Вивчаємо способи розблокування Windows XP. Windows заблоковано: що робити, як розблокувати? Як розблокувати систему

Якщо одного разу запустивши невідому програму, ваш комп'ютер перестає реагувати на команди, а робочий стіл набуває характерного вигляду:

значить, ви стали черговою жертвою Trojan.WinLock або просто - трояна-здирника, який змушує вас заплатити зловмиснику певну грошову суму за можливість користуватися своїм ПК. Ситуація нерідка, хоч пік ​​епідемії блокувальників Windows вже пройшов. За час існування цього способу здирництва накопичено чималий досвід виявлення та “лікування” заражень такого роду, але, проте, методи блокування Віндовс зловмисники вдосконалюють досі.

Потрібно сказати, що незважаючи на загрози знищення даних на ПК у разі несплати "штрафу", нічого подібного ніколи не відбувається. І при вмілому підході будь-яке блокування можна досить швидко зняти, не вдаючись до переустановки системи. Тому, побачивши на екрані грізний банер "Комп'ютер заблокований", не поспішайте переказувати кібер злочинцеві гроші - жодного коду для розблокування ви не отримаєте.

Щоб ви не відчували себе безпорадними у подібній ситуації, ми підготували для вас опис методів роботи троянів-вимагачів та кілька способів боротьби з ними.

Види блокування системи

Перерахуємо методи, за допомогою яких зазвичай здійснюється блокування комп'ютера під керуванням Windows XP.

• Модифікація головного завантажувального запису (MBR), який, якщо пам'ятаєте, займає перший сектор жорсткого диска. При цьому завантажувальний код перезаписується або переміщається в інше місце, а замість нього практично відразу після включення ПК управління отримує шкідлива програма. Цей різновид здирників отримав назву Trojan.MBRlock.
• Блокування робочого стола шляхом модифікації системного реєстру, а точніше його областей, відповідальних за запуск Windows і автоматичний старт додатків. При цьому замість системних файлів, або разом з ними запускається троянська програма.
• Перезапис (патчінг) файлів, критично важливих для завантаження Windows. При такому методі блокування немає необхідності модифікувати реєстр, адже шкідливий код, записаний у системні файли, отримає управління в будь-якому випадку, а виявити блокувальник буде набагато складніше. Зазвичай під роздачу потрапляють Userinit.exe, Explorer.exe, LogonUI.exe, Taskmgr.exe, а іноді і деякі інші.
• Існує і такий спосіб блокування Windows, як заборона запуску будь-якої програми та виконання будь-яких дій на комп'ютері, крім прочитання повідомлення з вимогами здирника. Повідомлення при цьому можна вільно закрити, але працювати на ПК все одно не можна - спроби щось робити будуть "заборонені адміністратором". Віндовс виявляється заблокованим через групові політики. За таким принципом працює здирник Trojan-Ransom.Win32.Krotten (за класифікацією Лабораторії Касперського).

Крім перерахованих "чистих" видів блокування, зустрічаються і більш витончені, що поєднують у собі відразу кілька способів автозапуску троянського коду. Наприклад, зміни у реєстрі та патчингу системних файлів, а також – розміщення на жорсткому диску кількох копій трояна, здатних відновлювати один одного.

Улюбленими місцями розташування троянських файлів у Windows XP є ці директорії:

C:\Documents and Settings\Поточний користувач\Local Settings\Application Data
C:\Documents and Settings\All Users\Local Settings\Application Data
C:\Documents and Settings\Поточний користувач\Local Settings\Temporary Internet Files
C:\Documents and Settings\All Users\Local Settings\Temporary Internet Files
C:\Documents and Settings\Поточний користувач\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Windows
C:\Windows\Temp
C:\Windows\System32
C:\Documents and Settings\Поточний користувач\Головне меню\Програми\Автозавантаження
C:\Documents and Settings\All Users\Головне меню\Програми\Автозавантаження

А автозапуск зазвичай здійснюється за допомогою записів до наступних розділів реєстру:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметри: Userinit, UIHost, Shell.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Параметр Debugger
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр AppInit_DLLs

Що робити, якщо Windows XP заблоковано?

Більшість блокувальників працюють не тільки в нормальному режимі, а й у безпечному, а в деяких випадках вони просто відключають можливість завантаження безпечного режиму, видаляючи відповідні розділи реєстру. Тому, якщо у вас заблокувався Windows XP, вирішувати проблему доведеться за допомогою альтернативних завантажувальних носіїв - так званих живих дисків (Live CD) з власною операційною системою. Завантаживши комп'ютер з такого носія, ви зможете отримати доступ до жорсткого диска, який виявився заблокованим. Далі ми розберемо, як працювати з Live CD, а поки що випробуваємо простіші способи, які хоч і не завжди, але в багатьох випадках виручають.

Найпростіший метод зняття блокування комп'ютера

Цей спосіб було виявлено користувачами експериментальним шляхом. У випадках складного блокування він навряд чи допоможе, але спробувати все одно варто, тим більше що всі дії займуть у вас не більше 5 хвилин.

• Побачивши на екрані банер “Windows заблокований”, перезавантажте комп'ютер і перед стартом системи зайдіть у налаштування BIOS Setup. На першій вкладці "Main" (в Avard BIOS - пункт меню "Standart CMOS Feature") переведіть системну дату на 2 - 3 роки вперед або назад. Щоб вийти зі збереженням налаштувань, натисніть F10 та “Y”.

• Завантажте Віндовс, якщо банера на робочому столі немає, скачайте безкоштовну антивірусну утиліту, наприклад, Kaspersky Virus Removal Toolабо Dr.Web CureIt!та проведіть сканування. Навіщо викачувати ці програми, якщо антивірус у вас уже є? Тому, що через зміну дати, він, найімовірніше, не працює.
• Після видалення трояна знову зайдіть в налаштування BIOS і поверніть колишню дату. Всі.

Онлайн-сервіси антивірусних компаній для розблокування Віндовс

Якщо попередні дії не допомогли вам впоратися з банером "Комп'ютер заблокований", можна спробувати підібрати код розблокування за допомогою онлайн-сервісів антивірусних компаній. Цей варіант допомагає в 50 – 70% випадків, але він буде корисним лише тоді, коли у вас є інший ПК (телефон, планшет тощо) з виходом в Інтернет. Нижче наведено посилання та інструкції щодо використання цих сервісів.

Сервіс деактивації Trojan.WinLosk "Лабораторії Касперського"

• Перепишіть текст повідомлення здирника, яке ви бачите на екрані, та вставте його у відповідне поле.
• У сусідньому полі впишіть номер телефону, вказаний у повідомленні, на який вимагають переказати гроші.
• Натисніть кнопку "Отримати код розблокування" і спробуйте видалити банер.
• Після входу до Windows проведіть антивірусне сканування ПК, оскільки файл трояна-блокувальника, як і раніше, знаходиться в системі і може заблокувати її повторно.

• Впишіть номер телефону або гаманця здирника у відповідне поле та натисніть кнопку “Шукати коди”.
• Якщо нічого запропоновано не буде, можете спробувати знайти відповідний код на вигляд банера.
• Після розблокування проскануйте комп'ютер на віруси.

• Впишіть у відповідні поля текст повідомлення з банера “Віндовс заблокований” та номер вказаного там телефону.
• Натисніть кнопку “Надіслати” і спробуйте скористатися запропонованими кодами.
• Після того, як комп'ютер розблокується, проскануйте його на віруси.

Засоби автоматичного розблокування ПК

Якщо попередні заходи не зробили жодної дії і ваш ПК, як і раніше, заблокований, видалити банер можна за допомогою спеціалізованих програм на завантажувальних дисках (Live CD). Нижче наведено інструменти, які дозволяють автоматично зняти блокування Windows XP та ліквідувати троянську програму.

AntiSMS

Повністю автоматична утиліта, що виліковує всі відомі модифікації троянів-вимагачів та відновлює стандартні налаштування завантаження системи. Рекомендується для користувачів-початківців, які не мають досвіду в адмініструванні ПК. Всю роботу програма виконує приховано, а запускається подвійним кліком по ярлику робочому столі завантажувального носія.

Ще один завантажувальний диск може допомогти, якщо ваш Windows XP раптом заблокувався. Утиліта в автоматичному режимі знайде та видалить троянську програму, а також відновить пошкоджені файли та системний реєстр. На комерційній основі AntiWinLocker можна використовувати і для захисту Виндовс від блокувальників, встановивши комп'ютер.

Для видалення банера за допомогою цієї програми потрібно мінімум дій:

• завантажтеся з AntiWinLockerLiveCD, прийміть ліцензійну угоду та натисніть кнопку “Старт”;

• виберіть із меню пункт “Автоматичний запуск”;

• погодьтеся на пропозицію заміни файлів (якщо буде), позначивши їх у списку та натиснувши “Виконати”;

• після завершення роботи програми запустіть комп'ютер із жорсткого диска – блокування буде знято.

Ще один універсальний інструмент, здатний допомогти не тільки у випадках, коли комп'ютер заблокований, але й за будь-яких вірусних заражень. Оснащено функцією оновлення вірусних баз через Інтернет.

Для використання достатньо запустити з робочого столу сканер, вибрати області сканування та натиснути “Почати перевірку”.

Не менш простий у використанні інструмент, ніж попередні. Також дозволяє легко вирішувати різні вірусні проблеми на ПК, у тому числі і тоді, коли вхід в Windows XP виявився заблокований. Має можливість "інтелектуального сканування", корисного для пошуку невідомих шкідливих об'єктів.

Ручне зняття блокування Windows XP під час завантаження з Live CD

Тепер розглянемо ручні засоби видалення шкідливого коду, що заважає завантаженню Windows XP. Для того, щоб їх використовувати, необхідно бути щонайменше досвідченим користувачем ПК, інакше проблем після спроб видалення банера може бути більшим, ніж спочатку. Для першого способу лікування комп'ютера за допомогою професійної утиліти Universal Virus Sniffer(uVS) нам знадобиться будь-який завантажувальний диск на базі OS Windows. Ми скористаємося Alkid Live CD.

Alkid Live CD та uVS

Цей спосіб, можна сказати, найбільш трудомісткий, оскільки всі операції доведеться виконувати вручну. Однак в екстремальних ситуаціях, коли рідний Windows XP заблокувався, вибирати не доводиться, і ми будемо використовувати те, що є під рукою. Отже, почнемо.

• Завантажте на іншому комп'ютері та розпакуйте на флешку програму uVS (якщо немає іншого ПК, це можна зробити і на Alkid Live CD після налаштування підключення до Інтернету).
• Підключіть флешку до заблокованого комп'ютера.
• Завантажте Alkid Live CD.
• Запустіть файл start.exe із каталогу uVS (який у нашому випадку знаходиться за адресою F:uvs).
• у вікні "Режим запуску" натисніть кнопку "Вибрати каталог Windows" і перейдіть у провіднику до папки Windows заблокованої системи. Клацніть "ОК".
• Натисніть “Запустити під поточним користувачем”.

• Після сканування перед вами відкриється список підозрілих файлів, і він на видному місці – наш троян-вимагач.

• Щоб вивчити докладні відомості про цей файл, клацніть по ньому двічі – відкриється вікно, де, крім іншого, буде вказано спосіб його автозапуску. У нашому випадку це ключ реєстру, який запускає провідник Windows (explorer.exe).

• Тепер переходимо до видалення трояна та відновлення нормального запуску Windows. Закрийте вікно властивостей та клацніть по файлу правою кнопкою миші. Виберіть у контекстному меню команду “Видалити всі посилання разом із файлом”.

• Щоб відновити змінений ключ реєстру, у верхньому меню “Додатково” виберіть “Твіки”.

• Натисніть кнопку “Скинути ключі Winlogon у початковий стан”.

• Закрийте програму та завантажте комп'ютер із жорсткого диска. Банеру ви більше не побачите.

Важливо! Якщо в список підозрілих потрапив системний файл, особливо Userinit.exe, LogonUI.exe, Explorer.exe або Taskmgr.exe, ймовірно він змінений і містить код блокувальника. Такі файли потрібно замінювати на їх чисті копії, які зберігаються у папці C:WindowsSystem32dllcache.

ERD Commander 5.0

Якщо у вас під рукою опинився цей чудовий інструмент відновлення Windows XP, позбутися банера "Комп'ютер заблокований" можна набагато простіше, наприклад, скориставшись функцією відновлення системи. Щоб отримати доступ до неї, завантажте ПК з диска ERD Commander версії 5.0 і перейдіть до наступних дій.

• Натисніть кнопку "Start" (аналог пуску), виберіть з меню пункт "System Tools", а потім - "System Restore".

• Запуститься знайома програма відновлення системи. Виберіть відповідну контрольну точку та натисніть “Далі”. Після процедури відкату завантажтеся з жорсткого диска. Банер “Windows заблокований” більше не докучатиме вам.

Видалення шкідливого коду з MBR

Якщо відразу після включення ПК, ще до початку завантаження Windows XP, вашому погляду відкрилася така картина:

значить, ви постраждали від трояна-здирника, що прописався в MBR. Видалити звідти шкідливий код може не кожний із перерахованих тут коштів – для цього необхідні повноцінні антивірусні продукти, які ми назвемо нижче. А зараз приділимо кілька хвилин тому, чого в цьому випадку робити не варто.

Вірний спосіб зробити Windows XP не завантажуваною

Багато користувачів знають призначення консольної команди fixmbr - вона призначена для перезапису першого сектора жорсткого диска. І, по-хорошому, повинна відновлювати завантажувальний код, одночасно видаляючи трояна, що там сидить. Але не тут було. В процесі перезапису нестандартної MBR (а у разі зараження трояном вона і буде нестандартною) часто пошкоджується таблиця розділів, яка знаходиться на жорсткому диску відразу після завантажувального коду MBR і є її частиною.

Якщо ми проігноруємо попередження консолі відновлення та виконаємо fixmbr, замість повідомлення про те, що комп'ютер заблокований, побачимо таке:

що означає пошкодження таблиці розділів. Отже, більше завантажити систему ми не зможемо.

Лікування MBR за допомогою антивірусних утиліт

Для коректного та безпечного відновлення головного завантажувального запису можна використовувати:

• AntiSMS;
• Kaspersky Rescue Disk;
• Dr.Web Live CD;
• LiveCD ESET NOD32.

Цих інструментів більш ніж достатньо, щоб зняти будь-яке блокування Windows XP, у тому числі і таке.

Як уникнути блокування Віндовс?

Навряд чи хтось посперечається, що запобігти зараженню комп'ютера троянами-здирниками набагато легше, ніж потім з ними боротися. І щоб ваш ПК якось “випадково” не заблокувався, дотримуйтесь цих нескладних правил:

• встановіть надійний антивірус та не забувайте своєчасно оновлювати його бази;
• перед запуском невідомого файлу не полінуйтеся просканувати його на безпеку;
• не переходьте за невідомими посиланнями, надісланими вам поштою та через месенджери, навіть від ваших занкомів;
• своєчасно встановлюйте оновлення Windows XP – це закриває багато лазів, через які в систему проникають шкідливі програми. І тоді, сподіваємося, вам більше ніколи не доведеться бачити повідомлення "Windows заблокований", принаймні на вашому власному комп'ютері.

Напевно, Ви чули, а може навіть потрапляли в таку ситуацію, коли після скачування якогось файлу або відвідування сумнівного сайту в інтернеті.

ПК раптом ставав некерованим і з'являвся банер з вимогою ввести код для того, щоб розблокувати комп'ютер, який можна отримати, відправивши СМС або поповнивши рахунок телефону на певну суму.

Що ж робити? Підкоритися здирникам чи все-таки є шанс якось розблокувати комп'ютер без СМС? Давайте розберемо кілька варіантів наших дій для того, щоб не стати «дійною коровою» для аферистів.

Адже після поповнення рахунку вони вже знатимуть Ваш телефон і, швидше за все, зможуть авторизуватися у Вашого стільникового оператора. А значить і знімати з Вашого телефону гроші їм не складе великих труднощів. Але не будемо впадати у відчай і спочатку спробуємо впоратися з проблемою самостійно. Отже, як?

Спроба розблокувати банер через диспетчер завдань

Це один із найпростіших методів. Хто знає, може бути шахраї не настільки грамотні і лише блефують? Отже, викликаємо диспетчер завдань і знімаємо завдання, яке виконує наш браузер. Для цього одночасно натискаємо клавіші Ctrl+Alt+Del (плюсики, звичайно, не натискаємо). Потім у вікні натискаємо "Запустити диспетчер":

Це вікно може мати різні види залежно від операційної системи, але суть сподіваюся зрозуміла. Далі з'являється диспетчер завдань. Тут ми і повинні зняти завдання нашого браузера. Клацаємо по рядку з браузером і потім по кнопці "Зняти завдання":

До речі, цей метод можна застосувати як для цього, так і для будь-якого іншого завдання. Для закриття програми, що зависла, наприклад. Треба сказати, не завжди виходить це зробити з першої спроби, іноді вікно диспетчера завдань блимає та пропадає знову.

У таких випадках буває, що допомагає повторне натискання Ctrl+Alt+Delі неодноразове, і до 10 разів поспіль! Більше, напевно, немає сенсу. Вийшло – добре. Ні – діємо далі.

Спроба розблокувати комп'ютер через реєстр

Тепер пробуємо наступний варіант – складніше. Ставимо курсор у полі введення коду, натискаємо Ctrl+Alt+Del та уважно дивимося на банер.

Він, звичайно, не обов'язково буде такий же, як у мене, але пропозиція відправити СМС або поповнити номер і рядок для введення коду або пароля повинні бути обов'язково. Якщо в результаті наших дій курсор зник, значить увага клавіатури переключилася на диспетчер завдань:

Тепер можна натискати Tab, а потім Enter і перед Вами має відкритися порожній робочий стіл, швидше за все, навіть без "Пуску". Якщо це сталося, тепер щоб "розблокувати нашого в'язня" потрібно зайти до реєстру, оскільки віруси зазвичай прописуються там.

Натискаємо Ctrl+Alt+Del.Потім "Запустити диспетчер завдань". У новому вікні - "Файл", потім у випадаючому меню "Нова задача(Виконати ...)":

У наступному прописуємо команду "regedit" після чого натискаємо "ОК":

Команду "Виконати" можна викликати і простіше, якщо, звичайно, вийде - натиснувши на клавіатурі кнопки Win+R. Хто не знає, Win – це кнопка з малюнком Windows, зазвичай внизу в лівому кінці клавіатури.

Якщо все вийшло, ми опинимося в редакторі реєстру. Ось тут будьте дуже уважні та обережні. Нічого зайвого не чіпайте. Неправильні дії можуть призвести до неприємних, а часом і непередбачуваних наслідків у роботі комп'ютера.

Тож нам треба потрапити сюди: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Winlogon. Покажу Вам два вікна, щоб було зрозуміло, де і що натискати для здійснення цієї витівки.

У першому вікні знаходите рядок з написом "HKEY_LOCAL_MACHINE" і клацаєте по трикутничці зліва від неї:

Список під цим рядком розгорнеться. Там необхідно знайти рядок "SOFTWARE" і також клацнути по трикутничку:

Не лякайтеся списки там дуже великі, не забувайте про нижній повзунок - рухайте його, щоб бачити написи повністю.

Коли таким чином дійдете Winlogon, вже натискаєте не на трикутничок зліва, а на саме слово Winlogon. Після цього перекладайте погляд на праву панель, де потрібно буде перевірити параметри: "Shell" і "Userinit" (Якщо погано видно клацніть на картинці - вона збільшиться):

Дивимося на параметр Shell - його значення лише "explorer.exe". Userinit" має виглядати так: "C:\WINDOW\Ssystem32\userinit.exe," .

Наприкінці після “exe” стоїть кома! Якщо там якісь інші значення, виправляємо на зазначені вище. Для цього достатньо натиснути на "Shell" або "Userinit" правою кнопкою миші, клацнути "Змінити", у спливаючому вікні написати потрібне значення.

Це, я думаю, не викликає у Вас особливих труднощів.

Завершальні роботи та дії при невдачі

У деяких випадках буває, що ці параметри гаразд. Тоді знаходимо такий розділ: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Image File Execution Options і розгортаємо його. Якщо там виявиться підрозділ explorer.exe, видаляємо без жалю. Ну ось ми і зробили все для того, щоб розблокувати нашого "в'язня".

Тепер можна перезавантажувати комп'ютер. Якщо вірус не більш підступний, все має повернутись на свої місця. Якщо так, то можемо посміятися з гори - СМС - здирників. Ну і звичайно ж після всієї роботи обов'язково здійсніть повну перевірку антивірусником. Та й чистильник перед цим не завадить пройтися - типу CCleaner.

Якщо нічого не допомогло або Ви не наважуєтеся зробити описані вище дії, зверніться до фахівця. Але СМС не надсилайте в жодному разі. Ви можете також ознайомитися з іншими методами розблокування від Вірусу Trojan Winlock на сайті VirusStop або на сайті Касперського.

На цьому все. Тепер Ви знаєте, як розблокувати комп'ютер без СМС. Але було б краще, якби Вам цього робити ніколи не знадобилося принаймні на своєму комп'ютері.

Здрастуйте, мої читачі! Навряд чи рядового користувача операційної системи windows можна здивувати здирством грошей за допомогою шкідливих троянів Winlock, більш відомих у народі як «блокувальник Windows».

І не дивно, адже кожен другий недосвідчений користувач, проігнорувавши важливість безпеки свого комп'ютера, автоматично відправив себе в білий список аферистів, які, як показує практика, досить спритно «розводять на гроші» переляканих і розгублених новачків, які не знають, як реагувати на подібну ситуацію.

Тому відповідаючи на запитання: як не стати жертвою обману? і що робити, якщо windows заблокований? пропоную уважно вивчити поданий нижче матеріал, що гарантує позбавлення проблеми кількома клацаннями мишки.

З чого все починається

Якось увечері, як зазвичай переглядаючи в інтернеті різні сайти, читаючи стрічку новин, ваш комп'ютер може зависнути. І по центру екрану може з'явитися жахливий банер, який затуляє майже весь робочий стіл і просить відправити смс (яке, зрозуміло, не безкоштовне) або просить поповнити рахунок на вказаний у вимогі мобільний номер. Інакше всі матеріали з комп'ютера автоматично будуть знищені.

Я дам вам кілька слушних порад, що робити, якщо віндовс заблокований і просить код. Наведу найкращі варіанти розблокування системи.

Без зайвих рухів

На щастя, для деяких троян дійсно можна підібрати код розблокування, який хоч і рідко, але повністю знищує вірус із системи.

Підібрати необхідний код можна за допомогою відомих антивірусних баз (а конкретніше за кілька хвилин можна знайти ключові дані на головних сторінках).

Сервіс розблокування Віндовс доступний від компанії:

• «Доктор Веб»
• « Лабораторія Касперського»

Відкрити потрібну сторінку у випадку, якщо ваша система заблокована, можна з будь-якого іншого ПК, планшета чи телефону.

Важливо! Розблокувавши доступ до системи, не варто радіти передчасно. Наступний крок – перевірити диск за допомогою будь-якого антивірусника.

Відновлення системи

Перш ніж переходити до складних і хитрих методів спеціального софту, пропоную спробувати викоренити проблему наявними під рукою засобами, а точніше викликати диспетчер завдань звичним для вас способом (зазвичай це Ctrl+alt+Del).

Вийшло? Тоді вітаю, ви маєте справу із пересічним і простим трояном, який видаляється легко та швидко.

• Знаходимо у списку процесів підозрілий сторонній процес.
• Примусово завершуємо його.

Приклад того, як виглядає ваш вірус.

Найчастіше сторонній процес має невиразне ім'я та висвічується без опису. Виявіть їх у списку і примусово завершіть їх. Раджу робити це повільно і по черзі до того моменту, поки банер не зникне.

Якщо ж диво не відбулося, і диспетчер завдань не викликається, тоді пропоную перейти до етапу використання стороннього менеджера процесів Explorer.exe, який можна завантажити за посиланням. Програму можна запустити за допомогою команди "Виконати" (тиснемо Win+R).

У директиві explorer.exe підозрілий процес виявити дуже легко.

Військова стратегія

Ще один спосіб, за допомогою якого можна впоратися з вірусом, – використання деяких стандартних програм, серед яких рядовий блокнот чи вордпад.

Для цього вам «наосліп» (адже закрити або приховати банер у вас поки не виходить) знадобиться:

1. Запустіть утиліту "Виконати" (Win+R)
2. Пропишіть у ній "notepad" і клацаємо на клавішу "Enter".
3. В ідеалі під вікном банера запуститься новий текстовий файл, в якому ви наберете будь-який (неважливо який) текст і натиснете кнопку вимкнення живлення на системнику.
4. Далі всі процеси, запущені в системі, почнуть завершуватися, крім блокнота, який попросить вас «зберегти» або «закрити без збереження» документ (який ми, звичайно ж, поки що залишаємо без змін).
5. Після деактивації вірусу, як і в попередньому способі, знайдіть місце розташування трояна та знищіть його.

Більш просунутий спосіб

Для хакерських вірусів, «нереально складних» троянів, спосіб протидії диспетчером завдань або іншими системними компонентами не допоможе.

Отже, час переходити до важкої артилерії, а точніше до безпечного режиму.

Покрокова інструкція:

1. Перезавантажуємо комп'ютер, і в момент завантаження операційної системи утримуємо клавішу F8 (іноді інша кнопка, це залежить від вашого ПК).
2. У новому вікні (що передбачає вибір способу завантаження) вибираємо «Безпечний режим + командний рядок».
3. Після завантаження в командному рядку прописуємо regedit, тиснемо ентер і запускаємо редактор реєстру.
4. Аналізуємо редактор реєстру запущених програм на ПК.
   Швидше за все ви побачите повний шлях до троянських файлів, розташованих у ключі Shell та у гілці Userinit. У "Шелл" вірус прописується замість explorer.exe, а в "юзериніт" вказаний після коми.
5. Копіюємо повне ім'я вірусу в буфер обміну.
6. Прописуємо в командному рядку del, натискаємо пробіл і правою клавішею мишки викликаємо контекстне меню.
7. У вікні меню виберіть команду «Вставити» та натисніть Ентер.

Вуаля, перший файл трояна успішно знищено. Проводимо аналогічну операцію з другим та наступними (якщо такі є).

Ну, от і все, основні способи відновлення доступу до даних, що діють, я прописав. Якщо всі вище описані дії вам складно даються через незнання і страх зробити ще гірше, рекомендую вам пройти навчальний курс « геній комп'ютерник». Він допоможе вам набратися сміливості і розібратися в основах володіння ПК.

Сподіваюся, тепер я можу бути спокійним за вас та за збереження вашої інформації. Обов'язково поділіться цією корисною інформацією із друзями в соц. мережах, їм, напевно, цей матеріал теж буде доречним. Не забудьте передплатити оновлення блогу і встановити надійний антивірус! До нових зустрічей!

З повагою! Абдулін Руслан

Як правило, це "троян" із сімейства Winlock. Визначити його легко: якщо на екрані з'являється зображення порнографічного або навпаки ділового характеру, і при цьому комп'ютер припиняє відповідати на команди - це наш клієнт.

Банер при цьому часто містить повідомлення «Ваш комп'ютер заблокований» і пропозиція відправити платне SMS або внести гроші на вказаний рахунок, - нібито після цього шкідливий банер (а з ним і блокування ПК) зникне. На зображенні навіть є поле, куди потрібно вписати спеціальний код, який має прийти після виконання вищезазначених вимог. Принцип дії таких шкідливих елементів зводиться до заміни параметрів Shell в оболонці операційної системи та нівелювання функцій провідника Віндовс

Є кілька поколінь вірусів-вимагачів. Деякі з них знешкоджуються в пару кліків, інші вимагають серйозніших маніпуляцій. Ми наведемо способи, застосувавши які ви зможете впоратися з будь-яким трояном такого роду.

Спосіб №1

Диспетчер завдань

Цей метод спрацює проти примітивних троянів. Спробуйте викликати звичайний диспетчер завдань (комбінація клавіш CTRL+ALT+DEL або CTRL+SHIFT+ESC). Якщо це вдасться, знайдіть у переліку процесів те, що не повинно бути запущено, та завершіть його.

Якщо диспетчер не викликається, можна скористатися менеджером процесів через клавіші Win+R. У полі "Відкрити" впишіть слово "notepad" і натискайте ENTER - таким чином, ви відкриєте програму Блокнот. У вікні програми наберіть довільні символи і коротко натисніть кнопку ввімкнення/вимкнення на своєму ноутбуці або стаціонарному ПК. Усі процеси, зокрема, і троянський, відразу завершаться, але комп'ютер не вимкнеться. Поки вірус деактивований, ви зможете знайти файли, що відносяться до нього, і ліквідувати їх або ж виконати перевірку антивірусом.

Якщо ви не встигли встановити антивірусне програмне забезпечення, ви запитаєте: як видалити вірус-вимагач з комп'ютера? Найчастіше нащадки злобного сімейства Winlock пробираються в каталоги будь-яких тимчасових файлів чи тимчасові файли браузера. Насамперед, перевірте шляхи:

C: \ Documents and Settings \каталог, в якому вказано ім'я користувача \ та

C: \ Users \ каталог на ім'я користувача \ AppData \ Roaming \.

Там шукайте "ms.exe", а також підозрілі файли з довільним набором символів на кшталт "0.277949.exe" або "Hhcqcx.exe" та видаліть їх.

Спосіб №2

Видалення файлів вірусу в безпечному режимі

Якщо перший спосіб не вплинув і Віндовс заблокований - що робити в такому випадку? Тут також засмучуватися не варто. Отже, ми зіткнулися з просунутим троянчиком, який підміняє системні компоненти та встановлює блокування на запуск Диспетчера завдань.

У цьому випадку нам доведеться вибрати роботу в безпечному режимі. Перезавантажте комп'ютер. Під час запуску Windows утримуйте F8. У меню виберіть «Безпечний режим з підтримкою командного рядка».

Далі в консолі слід написати: explorer і натиснути ENTER - ви запустите провідник. Після цього прописуємо в командному рядку слово «regedit» і знову тиснемо ENTER. Так ми викличемо редактора реєстру. У ньому ви зможете знайти створені трояном записи, а ще місце, звідки відбувається його автозапуск.

Шляхи до файлів злопакостного компонента будуть, швидше за все, у ключах Shell і Userinit (у першому він прописується explorer.exe, а в Userinit його легко визначити за комою). Далі порядок дій такий: копіюємо повне ім'я виявленого вірусного файлу правою кнопкою в буфер обміну, в командному рядку пишемо "del", після чого ставимо пробіл і вставляємо скопійоване ім'я. ENTER – і готове. Тепер ви знаєте, як видалити вірус-вимагач.

Також робимо і з рештою заразних файлів.

Спосіб №3

Відновлення системи

Завантажуємо систему в безпечному режимі, як описано вище. У командному рядку прописуємо: «C:WINDOWSsystem32Restorestrui.exe». Сучасні версії зрозуміють і просто rstrui. Ну і, звичайно, ENTER.

Перед вами з'явиться вікно «Відновлення системи». Тут вам потрібно буде вибрати точку відновлення, а точніше – дату, що передує попаданню вірусу на ПК. Це може бути вчорашній день, а може, місяць тому. Словом, вибирайте той час, коли ваш комп'ютер був 100% чистим і здоровим. Ось і все розблокування Windows.

Спосіб №4.

Аварійний диск

Цей спосіб передбачає, що ви маєте час завантажити софт з іншого комп'ютера або сходити за ним до друга. Хоча, можливо, ви завбачливо їм уже обзавелися?

Спеціальне програмне забезпечення для екстреного лікування та відновлення системи багатьма розробниками поставляється прямо в антивірусних пакетах. Однак аварійний диск можна скачати окремо - безкоштовно і без реєстрації.

Ви можете скористатися ESET NOD32 LiveCD, Comodo Rescue Disk або . Всі ці програми працюють за одним принципом і можуть бути розміщені як на CD, DVD, так і на USB-накопичувачі. Вони автоматично завантажуються разом з інтегрованою ОС (найчастіше це Linux), блокують запуск Windows і, відповідно, шкідливих елементів, сканують комп'ютер на предмет вірусів, видаляють небезпечне ПЗ, лікують заражені файли.

Давно вже відомий блокувальник Winlock не спить, вже близько семи років «шантажуючи» користувачів. На сьогоднішній день представник троянів досяг явного успіху - еволюція в наявності. Користувачі витрачають не лише час на знищення вірусу, а й досить часто – фінансові кошти. Але, що тішить, знайшлося вже чимало способів, що допомагають розблокувати систему без особливих зусиль. Читайте далі, як розблокувати windows 7 самостійно та абсолютно безкоштовно, а також зверніть увагу на можливість запобігання цьому неприємному моменту.

Де можна «підчепити» трояна та як він працює?

Насправді завантажити вірус може будь-який користувач і навіть його самостійно запустити. Троян може сидіти у будь-якій картинці чи відеофайлі. Якщо ви качаєте файл із незнайомого сайту, звертайте увагу на розширення. Стандартне розширення представника сімейства троянів винлок – .exe.При запуску відразу починається активна фаза зараження windows. Користувач може спочатку і не помітити змін, проте троян відразу ж прописується в автозавантаженні, а потім обмежує дії, які може зробити користувач. Людина може продовжувати «шерстити» сторінки в мережі, коли банер з'явиться на весь екран і повністю заблокує роботу. Закрити його або згорнути неможливо. Зображення може мати порнографічний характер, і може використовувати звернення, грізно звертаючись до законодавства. І обов'язково буде запропоновано заплатити штраф або надіслати платне повідомлення на вказаний номер. Швидше за все, троян запропонує штраф і погрожує наслідками ігнорування. Звісно, ​​після оплати вам нічого не світить, і, природно, робити цього не варто. Спочатку потрібно звернути увагу на наданий номер і дізнатися про належність до мобільного оператора, потім звернутися до його служби безпеки. Бувають випадки, коли оператор одразу ж диктує пароль розблокування, але не завжди так просто.

Щоб розблокувати систему, потрібно прибрати вірус із автозавантаження, а потім видалити. Зробити це можна кількома способами.

Дізнаємося код розблокування

Деякі антивірусники справді можуть надати код для зняття блокування windows. Після його введення у відповідне поле троян благородно видаляється, причому у буквальному значенні слова. Але не завжди, звісно. Дізнатися про цей код можна на сайтах антивірусників.Тут все просто - вводити вказаний на банери номер гаманця або телефону, на який просять відправити смс, і отримуєте комбінації паролів та подальші вказівки. Зайти на сайти можна з іншого ПК чи телефону.

Якщо все ж таки вдасться подолати трояна в такий спосіб, не вимикайте комп'ютер після роботи! Обов'язково повністю проскануйте windows на віруси.

Користуємося підручними засобами

Не поспішайте підключати складні утиліти та викликати майстра. Спробуйте ще один спосіб. Необхідно викликати диспетчера завдань натисканням CTRL, ALT, DEL чи CTRL, SHIFT, ESC. Якщо вдалося це зробити, значить проблема не така велика. Шукаємо в переліку активних процесів цю програму і вимикаємо. Знайти його не складно - найчастіше вінлок підозріло підписано, а опис програми зовсім відсутній. Якщо ви сумніваєтеся, просто в порядку черги завершуйте всі незрозумілі програми до того моменту, поки не зникне банер.

Якщо ж операція не пройшла так гладко, як хотілося б, і диспетчер завдань не зволив порадувати своєю присутністю, зробимо ще одну спробу його викликати. Використовуйте команду "Виконати", яку можна запустити, натиснувши Win+R.

Звичайна локація блокувальника - каталоги тимчасових файлів windows та браузерів. Однак троян може подбати і про копії, тому повноцінна перевірка системи все ж таки необхідна.

Ще один спосіб видалення простого трояна

Позбутися трояна (рекламного зображення, наприклад) ви зможете, звернувши увагу на реакцію деяких програм. Наприклад, помітивши банер, відкрийте WordPad або блокнот, утримуйте одночасно win - r і пропишіть notepad .

Перед вами з'явиться новий текстовий документ, введіть якісь символи та відключіть комп'ютер кнопкою вимкнення живлення. Ця дія спричинить завершення всіх активних завдань, як і вірусу, але ваш ПК продовжуватиме працювати.

Залишається вікно з пропозицією збереження або відмови змін, тепер ви відбулися від банера в поточному сеансі, це дає змогу ґрунтовно впоратися з вірусом.

Видалення більш стійких різновидів трояну

Деякі трояни мають стійкіший імунітет до спроб знищити його. Вірус виявляє стійкість і блокує будь-які дії, наприклад, не запускається диспетчер завдань або відбувається заміна важливих компонентів у windows. При такому розкладі вам залишається лише перезавантажити свій ПК, під час увімкнення утримуйте F8 . Перед вами з'явиться вікно з можливими варіантами включення системи, вам необхідно вибрати рядок з . Потім пропишіть "explorer", підтвердіть, цю дію запустить провідник. Далі вводимо regedit і знову тиснемо enter, ви помітите редактор реєстру, який допоможе визначити, де ховається троян, і звідки виходить автоматичний запуск вірусу.

Швидше за все, вам з'являться цілі шляхи до вірусу в корінні «shell» і «userinit». У корені "shell" троян буде в рядку замість explorer.exe, в "userinit" він буде прописаний після коми. Знайшовши відомості, експортуйте ім'я вірусу в буферний обмін, прописуємо в командному рядку del, тиснемо пробіл і кліком правою кнопкою миші викликаємо меню. Вставляємо виділені відомості та тиснемо підтвердження (enter). Потім ви видаляєте один вірус за іншим і так до переможного.

Наступною логічною дією буде перевірка реєстру на віруси, що залишилися, почніть пошук з ім'ям трояна. Усі підозрілі файли відразу ж ліквідуємо, далі знесіть усі копії створених файлів та папок, а позику очистіть кошик.

Для обережності скористайтесь антивірусом і ретельно перевірте кожну лазівку у вашій системі. Можливо, через активність вірусу збилися налаштування мережного підключення, відновити їх ви зможете за допомогою налаштувань «Windows Sockets API» програмою «AVZ».

Грунтовне зараження системи

При ґрунтовному інфікуванні windows практично марно намагатися щось виправити проблему. Більш продуктивний та ефективний метод – запустити чисту систему та вилікувати основну. Існує безліч варіантів здійснення цього процесу, але одним з найбільш дієвих способів є використання програми, яка базується на Gentoo Linux. Існує кілька основних файлових образів, які створюються через запис на диск, або створенням завантажувального файлу на флешці за допомогою програми «Kaspersky USB Rescue Disc Maker».

При включенні інфікованого ПК затисніть відповідну клавішу для входу в BIOS, найчастіше цією кнопкою є F2 або Del . У налаштуваннях виберіть файл і збережіть його, натиснувши клавішу «F12» . Сучасні версії BIOS дозволяють вибрати пристрій завантаження, не відвідуючи основні налаштування. Просто натисніть "F11" або "F12" . Відразу після перезавантаження запуститься Kaspersry Rescue Disc. Операція передбачає автоматичне або ручне лікування на ваш вибір.

Видалення загрози за допомогою інсталяційного диска

Існує окрема група трояна, яка вражає завантажувальну систему "MBR", які Ви зможете знайти у слотах автоматичного запуску. У початковій стадії лікування від вірусу необхідно відновити початковий пароль MBR. Для Windows XP ця операція здійснюється за допомогою інсталяційного диска, натисканням клавіші «R» викликаємо меню відновлення та вводимо в ній «fixmbr», після чого погоджуємося за допомогою кнопки «Y», виконуючи перезавантаження. Для Windows 7 виконується той самий процес за допомогою BOOTREC.EXE, вводимо bootrec.exe/Mbr. Таким чином, Ви запускаєте windows і можете знайти заражені файли за допомогою антивірусу.

Робота з менш продуктивними ПК

На малозабезпечених ПК та ноутбуках процес відновлення windows проходить трохи довше і скрутніше. Пояснюється це нестачею потужності та утрудненням у перевірці зовнішніх дисків. Ефективним рішенням може бути вилучення інфікованого жорсткого диска та підключення до іншого більш потужного ПК. Рекомендовано використовувати бокси з інтерфейсом eSATA чи USB3.0/2.0. Для запобігання розповсюдженню вірусу краще відключити на іншому ПК автоматичний запуск HDD, це можна зробити за допомогою програми AVZ. Перевірку краще виконувати за допомогою іншої програми. Заходимо в меню «Майстер пошуку та усунення проблем», вибираємо «системні неполадки», «Все» та натисніть Пуск . Вибираємо пункт «дозволений автозапуск HDD»та виправляємо все зазначене. Перед запуском інфікованого носія необхідно переконатися, що вся антивірусна база працює без збоїв і прогалин, поставтеся до цього моменту серйозно.

Якщо розділи диска не виявлені, виконайте таку операцію: «Пуск», «Виконати», пропишіть та підтвердіть. Після цього розділами вінчестера мають бути вказані літери.

Щоб уникнути інфікування системи знову, встановіть добротний антивірус, який виконуватиме регулярні перевірки.Основними правилами обережності можна назвати:

• Користування ПК з обмеженими правами
• Необхідно використовувати перевірені браузери з гарною системою захисту
• Вимикайте Java-скрипт незнайомих сайтів
• Миттєво позбавляйтеся спливаючих рекламних вікон
• Розділяйте диски на файли користувача та системні
• Вимкнути автозапуск флешок.

Щоб при необхідності відновити роботу ПК в короткий проміжок часу, рекомендується користуватися такими утилітами: Symantec Ghost, Acronis True Image, Paragon Backup and Recovery.