичным образом.

Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Теперь необходимо проанализировать второй файл - NTUSER.DAT . Запустите Regedit , откройте куст HKEY_LOCAL_MACHINE и выполните Файл –> Загрузить куст . В открывшемся окне укажите путь к файлу NTUSER.DAT , задайте имя для раздела и нажмите ОK.

Здесь интерес представляют ветки Software\Microsoft\Windows\CurrentVersion\Run и Software\Microsoft\Windows\CurrentVersion\RunOnce , задающие объекты автозагрузки.

Необходимо проанализировать их на наличие подозрительных объектов, как указано выше.

Также обратите внимание на параметр Shell в ветке Software\Microsoft\Windows NT\CurrentVesion\Winlogon . Он должен иметь значение Explorer.exe . В то же время, если такой ветки нет вообще - все в порядке.
Завершив анализ, нажмите на имя загруженного раздела (в нашем случае он называется по дате) и выполните Файл –> Выгрузить куст .

Получив исправленный реестр и список подозрительный файлов, необходимо сделать следующее:

Сохраните реестр пораженного ПК на случай, если что-то было сделано неправильно.

Перенесите исправленные файлы реестра в соответствующие папки на пораженном ПК с помощью Dr.Web LiveCD/USB (копировать с заменой файлов). Файлы, информацию о которых вы записали в ходе работы - сохраните на флешке и удалите из системы. Их копии необходимо отправить в вирусную лабораторию компании «Доктор Веб» на анализ.

Попробуйте загрузить инфицированную машину с жесткого диска. Если загрузка прошла
успешно и баннера нет - проблема решена. Если троянец по-прежнему функционирует,
повторите весь пункт 4 этого раздела, но с более тщательным анализом всех уязвимых и часто используемых вирусами мест системы.

Внимание! Если после лечения с помощью Dr.Web LiveCD/USB компьютер не загружается
(начинает циклически перезагружаться, возникает BSOD), нужно сделать следующее:

Убедитесь, что в папке config находится один файл software . Проблема может возникать, потому что в Unix-системах регистр в имени файлов имеет значение (т. е. Software и software - разные имена, и эти файлы могут находиться в одной папке), и исправленный файл software может добавиться в папку без перезаписи старого. При загрузке Windows, в которой регистр букв роли не играет, происходит конфликт и ОС не загружается. Если файлов два - удалите более старый.

Если software один, а загрузка не происходит, высока вероятность, что система поражена «особенной» модификацией Winlock . Она прописывает себя в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , в параметр Shell и перезаписывает файл userinit.exe . Оригинальный userinit.exe хранится в той же папке, но под другим именем (чаще всего 03014d3f.exe). Удалите зараженный userinit.exe и переименуйте соответствующим образом 03014d3f.exe (имя может отличаться, но найти его легко).
Эти действия необходимо провести, загрузившись с Dr.Web LiveCD/USB, после чего попробовать загрузиться с жесткого диска.

На каком бы из этапов ни кончилась битва с троянцем, необходимо обезопасить себя от
подобных неприятностей в будущем. Установите антивирусный пакет Dr.Web и регулярно
обновляйте вирусные базы.

Dr.Web CureIt! - одна из лучших антивирусных утилит. Идеально подходит для критических ситуаций и является отличным инструментом для лечения компьютера от последствий, например, блокировки компьютера порнобаннерами-вымогателями (вирусами-троянцами семейства Trojan. Winlock ).
Dr.Web CureIt! функцианирует на основе антивируса Dr.Web . утилита быстро и очень эффективно сделает проверку и при необходимости вылечит компьютер с установленной операционной системой семейства Windows. Плюсом утилиты является то что она обновляется практически ежечастно или даже чаще!

Преимущества Dr.Web CureIt!

Незаменимое средство для лечения персональных компьютеров и серверов под управлением MS Windows 2000/XP/2003/Vista/2008/Windows 7 (32- и 64-битные системы) от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» Ваш антивирус.

• Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.
• С помощью Dr.Web CureIt! Вы можете регулярно контролировать эффективность установленного на Вашем ПК антивируса и на основании работы утилиты самостоятельно сделать вывод о его замене на Dr.Web.
• Dr.Web CureIt! обладает непревзойденной самозащитой и усиленным режимом для эффективного противодействия блокировщикам Windows.
• Dr.Web CureIt! обновляется один или несколько раз в час.

Как выяснить, инфицирован ли Ваш компьютер?

1. Скачайте Dr.Web CureIt!, сохранив утилиту на жесткий диск.
2. Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
3. Выберите режим защиты - усиленный или обычный.
4. Дождитесь окончания сканирования и изучите отчет о проверке.

Dr.Web CureIt! автоматически определяет язык используемой ОС (в случае, если локальный язык не поддерживается, устанавливается английский язык).

В настоящее время утилита поддерживает интерфейс на следующих 37 языках:

русский, азербайджанский, английский, арабский, армянский, белорусский, болгарский, венгерский, вьетнамский, голландский, греческий, грузинский, испанский, итальянский, китайский (упрощ.), китайский (трад.), корейский, латышский, литовский, немецкий, норвежский, персидский (фарси), польский, португальский, сербский, словацкий, словенский, тайский, турецкий, узбекский, украинский, финский, французский, чешский, эсперанто, эстонский, японский.

Dr.Web CureIt! не является основным антивирусом. Заменить основной антивирус ей не получиться. Она предназначена лишь для лечения компьютера и начинает работать лишь при запуске сканирования.
Ещё одним плюсом программы является то, что она не требует установки. Утилиту Dr.Web CureIt! можно кинуть (записать) на флешку и использовать для лечения других компьютеров (например, на работе или у друзей).

Бесплатно скачать Dr.Web CureIt! можно с официального сайта

Программа не требует установки. Можно сразу начинать пользоваться.

Как использовать Dr.Web CureIt!?

Загрузите Dr.Web CureIt! и запустите файл на исполнение.

Появится уведомление о том, что утилита запущена в режиме усиленной защиты, который обеспечивает ее работу даже в случае блокировки Windows вредоносными программами.

В режиме усиленной защиты Dr.Web CureIt! работает на защищенном рабочем столе, при этом использование других приложений невозможно. Для продолжения работы в режиме усиленной защиты нажмите ОК , в обычном - Отмена .

В открывшемся окне нажмите кнопку «Пуск».

На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска.

Если необходимо просканировать все или некоторые диски компьютера, выберите режим полной или выборочной проверки (в последнем случае выделите требуемые объекты для проверки) и нажмите кнопку «Начать проверку» у правого края окна сканера.

При сканировании зараженные файлы будут излечены, а неизлечимые - перемещены в карантин. После проверки остаются доступны файл отчета и сам карантин.

! По окончании сканирования просто удалите файл Dr.Web CureIt! с Вашего ПК.

Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему однократно , но она не является постоянным средством для защиты компьютера от вирусов. Утилита на нашем сайте всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемый в комплекте утилиты Dr.Web CureIt! набор вирусных баз актуален только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются один или несколько раз в час).

Для пользователей бесплатной версии

Для того чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!

• При запуске программы Вам будет предложен запуск в усиленном режиме сканирования. Рекомендую его использовать в случаях, когда вирусы блокируют работу операционной системы или в случае, когда Вы только что разблокировали Windows. При усиленном режиме работа на компьютере невозможна до окончания сканирования.

• В любых других случаях (профилактическое сканирование и т.п.) лучше отказаться от усиленного режима. Это даст Вам возможность работать на компьютере даже при включённом режиме сканирования.

• Процесс сканирования быстрый, но всё же требует времени. Наберитесь терпения и дождитесь окончания процесса.

• ! Игнорируем предложение попробовать бесплатно полную версию антивируса доктор Веб(даётся на время и будет конфликтовать с Вашим установленным привычным антивирусом, нужно будет выбирать между ними).
• После окончания сканирования удалите обнаруженные вредоносы и вылечите заражённые файлы, нажав на соответствующие выбранному действию кнопки - «вылечить» или «удалить».
• Кроме быстрой проверки имеется возможность произвести полную проверку компьютера или выборочно - только подозрительный файл или раздел жёсткого диска.

internethalyava.ru, www.freedrweb.com