Если загрузка компьютера блокирована и на экране появилось окно с надписью "WINDOWS ЗАБЛОКИРОВАН" - вы стали жертвой семейства вредоносных программ Trojan.Winlock. он же Win32.Blocker, предназначенных для шантажа и вымогательства.
При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера. Как справиться с этой заразой, мы и попытаемся выяснить...
Самое главное: Не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS, блокировка всё равно не снимется, а денег снимут прилично !
Сам по себе Trojan.Winlock. он же Win32.Blocker несложно удалить при помощи AVZ, AVPTool, Dr.Web CureIt! или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Что делать, как быть ?
Во первых, если под рукой есть другой компьютер с интернетом, то для вас компания Dr.Web сделала генератор кодов разблокировки. Здесь вы можете найти данный генератор. Просто введите ваш текст СМС, и сгенерируйте код активации. После этого вы сможете попасть на рабочий стол и бороться дальше.
Второе, чем можно воспользоваться: это диск с Live CD и одна из антивирусных утилит, я предпочитаю Dr.Web CureIt!.
Скачать DrWeb Curelt! можно на нашем сайте.
Вставляем диск с LiveCD в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся. Потом запускаем Dr.Web CureIt! с флешки или с диска, и проверяем системный раздел.
И третье: есть ещё один метод входа в систему без использования LiveCD 1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ, AVPTool, или Dr.Web CureIt! и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Можно попытаться уничтожить эту заразу вручную:
Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit Там должна быть только запись вида «C:\Windows\system32\userinit.exe,» В нашем случае вирус дописал в конце данной строчки свой запуск. Ищем файл, прописанный в данной строчке и прибиваем его
Искать вирус надо примерно в таких папках: с:\windows\temp c:\windows\system32\название вируса*.exe C:\Documents and Settings\User\Local Settings\Temp C:\Documents and Settings\User\Local Settings\Temorary innternet files Названия всегда разные
Когда он только появился, то он самоуничтожался через два часа, теперь этого не происходит. Судя по комментариям и сообщениям в интернете эта зараза постоянно модифицируется. Меняется номер и код для sms-сообщений, меняются имена файлов. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
Подбор "кода разблокировки" вместо отправки SMS-сообщения. Получить код вы можете одним из двух вариантов:
1) Использовать сервис разблокировки, любезно предоставленный нам "Лабораторией Касперского":
подбор "кода разблокировки" вместо отправки SMS-сообщения. Получить код вы можете одним из двух вариантов:
1) Использовать сервис разблокировки, любезно предоставленный нам "Лабораторией Касперского":
2) Обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования.
Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.
Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:
а) выполнять требования злоумышленников и выплачивать им "выкуп", б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" - гарантированный способ умертвить Windows).
2) Обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.
Следует, однако, помнить, что каким бы вымогателем ни был поражен ваш ПК, ни в коем случае нельзя делать двух вещей:
а) выполнять требования злоумышленников и выплачивать им "выкуп", б) заниматься самолечением или следовать советам шарлатанов от компьютерной медицины (например, "удали все файлы из папки system32" - гарантированный способ умертвить Windows).
Мы будем вам признательны, если вы разместите нашу кнопку у себя на сайте. Если вы хотите обменяться с нами баннерами, пишите в гостевую книгу:
Все файлы расположенные на проекте matrix.clan.su были взяты из открытых источников. Все материалы на проекте предназначены исключительно для ознакомления, без целей коммерческого использования. Все права на публикуемые аудио, видео, программные, текстовые и графические материалы принадлежат их владельцам и администрация не несет ответственность за их использование. Ни администрация проекта, ни хостинг-провайдер, ни любые другие лица не могут нести ответственности за использование материалов данного сайта! Входя на проект matrix.clan.su вы автоматически соглашаетесь с данными условиями.
.
