Як розблокувати windows після блокування вірусом

Відео: Як розблокувати комп`ютер (вірус вимагач) how to unlock windows

Останнім часом спостерігається зростання кількості шкідливих програм-здирників, які вимагають відправити sms-повідомлення для отримання доступу до заблокованої системі або до призначених для користувача файлів.

8 квітня 2009 року компанія «Доктор Веб» повідомила про появу нового зразка подібної троянської програми, яка при запуску Windows пропонує ввести «реєстраційний код» - нібито для реєстрації неліцензійної копії Windows. Для розблокування доступу до системи (нібито для отримання реєстраційного коду) потрібно надіслати платне sms-повідомлення - із зазначеним текстом (послідовність випадкових чисел) на зазначений номер.

Приблизний текст повідомлення: «Windows заблокований. Для розблокування необхідно відправити смс з текстом 4128800256 на номер 3649. Спроба перевстановити систему може привести до втрати важливої ​​інформації і порушень роботи комп`ютера ».

У вікні доступні текстове поле Ввести отриманий код і кнопка Активація.

вікно блокування Windows

Що являє собою вірус, що блокує запуск Windows

Дана шкідлива програма була додана в вірусну базу Dr.Web 08.04.2009 р, під назвою Trojan.Winlock.19. Її модифікації автоматично розпізнаються технологією Origins TracingTM як Trojan.Winlock.origin. Trojan.Winlock поширюється у вигляді підроблених кодеків.
Антивірус Касперського розпізнає вірус з 13.04.2009 р, як Trojan-Dropper.Win32.Blocker.a. Panda Security з 20.04.2009 р ідентифікує вірус, як Trj / SMSlock.A.
Вірус являє собою троянську програму, яка встановлює в систему іншу шкідливу програму, яка блокує роботу операційної системи Windows.
Програма є додатком Windows (PE EXE-файл). Має розмір 88576 байт. Написана на C ++.




Деструктивні дії вірусу

Після активації вірус витягує зі свого тіла файл в тимчасовий каталог поточного користувача Windows -% Temp% .tmp (- випадкова послідовність цифр і букв латинського алфавіту).
Даний файл має розмір 94208 байт і детектується Антивірусом Касперського як Trojan-Ransom.Win32.Agent.af.
Після успішного збереження файл запускається на виконання, виконуючи такі дії:

- для автоматичного запуску в розділі

[HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon]

системного реєстру вірус змінює значення строкового (REG_SZ) параметра Userinit - на% Temp% . tmp;

- в залежності від поточної дати вірус відправляє http-запит:
http: //%3Crnd1%3E.com/regis***.php? guid = {} Wid =u = number =install = 1
де- url-посилання, сформована за спеціальним алгоритмом в залежності від поточної дати, - спеціально сформований унікальний ідентифікатор, - випадкове число, - серійний номер жорсткого диска.

- після перезавантаження ПК вірус виводить вікно з пропозицією відправити sms-повідомлення на вказаний номер для розблокування;

- при розблокуванні операційної системи Windows в робочому каталозі вірусу створюється файл командного інтерпретатора під ім`ям a.bat. В даний файл записується код для видалення оригінального файлу вірусу і самого файлу командного інтерпретатора. Потім файл a.bat запускається на виконання (до речі, цей вірус «схильний до самогубства»: через 2 години після запуску він робить собі «харакірі», тобто самознищується, якщо протягом 2-х годин код розблокування не введений).

Як розблокувати Windows

Відео: як прибрати вірусну блокування телефону (вірус вимагач)

Для розблокування використовуйте безкоштовний сервіс Deblocker на сайтах "лабораторії Касперського"І"доктор Веб". Сервіс допоможе прибрати банер (рекламний модуль) з робочого столу, розблокувати Windows без відправки смс або повернути зашифровані вірусом файли.

Для ручного розблокування Windows, заблокованої вірусом Trojan.Winlock, ви можете скористатися формою, розробленою фахівцями «Доктор Веб»: - в текстове поле Текст для SMS треба ввести текст sms (з екрану монітора заблокованої системи), натисніть кнопку OK-- в текстовому полі Код активації з`явиться код, який потрібно ввести в текстове поле ввести отриманий код на заблокованій системі.

Як видалити вірус вручну

Завантажте Windows в так званій «чистому середовищі», наприклад, скориставшись завантажувальним аварійно-відновлювальних диском, типу Windows miniPE або ERD Commander:

Відео: Як розблокувати комп`ютер від вірусу вимагача (банер на робочому столі)

  • вставте диск з ERD Commander в лоток CD-ROM, перезавантажте ПК;
  • під час перезавантаження натисніть Delete для входу в CMOS Setup Utility;
  • встановіть завантаження ПК з CD-ROM, натисніть F10, санкціонуйте зроблені зміни, почнеться перезавантаження;
  • в меню Майстер відновлення Windows XP виберіть Завантаження ERD Commander -gt; Enter;
  • внизу з`явиться рядок стану Starting Winternals ERD Commander;
  • після завантаження драйвера відеокарти у вікні натисніть кнопку Skip Network Configuration;
  • у вікні Welcome to ERD Commander виберіть свою ОС -gt; OK;
  • коли завантажиться Робочий Стіл, двічі клацніть значок My Computer;
  • у вікні ERD Commander Explorer розкрийте диск, на якому встановлена ​​ОС (як правило, C: );
  • видаліть оригінальний файл вірусу, як правило, він розташований в тимчасовому каталозі поточного користувача Windows -% Temp% . tmp (може мати атрибути Прихований, Системний, Тільки читання);
  • закрийте вікно ERD Commander Explorer;
  • натисніть Start -gt; Administrative Tools -gt; RegEdit;
  • у вікні ERD Commander Registry Editor знайдіть розділ
    [HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon]
  • виправте значення строкового REG_SZ-параметра Userinit на C: WINDOWS system32 userinit.exe, (якщо система встановлена ​​на диску C: , якщо на іншому диску, тоlt; буква_діскаgt;: Windows system32 userinit.exe,). Вірус встановлює значення цього параметра% Temp% . Tmp;
  • в цьому ж розділі виправте (при необхідності) значення строкового REG_SZ-параметра Shell на Explorer.exe;
  • закрийте вікно ERD Commander Registry Editor;
  • натисніть Start -gt; Log Off -gt; Restart -gt; OK;
  • під час перезавантаження натисніть Delete для входу в CMOS Setup Utility;
  • встановіть завантаження ПК з вінчестера, натисніть F10, санкціонуйте зроблені зміни, почнеться перезавантаження;
  • завантажте Windows в звичайному режимі;
  • перевірте систему антивірусом зі свіжими базами.

Примітки

Відео: Як розблокувати комп`ютер (Windows) - Winlock (Вінлокер)

1. Увага! Не піддавайтеся на виверти вірусів, - не відправляйте sms за вказаним номером, не даруйте гроші здирникам, який створив вірус.

2. Пам`ятайте, що попередити легше, ніж лікувати! Користуйтеся брандмауерами і надійними антивірусними програмами з регулярно (не менше одного разу на тиждень!) Оновлюваними базами.

джерело: netler.ru

Поділися в соціальних мережах:

Схожі
«Доктор веб» фіксує зростання фінансових пірамід в інтернеті«Доктор веб» фіксує зростання фінансових пірамід в інтернеті
Троянці-шифрувальники шифрують файли на жорсткому диску комп`ютераТроянці-шифрувальники шифрують файли на жорсткому диску комп`ютера
Вірус заблокував комп`ютер і вимагає відправити smsВірус заблокував комп`ютер і вимагає відправити sms
По інтернету розгулює троянець - вбивця файлівПо інтернету розгулює троянець - вбивця файлів
Доктор вебДоктор веб
Як розблокувати завантажувач lg (unlock bootloader lg)Як розблокувати завантажувач lg (unlock bootloader lg)
Розблокування windows зараженої смс вірусомРозблокування windows зараженої смс вірусом
Bootloader huawei - як розблокувати (інструкція)Bootloader huawei - як розблокувати (інструкція)
Як відновити сторінку в контактіЯк відновити сторінку в контакті
Комп`ютерна безпекаКомп`ютерна безпека
» » Як розблокувати windows після блокування вірусом