Windows заблокирован - вирус винлокер. Как разблокировать без оплаты. Разблокировать виндовс


Удаляем Winlock вручную или как разблокировать Windows

Удаляем Winlock вручную или как разблокировать Windows

В последнее время большое распространение получили так называемые вредоносные программы, которые "берутся неоткуда" и "блокируют Windows". Официальное название такого ПО - Trojan.Winlock.n, который к настоящему времени насчитывает несколько десятков версий.

Такого рода программы, проникая на компьютер, после перезагрузки блокируют доступ к рабочему столу Windows. Для разблокировки Windows предлагается отправить СМС, пополнить счет или какого-нибудь аккаунт платежного терминала.

Ни в коем случае не следует выполнять требования мошенников, так как этими действиями Вы спонсируете написание новых вирусов. Тем более избавится от этого вируса достаточно просто.

Как работает Winlock?

В основе работы любой версии Trojan.Winlock используются штатные средства операционной системы, которыми и организовывается "блокировка Windows".

Фактически алгоритм действия примерно такой:
  1. Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основном Trojan.Winlock находится во временных директориях используемого браузера.
  2. Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer.
  3. После перезагрузки ОС Вы получаете окно с вымогательствами.

Как разблокировать Windows и удалить Winlock?

Чтобы избавится от баннера, который блокирует работу вашего компьютера можно воспользоваться:

  1. различными on-line сервисами антивирусных компаний, которые собирают данные, поступившие к ним от пользователей. Это самый простой способ, но "активировать" самые последние версии Trojan.Winlock им не под силу. Вот перечень web-сервисов: Вводите номер телефона вымогателя и получаете фразу разблокировки.
  2. воспользоваться инструментом системного администратора ERD Commander (145 Мб), который является LiveCD с операционной системой Windows, способной редактировать системный реестр установленной ОС.

Удаляем Winlock с помощью ERD Commander

Фактически требуется отредактировать 2 параметра системного реестра установленной ОС Windows и очистить временные файлы используемого Вами браузера. В большинстве случаев этих действий хватает для восстановления работы ОС Windows.

Разблокировка Windows с помощью ERD Commander:
  1. Загружаемся с LiveCD-диска ERD Commander`а. При загрузке ERD Commander`а появится окно подключения локальной сети. Нажимаем Skip, так как сеть нам не понадобится.

    В следующем окне выбираем ОС, с которой будет проводится дальнейшая работа

    и нажать Enter. Это окно нужно на случай, если используется несколько ОС на одном компьютере.
  2. Удаляем временные файлы ОС и используемого Вами браузера. Для этого воспользуемся ярлыком My Computer. Очистить необходимо директории:
    • C:\Windows\Temp
    • C:\Documents and Settings\логин\Local Settings\Temporary Internet Files
    • C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache
    • C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache
  3. Редактируем системный реестр Windows. Запускаем Start > Administrative Tools > Registry Editor:
    • изменить параметр Userinit (REG_SZ), который находится [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], на значение C:\WINDOWS\system32\userinit.exe
    • изменить параметр Shell (REG_SZ), который находится там же, на значение Explorer.exe
    Должно получится так:
  4. Перезагружаем компьютер и для надежности проверяем ОС бесплатным антивирусом, к примеру, этим.

Случайные 7 статей:

  1. Список радиостанций для Rhythmbox
  2. Два забытых рекорда в мире ноутбуков
  3. Безопасное извлечение флешки для Linux
  4. Планета на рабочем столе или динамические обои в Linux
  5. Горячие клавиши Opera
  6. Обучаем Skype стандартным уведомлениям Ubuntu
  7. Автоматически загружаем новую версию антивируса Dr.Web CureIt!

Комментарии [94]

itshaman.ru

Десять способов избавиться от троянов-вымогателей и разблокировать Windows

С помощью троянов семейства Winlock, известных как «блокировщики Windows», у рядовых пользователей вымогают деньги уже более пяти лет. К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Ниже предлагаются способы самостоятельной борьбы с ними и даются рекомендации по предотвращению заражения.

Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом.

Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на такой-то номер или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

Пример баннера от имени МВД Украины. Особенно странно его видеть пользователям из других стран

Разумеется, платить вымогателям не стоит. Вместо этого можно выяснить, какому оператору сотовой связи принадлежит указанный номер, и сообщить его службе безопасности. В отдельных случаях вам даже могут сказать код разблокировки по телефону, но очень рассчитывать на это не приходится.

Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом.

Голыми руками

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже.

Сервис разблокировки Windows компании «Доктор Веб»Сервис разблокировки Windows компании «Лаборатория Касперского»

Зайти в специализированные разделы сайтов “Доктор Веб”, “Лаборатории Касперского” и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt! или Kaspersky Virus Removal Tool.

Простым коням – простые меры

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш {CTRL}+{ALT}+{DEL} или {CTRL}+{SHIFT}+{ESC}. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Подозрительный процесс в диспетчере задач

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш {Win}+{R}. Вот как выглядит подозрительный процесс в System Explorer.

Расширенный менеджер запущенных процессов System Explorer

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите: Файл -> Новая задача (выполнить) -> c:Windowsexplorer.exe.

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, системы и браузера. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns.

AutoRuns покажет все объекты автозапуска (на скриншоте видна лишь малая часть)

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот – коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

Старая школа

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты.

В этом случае перезагрузите компьютер и удерживайте клавишу {F8} в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем {ENTER} – запустится проводник. Далее пишем regedit, нажимаем {ENTER} и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Ключи реестра, часто модифицируемые троянами семейства Winlock

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

В “Shell” троян записывается вместо explorer.exe, а в “Userinit” указывается после запятой. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

Удаление трояна из консоли (полное имя файла взято из реестра и скопировано в буфер обмена)

В нём выбираем команду «вставить» и нажимаем {ENTER}. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли – файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Восстановление сетевых сервисов с помощью AVZ

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

Создание загрузочной флэшки из образа Kaspersky Rescue Disk

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Загрузка Kaspersky Rescue DiskKaspersky Rescue Disk в графическом режиме

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

Борьба на раннем этапе

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Троян семейства Winlock, заразивший MBR

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши {R} вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей {Y} и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

Bootrec.exe/FixMbr

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

В крестовый поход с крестовой отвёрткой

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Антивирусная проверка жёстких дисков на другом компьютере

Чтобы не разносить заразу, предварительно отключаем на “лечащем” компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт “Разрешён автозапуск с HDD” и нажмите “Исправить отмеченные проблемы”.

Отключение автозапуска с помощью AVZ

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

Если разделы внешнего жёсткого диска не видны, зайдите в «Управление дисками». Для этого в окне «Пуск» -> «Выполнить» напишите diskmgmt.msc и затем нажмите {ENTER}. Разделам внешнего жёсткого диска должны быть назначены буквы. Их можно добавить вручную командой «изменить букву диска…». После этого проверьте внешний винчестер целиком.

Для предотвращения повторного заражения следует установить любой антивирус с компонентом мониторинга в режиме реального времени и придерживаться общих правил безопасности:

  • старайтесь работать из-под учётной записи с ограниченными правами;
  • пользуйтесь альтернативными браузерами – большинство заражений происходит через Internet Explorer;
  • отключайте Java-скрипты на неизвестных сайтах;
  • отключите автозапуск со сменных носителей;
  • устанавливайте программы, дополнения и обновления только с официальных сайтов разработчиков;
  • всегда обращайте внимание на то, куда на самом деле ведёт предлагаемая ссылка;
  • блокируйте нежелательные всплывающие окна с помощью дополнений для браузера или отдельных программ;
  • своевременно устанавливайте обновления браузеров, общих и системных компонентов;
  • выделите под систему отдельный дисковый раздел, а пользовательские файлы храните на другом.

Следование последней рекомендации даёт возможность делать небольшие образы системного раздела (программами Symantec Ghost, Acronis True Image, Paragon Backup and Recovery или хотя бы стандартным средством Windows “Архивация и восстановление”). Они помогут гарантированно восстановить работу компьютера за считанные минуты независимо от того, чем он заражён и могут ли антивирусы определить трояна.

В статье приведены лишь основные методы и общие сведения. Если вас заинтересовала тема, посетите сайт проекта GreenFlash. На страницах форума вы найдёте множество интересных решений и советы по созданию мультизагрузочной флэшки на все случаи жизни.

Распространение троянов Winlock не ограничено Россией и ближним зарубежьем. Их модификации существуют практически на всех языках, включая арабский. Помимо Windows, заражать подобными троянами пытаются и Mac OS X. Пользователям Linux не дано испытать радость от победы над коварным врагом. Архитектура данного семейства операционных систем не позволяет написать сколь-нибудь эффективный и универсальный X-lock. Впрочем, “поиграть в доктора” можно и на виртуальной машине с гостевой ОС Windows.

www.computerra.ru

Как разблокировать компьютер от баннера

компьютер заблокированВаш компьютер заблокирован? Сегодня, мошенничество в IT индустрии распространено повсеместно. И интернет стал тем местом, где преступники чувствуют себя безнаказанно. А там где интернет, там и вирусы. Одними из самых опасных представителей этих вредоносных программ, являются вирусы, замаскированные под баннеры.

И если вы поймали такую “прелесть”, то наверняка ищите решение данной проблемы, чтобы узнать, как разблокировать компьютер без оплаты. А также найти ответ на вопрос, как убрать баннер, который заблокировал систему. Читайте про способы разблокировки, на сайте компьютерной помощи Смарт-Троникс!

Как разблокировать компьютер от баннера в Windows и удалить вирус

Зачастую, такие вирусы не только вымогают деньги, но и сочетают в себе разлагающую составляющую, шантажируя вас порно-баннером. Надо ли говорить, что такое недопустимо? Увидеть порно-баннер могут дети! Хочется заметить, что наиболее распространены баннеры с номерами от МТС. Немного отстают, в этом плане, Билайн и Мегафон. Сразу посоветуем прочитать статью по теме, — как удалить вирус, который просит СМС. Возможно это поможет в понимании, как удалить смс баннер с рабочего стола и разблокировать компьютер.

Итак, убрать баннер, когда компьютер уже заблокирован, можно несколькими способами. Эти методы разные по сложности, поэтому советуем прочитать про все и выбрать более простой. Вот как это можно сделать:

  1. Получить коды для разблокировки баннеров на сайтах Касперского или Dr.Web.
  2. Удалить вирус-баннер из автозагрузки операционной системы Windows.
  3. Восстановить Windows с помощью службы восстановления.
  4. Убрать баннер с помощью проверки антивирусом.
  5. Подождать некоторое время или перевести часы Windows вперед.

Данные способы не универсальны, и подходят к различным ситуациям. Давайте остановимся подробно на этих пунктах и разберемся в плюсах и минусах каждого способа.

Как убрать баннер с помощью кодов разблокировки

Итак, первый способ, как убрать баннер, если компьютер заблокирован. Данный метод подойдет для каждого, у кого под рукой есть интернет. Собственно под рукой доступ в онлайн не обязателен, ведь компьютер уже заблокирован. Вы всегда можете позвонить другу или человеку, который готов помочь, и попросить его продиктовать код.

коды разблокировки для баннера

Где его взять? На сайтах Касперского или Доктор Веб. Эти две компании, производящие антивирусную продукцию уже давно запустили сервисы с кодами для разблокировки баннеров. Вот их адреса:

Сразу предупредим, — способ не универсальный. Далеко не факт, что правильный код разблокировки есть в базах сайтов. Поэтому, читаем про другие методы лечения заблокированного компьютера.

Убрать баннер из автозагрузки Windows

Еще один относительно простой способ, когда компьютер заблокирован, — это “выключить” вирус из автозагрузки Windows. Для этого нужно загрузить систему в безопасном режиме. Делается это просто. В начале загрузки компьютера, нужно нажимать клавишу F8, в результате этих простых манипуляций, появится меню с выбором типов загрузки операционной системы Windows.

запуск безопасного режима Windows

В этом меню необходимо выбрать пункт “Безопасный режим” и нажать клавишу Enter.

После того, как ОС загрузится, возможны два варианта событий. Первый, пессимистичный, — баннер будет на своем месте. Это означает, что убрать его в безопасном режиме не получится. Читайте статью дальше.

Второй вариант событий, более оптимистический. Windows загрузилась в безопасном режиме без вируса.

Windows загрузилась в безопасном режиме

Если после загрузки Windows, баннер не появился, то попробуем его удалить. Делаем следующее:

Снять галки в автозагрузк

  1. Нажимаем пуск и вводим в командной строке “msconfig”.
  2. Переходим на закладку “Автозагрузка”.
  3. Здесь нужно найти подозрительные элементы автозагрузки, сняв с них галочку. Если на ум ничего не приходит, а разблокировать Виндовс вы все еще не передумали, снимайте все галки.
  4. Жмем OK и перезагружаемся.

Если не помогло, попробуйте следующие способы.

Перевести время компьютера в Windows или BIOS

Данный способ очень прост, но скорее всего уже мало актуален, поскольку злоумышленники все время совершенствуют вирусы. Заключается он в следующем. Перезагрузив компьютер в безопасный режим, просто переведите часы вперед, например на неделю. Возможно баннер пропадет, от такого счастья, так как некоторые виды этих вирусов запрограммированы пропадать по прошествии некоторого времени.

перевод времени в BIOS

Если же в безопасном режиме Windows исправить время возможности нет, то его можно изменить в БИОС компьютера. Войти в BIOS можно при загрузке ПК.

Разблокировка с помощью восстановления системы

Этот метод разблокировки баннера-вируса схож с предыдущими, поскольку обязательным условием его применения, является Windows, сохранившая работоспособность в безопасном режиме. Преимуществом такого лечения системы, является простота реализации. Но есть у такого подхода и существенный недостаток. Вполне вероятно, что разблокировать баннер с помощью отката операционной системы не получится, поскольку не всегда точка восстановления бывает доступна. Тем не менее, опишем все по шагам:

восстановление Windows

  1. Загрузившись в безопасном режиме и убедившись, что баннера нет, идем в Пуск -> Стандартные -> Служебные -> Восстановление системы.
  2. Там выбираем восстановление и дату, на которую необходимо восстановить Windows.
  3. Соглашаемся и ждем, пока ОС шуршит мозгами.
  4. После этого, перезагружаем компьютер.

Как видите, все просто. Только нужно поймать “правильный” вирус, который не заблокирует безопасник. Если же в безопасном режиме вас встречает паразит, читайте далее.

Разблокировать компьютер от баннера с помощью антивируса

Здесь также возможны два исхода событий. Если Windows запустилась в безопасном режиме, то всегда можно воспользоваться бесплатным антивирусом предоставленными популярными антивирусными компаниями, которые по слухам, эти вирусы и пишут. Компания Смарт-Троникс, не разделяет это мнение и предлагает вашему вниманию две замечательные, бесплатные для домашнего использования, программы:

CureIT

Разблокировать баннер при помощи антивируса, на первый взгляд легко. Но что делать, если вирус заблокировал все подходы к рабочему столу, и запустить антивирусную программу не получается?

На помощь придут специальные загрузочные диски, которые называются LiveCD. С помощь них можно загрузить антивирус, который и уничтожит баннер. Процедура загрузки Live CD простая. Необходимо записать образ выбранного вами загрузочного диска на DVD болванку или, что еще удобнее, на флешку. Загрузить с этой флешки содержимое образа, выбрав ее при загрузке компьютера (клавиша F5), или выставив приоритет загрузки в БИОС. И проверить Windows на вирусы.

Вариантов таких спасательных дисков много, но мы советуем использовать бесплатные LiveCD от dr web или касперского. Вот ссылки на них:

Этого арсенала должно хватить, чтобы вывести всех тараканов. Если методы не помогли, то возможно проще будет провести переустановку Windows. Напоследок, напишем несколько рекомендаций, которые помогут вам сохранить компьютер в безопасности.

Как уберечь компьютер от вируса-баннера

Соблюдая эти простые советы, вы снизите вероятность заражения компьютера вирусами:

безопасность компьютера
  • Любой системе, на базе ОС Windows необходим надежный антивирус. Не скупитесь, — это сэкономит время и деньги в будущем.
  • Периодически проверяйте логические диски на вирусы. Это можно сделать даже с помощью бесплатных программ. Если вы не видите вирусной активности, это не значит, что вирусов на компьютере нет.
  • При лечении компьютера от вирусов, отключайте доступ в интернет, и проверяйте операционную систему в безопасном режиме.

Пожалуй, хватит. Мы надеемся, что статья оказалась для вас информативной. Читайте smartronix.ru и побеждайте вирусы-баннеры МТС, Мегафон или Билайн самостоятельно!

smartronix.ru

Как самостоятельно разблокировать смс-баннер в Windows за 10 минут.

Здравствуйте уважаемые читатели. Не однократно было написано в статьях сайта о методах удаления смс вирусов, баннеров и блокеров. Рассмотрим и другие варианты удаления этих навязчивых зло вредных кодов с вашего компьютера, ведь они не только блокируют систему, но и отключают диспетчер задач, иногда препятствуют заходу через безопасный режим и полностью мешают взаимодействию пользователя с операционной системой windows.

Как правило, от вас потребуют отправить смс сообщение или сходить к ближайшему терминалу и положить на счет некоторую сумму. Как показывает практика, не всегда злоумышленники присылают код, соответственно ваша система так и останется недоступной для вас. Рекомендую вам не платить, а почитать статью или пригласить программиста для ремонта компьютера, чтобы восстановить рабочее состояние вашей платформы.

Не смотря на то, что вирус доставляет много хлопот простым пользователям, надо отдать должное создателям в плане творческой и технической реализации.

Варианты удаления баннера с рабочего стола :

  1. Используя сторонние интернет сервисы.

    Минусы: 

    - нужен второй компьютер с доступом в интернет; 

    - не всегда получается найти подходящий код.

    Плюсы: 

    - не нужно прилагать никаких усилий, как во втором способе; 

    - разблокировать можно за 1 минуту.

  2. Через безопастный режим, с поддержкой командной строки.

    Минусы: 

    - занимает больше времени, но если следовать описанным ниже шагам, проблем не возникнет.

    Плюсы: 

    - не нужен доступ в интернет;

    - удаляется на 100%.

Способ 1.

Разработчики антивирусных программ заранее позаботились о нас и создали сервисы для разблокировки Windows, в которых задав номер телефона на который просят отправить деньги или смс мы получаем искомый набор букв и цифр.

  1. От компании Kaspersky Lab : http://sms.kaspersky.ru/ (ссылки копируем и вставляем в браузер Mozilla Firefox, Opera или любой другой);

  2. От компании DrWeb : https://www.drweb.com/xperf/unlocker/

Но возможно мы не найдем необходимый код и нам выведут соответствующее сообщение, тогда применяем второй метод.

Небольшой совет! Существенно снизить шанс проникновения вируса, можно купив Windows 7, и регулярно скачивая обновления с интернета.

Способ 2.

Этот вариант займет у вас 10-15 минут . Выполняйте строго пошагово и НЕ УДАЛИТЕ ЛИШНЕГО в реестре.

  1. Загружаемся в «Меню дополнительных вариантов загрузки Windows». Для этого, при включении периодически нажимаем клавишу «F8».

  2. В итоге на экране монитора увидим соответствующее окно, в котором стрелками на клавиатуре перемещаемся в «Безопастный режим, с поддержкой командной строки» и нажимаем «Enter».

  3. Появится черное окно, в котором пишем команды explorer.exe (откроется рабочий стол) и для вызова редактора реестра «regedit». Эта утилита послужит нам оболочкой доступа к операционной системе, через которую мы и будем снимать блокировку с Windows.

  4. Читаем внимательно! Тут нас интересуют 2 ветви: «HKEY_CURRENT_USER» и «HKEY_LOCAL_MACHINE». В обоих разделах механизм удаления примерно одинаковый, но все же рассмотрим пошагово каждый из них поотдельности.

    - HKEY_CURRENT_USER :Переходим по пути /Software/Microsoft/Windows/CurrentVersion/Run. Справа видим программы, которые запускаются автоматически. Среди них должен находиться и наш вирус вымогатель. Обычно он прописывает себя по имени «Shell» или «UserInit». Если видим такие значения, то удаляем.

    Далее /Software/Microsoft/WindowsNT/CurrentVersion/Winlogon и удаляем аналогичные параметры, как в прошлый раз. Справа у нас должно остаться примерно как на рисунке.

    - HKEY_LOCAL_MACHINE :Аналогично проделываем и этим разделом, НО в разделе «Winlogon» параметры «Shell» и «UserInit» не удаляем!!! А заменяем, дважды щелкнув на них, на значения соответственно на «explorer.exe» и «C:\Windows\system32\userinit.exe».

  5. Перезагружаем компьютер и получаем разблокированный рабочий стол.

На заметку! Перед тем как подключить интернет, рекомендую открыть ваш браузер и закрыть в нем все открытые вкладки, во избежание повторного заражения. Если же у вас отсутствует защита, советую скачать антивирус касперского и установить его или бесплатный аналог Avast!, тем более, что получить лицензию аваст можно совершенно бесплатно. Об этом читайте в разделе статьи.

Впервые эти вирусы-блокеры были замечены в 2009 году. Тогда они удалялись простым завершением процесса в диспетчере задач и автозагрузки. Затем программисты злоумышленники начали усовершенствовать свои «произведения искусства» и уничтожать их становилось все сложнее. Самые последние модификации изменяли системные файлы (winlogon.exe, userinit.exe), изменяли реестр (чистка реестра сторонними программами бесполезна). И даже после удаления самого исходного файла вируса, его код запускался автоматически другими системными процессами при включении системного блока.

Надеюсь вопрос, насчет заблокированного рабочего стола в windows закрыт для Вас, и вы сумеете самостоятельно его удалить. Желаю успехов!

Поделись с друзьями полезной ссылкой ...

service-nk.ru

Как разблокировать windows, удалить winlocker

Принцип работы блокировщика системы или как разблокировать windows:При посещении сомнительных сайтов может скачаться программка под названием winlocker и запуститься. Так же вы сами можете ее скачать незнаючи и запустить. Всегда при скачивании обращайте внимание на расширение скачиваемого файла.Винлокеры обычно имеют расширение .exe. Допустим вам предлагают скачать видео или картинку, но скачивается не видео файл (с расширением .avi; .flv; .mp4) и не файл картинок (.jpg; .png; .gif), а файл с расширением .exe — расширение исполнимого файла. Это есть программка, которая начинает сразу работать и делать свои нехорошие дела. Во первых она прописывает себя в автозагрузке, чтобы запускаться сразу после включения компьютера. После того как запустится, она ограничивает все другие действия, которые можно выполнять при помощи мыши или клавиатуры. Ну и конечно же просит оплатить некоторую сумму для разблокировки windows. Конечно если вы оплатите, то вам не придет никакой пароль для разблокировки системы. Поэтому, чтобы разблокировать windows, нужно убрать winlocker из автозагрузки, а потом просто удалить его вообще. Как это сделать рассказано ниже.Если всё же ваш компьютер заразился этим вирусом, можно попытаться разблокировать windows и удалить winlocker ( винлокер ) самостоятельно. Надо узнать все ли функции операционной системы windows он заблокировал или нет.

1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.

Если заблокированы все функции Windows, то вам сюда.

Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.

Как разблокировать windows, удалить winlocker

Редактор реестра

Далее переходим по веткам системного реестра, отвечающие за автозагрузку :

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

Убираем ненужные и незнакомые программы, которые автоматически загружаются.Эти программы (если есть), убирать не нужно:C:\Windows\System32\hkcmd.exeC:\Windows\System32\igfxtray.exeC:\Windows\System32\igfxpers.exe

3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:Нам нужны параметр Shell и Userinit.

Как разблокировать windows, удалить winlocker

В параметре Shell должно быть прописано explorer.exe

В параметре Shell должно быть прописано explorer.exeВ параметре Userinit должнен быть прописан путь к файлу userinit.exeВ моем случае ( I\ Windows\ system32\ userinit. exe, )Если у вас система установлена на диск С, то значение будет ( C\ Windows\ system32\ userinit.exe, ) (ставится запятая после .exe)

Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )Меняем значения на такие, которые должны быть.

Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).

Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы. 😉

Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике :

Для Windows7 :

В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.

Как разблокировать windows, удалить winlocker

Показывать скрытые файлы, папки и диски в Windows 7

Для Windows Xp :

В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,ставим галочку показывать скрытые файлы и папки.

Как разблокировать windows, удалить winlocker

Показывать скрытые файлы, папки и диски в Windows Xp

Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).

После перезагрузки компьютера проблема исчезнет. Чтоб таких проблем больше не было, рекомендую установить StartupMonitor

Если все функции windows заблокированы, то чтобы разблокировать Windows, вам потребуется Загрузочная флешка LiveCD Windows XPE/7PE & Acronis BootCD v3.0 by SVLeon, с помощью нее вы можете запустить систему прям с флешки и разблокировать свою windows удалив вредоносный файл и прописав верные значения в реестр.

pomoguvsem.ru

Windows заблокирован - вирус винлокер. Как разблокировать без оплаты.

  1. Домой
  2. Статьи
  3. Программное обеспечение
  4. Windows заблокирован - вирус винлокер. Как разблокировать без оплаты.
Нажмите для увеличения изображения

 

Для расширения кругозора...

Первая программа-вымогатель появилась 22 года назад, в декабре 1989 года. Пользователи получили по почте дискеты с программой, предоставляющей информацию о СПИДе. После установки программы система приводилась в неработоспособное состояние, для восстановление которого, с пользователей вымогали денежные средства.

Первый SMS-блокер был зарегистрирован четыре года назад, 25 октября 2007 года. Вымогатель инсценировал сбой системы (BSOD [Blue Screen Of Dead - синий экран смерти]) и практически полностью блокировал управление операционной системой.

Почему и как этот троян оказалась на моем компьютере?

Однозначного ответа на этот вопрос нет, перечислю только наиболее популярные версии:

  • был отключен антивирус;
  • антивирусные базы были неактуальны, отсюда следует следующий пункт;
  • антивирус еще "не знает" конкретно эту модификацию трояна в принципе, или в связи с предыдущим пунктом, и поэтому пропустил ее;
  • Вы самостоятельно могли запустить троян под видом какой-либо полезной программы, например, под видом недостающего в системе кодека для воспроизведения видео;
  • эксплоит (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для проведения атаки на вычислительную систему) на каком-нибудь избранном сайте "втюхал" Вам его. И не факт, что это был сайт с порнухой, это мог быть, например, сайт о музыке (сайты взламывают и внедряют вредоносный код, который незаметно установит Вам этот баннер).

 

Особенности заражения этим видом винлокера.

Месяцем ранее, я написал статью "Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров", о том, как избавиться от троянов-винлокеров. Однако вскоре, появились комментарии о том, что многим не помогает описанный в статье способ. Все это, а также тот факт, что мне накануне принесли компьютер с подобным "неудаляемым" трояном, который действительно не захотел удаляться описанным в статье способом, все это сподвигло меня написать статью, которую Вы сейчас читаете. Да, это несколько другой, т.с. более "продвинутый" тип трояна, который не убрать с помощью действий описанных в предыдущей статье. В рамках этой статьи, мы устраним данный пробел. Но сначала, коротко рассмотрим деструктивные действия подобных типов троянов, эти знания помогут нам в его удалении.

1. Файл C:\Windows\System32\userinit.exe переименовывается в 03014D3F.exe, а может быть и вовсе удален. В последнем случае, нужно взять копии файлов с другой машины или... в прочем, об этом будет написано далее по тексту.

2. На место переименованного или удаленного файла userinit.exe троян размещает свою копию файла. А т.к. userinit.exe всегда грузиться при старте ОС Windows, такие действия обеспечивают ему 99,9% успех в заражении Вашего компьютера.

3. Кроме этого, троян может подменить следующие файлы:

  • C:\Windows\System32\dllcache\taskmgr.exe
  • C:\Windows\System32\taskmgr.exe

4. Но и этого для него недостаточно, он копирует себя в C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

В C:\Documents and Settings\All Users\Application Data\ возможна еще одна копия этого файла, но уже с другим именем, например, vvvvv6666.exe или yyyy21.exe, или lvFPZ9jtDNX.exe.

Примечание: Обратите внимание на все файлы с подобными странными именами (бессмысленный набор цифр и/или букв), с расширением exe, в папке C:\Documents and Settings\All Users\Application Data\

5. На рабочем столе Вашего профиля возможно появится файл test.exe, который также следует удалить.

6. Для полного счастья, троян прописывается в реестре:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinlogonShell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

 

Кода разблокировки у него нет!

После активации Trojan.WinLock.3266 и подобных, работа на компьютере станет невозможной, а за оказание услуги возвращения прежней работоспособности ПК с Вас потребуют внесения денежных средств. Однако, в результате Вы не получите ничего, т.к. я подозреваю, что для кнопочки "Разблокировать" вполне возможно забыли написать какую-либо функцию вообще. Зачем "заморачиваться" и писать обработчик для кнопки Разблокировать, если цель "срубить" бабок, а не предоставить пользователю возможность самостоятельно отключить этот баннер.

Сервисы антивирусных компаний по генерации кодов разблокировки не помогут:

Тем не менее, данное вредоносное ПО легко удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows и системному диску.

ВНИМАНИЕ! Не ищите легких путей, "не видитесь на развод", не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!

План действий:

  • Загрузиться с любого диска LiveCD. Как я уже сказал, подойдет любой диск, который способен предоставить доступ к файлам Windows и умеет работать с реестром неактивной копии Windows.
  • Получив доступ к файлам Windows, удалить следующие файлы:
    • c рабочего стола Вашего профиля test.exe;
    • из папки Ваш_системный_диск\Windows\system32\userinit.exe;
    • из папки Documents and Settings\All Users\Application Data\22CC6C32.exe
  • Найти в папке Ваш_системный_диск\Windows\system32\ файл 03014D3F.exe и переименовать его в userinit.exe.
  • Слегка "подшаманить" реестр.
  • Перезагрузиться.
  • Проверить компьютер на вирусы, и целостность системных файлов.

 

Теперь более подробно.

Искать причину всегда следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.

Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки ОС. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки ОС. Очень вероятно, что у Вас этот файл поврежден или удален (заменен), также возможно, что были изменены некоторые ключи реестра.

Примечание: Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. Присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным ПО.

Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.

Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб), использование любого другого диска не возбраняется, важно, чтобы он предоставлял доступ к файлам Windows и умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную. Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD. Скачал ее давным-давно и меня она пока всем устраивает. Советую держать подобные диски всегда под рукой!

1. Запишите скаченный образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной Вам программой. Формат диска выбирается в зависимости от размера файла-образа. Я записываю iso-образы на диски при помощи программы CDBurnerXP, классная программа, ничего лишнего и пишет без ошибок. Имейте ввиду, что если Вы просто скопируете файл образа на диск, то он не загрузится).

Нажмите для увеличения изображения

Посредством кнопки Browse... указываете ISO-образ для записи. Из раскрывающегося списка Конечное устройство, выбираете куда писать (по умолчанию привод DVD). Нажимаете кнопку Записать диск.

Нажмите для увеличения изображения

Понятно, что сделать это нужно заранее, иначе потом будет поздно. На своем компьютере Вы, после активации трояна, записать ничего не сможете и придется просить друзей-знакомых. Поэтому запишите диск сейчас и держите его рядом!

2. В BIOS выбираете загрузку с CD-ROM и загружаете систему с Вашего LiveCD.

Существуют различные версии BIOS с различной организацией меню. Чтобы войти в BIOS нужно после включения компьютера нажать Del, F2, F8, F10, F6 или Ins. После входа в BIOS нужно найти раздел под названием Boot Device Priority или созвучный, или, как у меня на скриншотах ниже и выбрать первичным устройством оптический привод (или USB-устройство), с которого Вы планируете загружаться. После выбора нужно выйти, сохранив внесенные изменения, как правило, клавишей F10, F11, или выбрав пункт меню Save & Exit Setup или, что-то типа того.

Приведу пример подобной настройки для Award BIOS на одном из своих компьютеров.

Сразу после включения компьютера, Вам подскажут какую кнопку нужно нажать для того, чтобы попасть в BIOS Setup. Однако, прочитать и нажать требуемую кнопку нужно быстро, иначе придется повторно перезагружаться.

Нажмите для увеличения изображения Нажмите для увеличения изображения

DEL: BIOS Setup

Нажмите для увеличения изображения Нажмите для увеличения изображения Нажмите для увеличения изображения Нажмите для увеличения изображения

Настроили таким образом, что в первую очередь, загрузочная запись "ищется" на CDROM, при ее отсутствии, на флешке, а при отсутствии и там, и там, на HDD.

Нажмите для увеличения изображения

По клавише Esс выходим в предыдущее меню, оно же главное, и выбираем пункт Save & Exit Setup или нажимаем клавишу F10.

3. После сохранения настроек BIOS, компьютер приступает к перезагрузке, а Вы незамедлительно вставляете диск в дисковод. Если появится сообщение вида: If you want to boot from CD, press any key, нажмите любую клавишу на клавиатуре. В противном случае Вы не увидите загрузочное меню Вашего диска, а загрузка продолжится с жесткого диска, т.е. загрузится зараженная ОС. Загружайте ОС с диска...

4. Загрузившись с диска, открывайте Мой компьютер и на диске, где у Вас находится зараженная трояном ОС (вероятнее всего, что это диск "C"), откройте папку Documents and settings (если у Вас заражена Windows XP) или Users (если Vista или Windows 7). В открытой папке найдите и откройте папку Вашего профиля (ее название совпадает с именем пользователя, под которым Вы работаете в ОС), дальше откройте папку Рабочий стол (Desktop) и удалите из нее файл test.exe.

После удаления вернитесь в корень текущего диска, откройте папку Windows и перейдите в папку system32, где найдите и удалите файл userinit.exe.

Не меняя папки найдите файл 03014D3F.exe и переименуйте его название в userinit.exe.

Вернитесь в папку с профилями (Documents and settings (если XP) или Users (для Vista/7)) и войти в папку All Users. В ней Application Data и удалите файл под названием 22CC6C32.exe.

Вирус удален! Остается подчистить следы его пребывания в ОС.

5. Откройте ПУСК -> Система -> ERD Commander -> ErdRoot.

Нажмите для увеличения изображения

6. Укажите папку с установленной ("зараженной") Windows и нажмите ОК.

Нажмите для увеличения изображения

На картинке выше можно увидеть, что на доверенном мне компьютере, ОС установлена на диск "D", это скорее исключение из правил, обычно она ставится на "С".

7. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у Вас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело :)

Нажмите для увеличения изображения

8. Получив доступ к реестру Windows, переходим к ветке реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Переходим на правую панель редактора реестра и проверяем следющие ключи: Shell и Userinit.

Нажмите для увеличения изображения

Должно быть так (стандартные значения):

  • Userinit = C:\Windows\system32\userinit.exe;
  • UIHost = logonui.exe;
  • Shell = explorer.exe;
  • VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl".

Подробнее о стандартных значениях:

Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.

Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.

Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:

  • Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]

Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Однако, это уже совсем другие файлы! Поэтому наберите эти строки с клавиатуры самостоятельно.

9. Исправьте значения ключей Shell и Userinit на стандартные значения приведенные выше.

Если параметры Shell и Userinit не изменены, тогда найдите раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и раскройте его. Если в нем присутствует подраздел explorer.exe, удалите его.

10. Внимаем советам из комментариев к предыдущей статье:

Комментарий добавил(а): Sam

Удалите ключ userinit.exe из HKEY_LOCAL_MACHINE-SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и все заработает.

Комментарий добавил(а): Spike

Спасибо Sam!!! У меня этот способ сработал!!! Вот, что у меня там было: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/userinit.exe "Debugger"="C:\WINDOWS\empas.exe".

Комментарий добавил(а): Женька укроп

Удалите этот раздел (если существует): HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/userinit.exe.

Благодарствую за проявленную активность!

11. Идем в C:\WINDOWS\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\WINDOWS. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.

Можно воспользоваться установочным диском: expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe, где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

12. Перезагружаемся...

По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом.

На этом я заканчиваю свое повествование. Всем Удачи!

Постскриптум. После излечения Вашего компьютера от подобных вирусов, может получиться так, что зараженными остались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмите кнопку ПУСК -> Выполнить, наберите sfc /scannow и нажмите ОК. В приводе должен находиться установочный диск с соответствующей ОС (в случае чего, с этого диска будут скопированы оригинальные системный файлы).

Нажмите для увеличения изображения

Источник: pcservice24.ru

Автор: Василий Седых

Близкие по теме статьи:

www.sector.biz.ua

techkot: .....РАЗБЛОКИРОВАТЬ WINDOWS....

КАК РАЗБЛОКИРОВАТЬ WINDOWS, УДАЛИТЬ WINLOCKER(БАННЕРА)...

  Указанные ниже варианты по разблокировке баннера подходят как к Windows XP, так и Windows 7 или Vista.  Часто при посещении  сайтов(особенно сомнительных) может скачаться программка под названием winlocker и запуститься. Так же вы сами можете ее скачать незнаючи и запустить. Всегда при скачивании обращайте внимание на разрешение скачиваемого файла. Винлокеры обычно имеют разрешение .exe; (видео  .avi; .flv; .mp4),( картинки .jpg; .png; .gif),  — расширение исполнимого файла. Это есть программка, которая начинает сразу работать и делать свои нехорошие дела.      Прежде всего она прописывает себя в автозагрузке, чтобы запускаться сразу после включения компьютера. После того как запустится, она ограничивает все другие действия, которые можно выполнять при помощи мыши или клавиатуры. Ну и конечно же просит оплатить некоторую сумму для разблокировки windows. Но даже если вы оплатите, то вам не придет никакой пароль для разблокировки системы. Поэтому, чтобы разблокировать windows, нужно убрать winlocker из автозагрузки, а потом просто удалить его вообще.     Если всё же ваш компьютер заразился этим вирусом, можно попытаться разблокировать windows и удалить winlocker (винлокер) самостоятельно. Сначало надо узнать все ли функции операционной системы windows он заблокировал или нет. 1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.Если не открывается значит диспетчер задач заблокирован2. Можно попробовать запустить командную строку сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8) Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.    Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра. Далее переходим по веткам системного реестра, отвечающие за автозагрузку:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Runкарт  Убираем ненужные и незнакомые программы, которые автоматически загружаются.Эти программы (если есть), убирать не нужно:C:\Windows\System32\hkcmd.exeC:\Windows\System32\igfxtray.exeC:\Windows\System32\igfpers.exe

3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon  В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:Нам нужны параметр Shell и Userinit.В параметре Shell должно быть прописано explorer.exeВ параметре Userinit должнен быть прописан путь к файлу userinit.exeПримерно -  ( С\ Windows\ system32\ userinit. exe, ) запятая после .exe  обязательна.  Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. ) Меняем значения на такие, которые должны быть.   Этими действиями мы удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ), чтобы не дать ему запустится  при загрузке системы.     Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.     Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ). Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике:Для Windows7: В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.Для Windows Xp: В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы, ставим галочку показывать скрытые файлы и папки.  Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).    После перезагрузки компьютера проблема исчезнет.

ЗАГРУЗКА В БЕЗОПАСНОМ РЕЖИМЕ И ОТКАТ СИСТЕМЫ

    Так же можно попробовать восстановить систему с помощью отката системы  на ранее стабильное состояние.   Процесс лечения:    Выполняются следующие действия - при включении компьютера, после заставки БИОС (BIOS) удерживаем клавишу F8. Появится список с различными вариантами загрузки. \см.рис.выше\    Здесь можно выбрать два варианта "Последняя удачная конфигурация(Дополнительно)" и  "Безопасный режим с поддержкой командной строки"  и жмем ENTER .

    В первом случае восстановление пройдет автоматически без вашего участия. После перезагрузки увидите положительный или же отрицательный результат.      Во втором - произойдет загрузка в Безопасный режим с поддержкой командной строки. В командной строке необходимо ввести %systemroot%\system32\restore\rstrui.exe   и нажать ENTER. Будет запущена программа восстановления системы в окне которой нужно кликнуть по кнопке ДАЛЕЕ. 

Выбрать дату, когда система работала без сбоев. (Выбрать можно только даты выделенные жирным шрифтом) кликнуть по кнопке ДАЛЕЕ ,а затем закройте следующее окно нажав ENTER. Начнется процесс восстановления системы, который займет несколько минут, а по окончании произойдет перезагрузка  Windows.

 Возможно данные способы не справятся с вредоносными банерами или что-либо не получиться. Тогда стоит применить "взрослый" инструмент , а именно воспользоваться мощным инструментом настройки и лечения от всех хворей ERD COMMANDER.

techkot.blogspot.com