Как удалить вирус, блокирующий windows (СМС-блокер, порнобаннер). Способ второй

Как сегодня люди только не пытаются заработать денег, да и побольше, забывая то человеческое, что вложил в нас Господь. Просто удивляет, насколько люди теряют, обманывая и обворовывая других. Ведь Закон нашего мира, который гласит: «Что человек посеет, то и пожнет» еще никто не отменил. А через какое-то время возникают вопросы: «За что?».

В данной статье, дорогие читатели, я расскажу вам об одном из мошеннических действий, направленного на обворовывание ваших карманов — когда компьютер атакует выпущенный «умными» людьми вирус блокирующий ОС Windows, причем не важно, как версия у Вас операционная система — XP, 7, 8, 10 или другие. Наверняка Вы знаете о чем я, не так ли, по крайней мере думаю что многие из Вас сталкивался с подобной неприятностью? Да, да, я говорю о баннере-вымогателе , который появляется сразу после включения компьютера и блокирует Windows. На этом баннере может быть написано, что мол вы посмотрели какое-то запрещенное видео, и теперь Вам надо срочно отправить кому-то денег, например через Webmoney, и ответно получить СМС с кодом разблокировки операционной системы.

Даже не вздумайте никому ничего платить, т.к. никакие СМС с кодом разблокировки Вам не пришлют. Пусть этими злоумышленниками лучше Господь разбирается, а я Вам тем временем постараюсь помочь разблокировать компьютер.

Как «баннер вымогатель» попадает на компьютер?

1. Вирус «Баннер вымогатель» может попасть на компьютер вместе с бесплатными программами или играми, скачанными с сомнительных источников.

2. Если Вы качаете из интернета фото, музыку, видео и т.д., и эти файлы имеют расширение.exe (имя-файла.exe), вместо соответствующих.jpg, .mp3, .avi, .mkv (имя-файла.jpg).

3. Если на некоторых сайтах Вы видите баннер, который говорит, что мол Вам надо что-то обновить или переустановить, и нажимая на которые Вы переходите не на официальные сайты Ваших программ, а на их клоны.

4. Если на компьютере/ноутбуке не установлен антивирус, тогда вирус может проникнуть на компьютер просто со страницы различных сайтов.

Разблокировать Windows, т.е. убрать баннер вымогатель, из-за которого компьютер заблокирован можно следующими способами:

1. Переустановить Windows.
2. Почистить реестр Windows, т.е. убрать баннер из автозагрузки системы.
3. С помощью загрузочного диска со специальным антивирусным софтом (программами) для удаления вирусов из системы.

В сегодняшнем посте речь пойдет о втором способе – убрать баннер вымогатель из автозагрузки операционной системы.

Способ №1: Как разблокировать Windows с помощью чистки системного реестра

Как бы сложно это не звучало, на самом деле все просто. Просто придерживайтесь дальнейшей инструкции, и будьте внимательными.

1. Заходим в безопасный режим работы Windows. Для этого, после включения ПК, во время загрузки операционной системы нажимайте клавишу «F8» . Должен появиться черный экран, на котором можно выбрать варианты загрузки системы. Выбирайте «Безопасный режим» .

2. Когда Windows загрузится, нажмите сочетание клавиш «Win+R» . Или же «Пуск — Выполнить» .

3. В появившемся окошке введите: regedit

Важно! Если в «Безопасном режиме» также появляется баннер вымогатель, тогда снова перезагрузите ПК и через «F8», в меню выберите «Безопасный режим с поддержкой командной строки». Когда ПК загрузится и появиться черный экран с мигающим курсором, наберите также «regedit», и нажмите «Enter». Появиться то же окно с реестром.

4. Переходим по адресу: HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\CurrentVersion\Winlogon, и проверяем, чтобы следующие значения имели такие настройки:

Shell – напротив должно быть только «explorer.exe».
Userinit – напротив должно быть только «C:\Windows\system32\userinit.exe,». Если Windows установлен не на диск C:, то буква здесь будет иная.

Если значения отличаются, тогда исправьте, чтобы вышло так, как я написал выше. Для этого нажмите правой клавишей на строку, в которой нужно изменить значение, и выберите «Изменить».

5. Переходим по адресу: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Смотрим, чтобы здесь не было записей «Shell» и «Userinit». Если есть, удаляем их.

6. Проверяем следующие адреса на наличие подозрительных записей, типа – fgkthsinlr.exe , которые необходимо удалить:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Если Вы не уверены, что та запись, которую Вы обнаружили, является вирусом, тогда нажмите на нее правой клавишей мышки, и выберите «Изменить». Значение поставьте «1». Таким образом, Вы отключите эту запись, и если что-то пойдет не так, сможете все исправить.

7. Перезагружаем компьютер и радуемся! Windows уже должен быть разблокирован.

Способ №2: Как разблокировать Windows с помощью утилит (антивирусного ПО)

Если Вам было сложно разобраться с разблокировкой компьютера методом чистки системного реестра Windows, тогда можете попробовать использовать специальные антивирусные утилиты (программы), с помощью которых это можно сделать всего в несколько кликов.

Программы для разблокировки Windows

— AntiWinLocker LiveCD http://www.antiwinlocker.ru/download.html
— Kaspersky Rescue Disk : Скачать можно по этой ссылке: http://sms.kaspersky.ru/
— Dr.Web LiveDisk http://www.freedrweb.com/livedisk/
— утилита AVZ . Скачать можно по этой ссылке: http://www.z-oleg.com/secur/avz/download.php

В основном порядок действий по разблокированию компьютера с помощью утилит сводиться к записи их образов на флешку (USB накопитель), включить загрузку компьютера с USB, и во всплывающих окнах просто нажать «Старт», «Анти SMS», «Очистить» и т.д.

Подробнее о данных программах я напишу позже, а на сегодня все. Если у Вас что-то не получилось, пишите в комментариях, попробуем разобраться вместе.

Одним из способов минимизации упомянутой проблемы является выключение компьютера при каждом покидании своего рабочего места. В таком случае потенциальному шпиону при желании добраться до защищенных файлов придется проходить процедуру входа в систему. Очевидно, что такой способ является очень непрактичным и неудобным.

Существует ли более удобный способ? Конечно же, и заключается он в блокировке доступа к компьютеру перед покиданием рабочего места. В этом случае любой желающий воспользоваться компьютером будет вынужден вводить пароль для получения доступа к рабочему столу Windows.

Блокировка компьютера вручную

В Windows 7 предлагаются три способа блокировки компьютера перед покиданием рабочего места.

• Выбор в меню Пуск команды Завершение работы > Блокировать .

При регулярном возникновении необходимости блокировать компьютер стоит рассмотреть вариант превращения кнопки с командой Завершение работы в кнопку с командной Блокировать.

• Одновременное нажатие клавиши с логотипом Windows и клавиши <L >.
• Нажатие комбинации клавиш <Ctrl+Alt+Delete > и затем щелчок на варианте Блокировать компьютер.

В случае применения любого из этих способов далее появляется экран регистрации Windows. Важно обратить внимание на то, что на нем под именем пользователя отображается слово “Заблокировано”.

Автоматическая блокировка компьютера

В приемах блокирования, описанных в предыдущем разделе, нет ничего сложного; главная трудность - помнить о необходимости их применения. Например, опаздывая на какое-нибудь совещание или встречу, кто вспомнит о том, что нужно заблокировать компьютер? В подобных ситуациях обычно бывает так, что человек приходит в назначенное место и только потом вспоминает, что забыл заблокировать свой ПК, после чего начинает мучатся от мысли о том, что оставил свой компьютер незащищенным.

Во избежание подобных сложностей (не говоря о возможном проникновении) лучше настроить компьютер так, чтобы он блокировался автоматически по истечении определенного периода отсутствия активности со стороны пользователя. В прежних версиях Windows для обеспечения подобного поведения требовалось использовать экранную заставку, и Windows 7 тому не исключение. Необходимые шаги приведены ниже.

1. Щелкните правой кнопкой мыши на рабочем столе и выберите в контекстном меню пункт Персонализация, чтобы открыть окно Персонализация.
2. Щелкните на значке Экранная заставка.
3. Если необходимо, чтобы после пребывания ПК в состоянии простоя некоторое время, появлялась экранная заставка, выберите ее в списке Заставка.
4. В поле счетчика укажите интервал простоя (в минутах), по истечении которого Windows 7 должна автоматически блокировать ПК.
5. Установить отметку рядом с опцией Начинать с экрана входа в систему.
6. Щелкните на кнопке ОК.

Клавиши блокировки компьютера

Защита учетной записи пользователя паролем в Windows 7 хоть и является замечательной идей, стопроцентной гарантии все равно не дает. Хакеры - весьма изобретательная публика, и некоторые наиболее сообразительные из них уже придумали, как взламывать систему паролей учетных записей. Их хитрость заключается в следующем: они устанавливают в системе вирус или программу типа “троянского коня” (обычно с помощью инфицированного электронного сообщения или вредоносного веб-сайта), которая сама себя загружает, когда пользователь включает компьютер.

Далее эта программа отображает фальшивую версию экрана приветствия Windows 7 и записывает вводимые на нем пользователем имя пользователя и пароль, после чего защита системы оказывается взломанной. Исключить вероятность попадания на такую хакерскую уловку в Windows 7 можно путем настройки системы так, чтобы пользователям перед входом требовалось нажимать комбинацию клавиш .

Нажатие этой клавиатурной комбинации гарантирует появление настоящего экрана приветствия Windows 7. Ниже перечислены шаги, необходимые для настройки такого поведения.

1. Щелкните на кнопке Пуск, введите командная строка, в списке результатов поиска щелкните правой кнопкой мыши на варианте Командная строка и выберите в контекстном меню пункт Запуск от имени администратора. Появится диалоговое окно Контроль учетных записей пользователей. Введите в окне Контроль учетных записей пользователей свои учетные данные.
2. В окне командной строки введите команду control userpasswords2 . Появится диалоговое окно Учетные записи пользователей.
3. Перейдите на вкладку Дополнительно.
4. Отметьте флажок Требовать нажатия CTRL+ALT+DELETE.
5. Щелкните на кнопке ОК.

Всплывающие сообщения с аудио сопровождением, анимированная реклама и сменяющиеся ленты на сайтах раздражают. Поэтому и разработчики браузеров предпринимают меры по блокированию ненужной информации, и пользователи. Но иногда с сайтом невозможно работать, если в web-обозревателе установлен плагин запрещающий вывод рекламы. Например, ресурсы для просмотра и скачивания фильмов и аудио. Выясним, что нужно предпринять, чтобы отключить блокировщик рекламы в популярных видах браузеров.

Инструкция для Яндекс.Браузер

В web-обозревателе предусмотрен встроенный функционал блокирования и пользовательские надстройки. Чтобы отключить запрет самого браузера, нужно перейти в меню «Управление». Оно вызывается копкой на панели инструментов справа вверху - иконка трех горизонтальных полосок. Отсюда нужно перейти в меню «Настройки», затем нажать кнопку «Показать дополнительные …». Здесь снять галочку напротив пункта в списке «Блокировать шокирующую рекламу».

Если при отладке работы обозревателя пользователь вносил дополнительные изменения, а именно устанавливал специальные плагины, то их тоже нужно отключить. Делают это так:

• Зайти в меню «Управление»;
• Выбрать «Дополнительные»;
• В новом окне напротив всех блокировщиков рекламы перетащить ползунок в сторону «Выкл.»;
• Сохранить изменения.

Для подтверждения действий Яндекс. Браузер лучше перезапустить. Некоторые приложения после обычного сохранения изменений могут не вступить в силу.

Инструкция для пользователей Google Chrome

Гугл также предполагает использование собственного и пользовательского функционала блокирования. Только в этом web-обозревателе встроенная безопасность действует для каждого сайта отдельно. Отключить ее несложно. Нужно открыть во вкладке обозревателя сайт, на котором нужно отменить защиту от рекламы. Затем слева в адресной строке найти значок замочка или английской буквы «i» в кружочке. Нажать на них и перейти по «Настройки сайта». Здесь в списке команд выбрать «Реклама» и в меню справа обозначить режим «Разрешить».

Если пользователь установил плагин защиты, то для отключения блокировщика в браузере Гугл нужно проделать следующее:

• Перейти в «Настройки и Управление» (значок троеточия справа вверху окна);
• Выбрать «Дополнительные инструменты»;
• Нажать на «Расширения»;
• Перетащить ползунок в положение «Выкл.» или удалить расширения запрещающие рекламу.

После внесения изменений в Google Chrome браузер обязательно нужно перегружать. Особенно если правки вносились во встроенный функционал.

Отключение Adblock в web-обозревателе Firefox

В самом браузере предусмотрено только блокирование всплывающих окон. Эта функция для каждого сайта, открываемого в Mozilla Firefox, установлена по умолчанию. Ее легко отключить. Нужно открыть окно обозревателя, перейти по «Открыть меню» (иконка с полосками в правом верхнем углу) и выбрать из списка «Настройки». В появившемся окне выбрать из списка слева «Приватность и защита». Здесь пролистать список вниз, и найти пункт «Разрешения». Убрать галочку напротив «Блокировать всплывающие окна».

Если в браузере есть вручную установленные плагины и расширения, тогда их отключают так:

• Перейти по «Открыть меню»;
• Выбрать из списка «Дополнения»;
• В новом окне из списка слева перейти в пункт «Расширения»;
• В блоке по центру окна найти все блокировщики и нажать «Отключить»;
• Перезагрузить Mozilla Firefox.

Мозила, как и в Google Chrome, предоставляет пользователю возможность устанавливать большой перечень расширений, отключающих рекламу. Поэтому нужно внимательно пересмотреть все в списке.

Инструкция при работе с браузером Opera

Разработчики Opera поступили немного иначе. В обозревателе предусмотрен встроенный мощный Ad-block и всплывающих окон, но он не активирован по умолчанию. Поэтому если пользователь не менял после установки настройки разработчика, то процедуру отключения встроенного функционала можно пропустить. Если правки вносились, тогда отменить их можно, перейдя в «Настройки и управления» (значок Оперы на панели сверху слева). Здесь выбрать «Настройки» и убрать галочку напротив первого пункта меню.

При ручной установке расширений их отмену выполняют так:

• Перейти в «Настройки и управления»;
• Найти и выбрать «Расширения»;
• Из нового списка снова выбрать «Расширения»;
• В появившемся блоке нажать кнопку «Отключить» под тем дополнением, которое запрещает рекламу;
• Перезагрузить Opera.

Все web-обозреватели предусматривают функцию отключения и удаления плагина. Если он разочаровал - пропускает всплывающие окна, убирает не всю рекламу и т.д., тогда его можно удалить. Вместо него поставить новое расширение. Но если нареканий нет, лучше выполнить временное отключение, чтобы в будущем не выполнять процедуру установки повторно.

На данный момент в интернете существуют тысячи различных блокировщиков (блокираторов,блокеров) Windows .Все они направлены на одно - заблокировать любые действия пользователя компьютера и вымогать деньги за его разблокировку посредством отправки смс - сообщений на короткие номера.Некоторые из этих блокировщиков (блок баннеров ,как их еще называют) блокируют работу компьютера не полностью. Вполне можно извернуться и запустить диспетчер задач и убить назойливый процесс. Однако считайте что вам повезло если вам попался такой баннер-недолделка. Зачастую ситуация складывается гораздо хуже и баннер полностью блокирует компьютер,включая блокировку работы клавиатуры.Однако не стоит отчаиваться,процесс лечения баннеров-вымогателей не так уж и сложен. Главное "знать как". О том как удалить блокиратор Windows мы и поговорим далее...

ВНИМАНИЕ: НИ В КОЕМ СЛУЧАЕ НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ БЛОКИРОВЩИКА ПОСРЕДСТВОМ ОТПРАВКИ СМС,НЕСМОТРЯ НА УГРОЗЫ УДАЛЕНИЯ ФАЙЛОВ И Т.Д.

Все баннеры работают по одному принципу. А точнее сказать по одинаковым принципам, которых всего два с различными их модификациями. Рассмотрим их:

1. В первом случае блокировщик записывает свое тело в автозагрузку Windows, через системный реестр. В результате после загрузки отображается уже запущенный баннер вместо рабочего стола Windows. Все остальные возможности работы с компьютером заблокированны . В этом случае требуется исправить системный файл реестра. Сделать это можно двумя способами. Либо подсоединить жесткий диск зараженного компьютера к работоспособному и исправить файл реестра на работоспособной машине(риск заражения при этом минимален). Либо можно загрузиться с Live CD на зараженной машине и исправить файл реестра непосредственно на ней.

Порядок действий:

Отключите Интернет и локалку.

Нужно Загрузиться с Live CD, например, WindowsPE, DrWebLiveCD, Alkid Live CD.

Во время загрузки жмите кнопку del на стационарном компьютере или f2/f10 на ноутбуке(в зависимости от модели) для входа в BIOS . Далее нужно выставить загрузку компьютера с CD-ROM .

Компьютер загрузится с CD-диска.

Загрузить зараженный куст реестра в редактор. Обычно загрузить файл реестра можно выбрав кусты HKEY_USERS и HKEY_LOCAL_MACHINE и нажав Файл>Загрузить куст.Требуемый нам файл куста находится в %systemroot%\system32\config файл software.

После загрузки куста перейдите в этом кусте по адресу:

- и исправьте значения строкового параметра Shell на Explorer.exe, если оно отлично от данного значения;

Проверьте значение строкового (REG_SZ) параметра Userinit -правильное значение C:\Windows\system32\userinit.exe или

%systemroot%\system32\userinit.exe

По адресу: - удалите (если они там присутствуют) параметры загрузки вируса;

Выгрузите куст и закройте редактор реестра

Верните загрузку ПК с жесткого диска,сохраните параметры(F10,затем ENTER)

Загрузите Windows в обычном режиме (если после перезагрузки ПК появится BSOD, выключите ПК с помощью кнопки Power на системном блоке и снова включите). Система загрузится.

Так же действия с файлом системного реестра можно произвести на здоровом компьютере при подключении жесткого диска от зараженного(заражение в таком случае невозможно из-за принципа работы блокеров)

Профилактика:

Для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information )

Очистите кэш интернет-файлов

При необходимости восстановите оригинальный hosts-файл

При необходимости, с помощью соответствующего reg-файла (Windows XP, Windows Vista, Windows 7), восстановите загрузку в Безопасном режиме

При необходимости восстановите запуск Диспетчера задач, Редактора реестра, Интерпретатора команд, утилиты msconfig

Перезагрузите ПК;

Включите восстановление системы;

Просканируйте систему антивирусом со свежими базами. Например Doctor Web CureIT

2. Во втором случае блокировщик перезаписывает загрузочную запись жесткого диска.Тем самым подменяя загрузку Windows на загрузку своего тела.В итоге мы получаем компьютер со сразу загружающимся блокировщиком,минуя загрузку Windows.

Лечение:

Для лечения нам понадобится установочный диск Windows.

Как и с первым пунктом нужно будет активировать загрузку с CD - ROM.

В консоли выполнить последовательно комманды:

fixmbr

fixboot c:

(при условии,что С: -системный диск)

exit

Система должна загрузится.

Так же для решения проблемы с первым типом блокировщиковтак же можно попробовать подобрать пароль разблокировки.Для этого можно воспользоваться сервисами,предоставляемыми гигантами антивирусной индустрии "Доктор веб" ,"Лаборатория Касперского" и ESET .

Полезные советы:

1. Не стоит посылать деньги по указанным номерам, - ответа вы, скорее всего, не получите, просто отдадите денежки вымогателям, создавшим информер.

2. Баннер самостоятельно не ставится, - для его установки юзеру надо кликнуть по гиперссылкам, предлагающим скачать или флеш-плейер, или «халяву», или порно, и санкционировать установку. Поисковик вирусов и файервол частенько в таких случаях помочь не могут, здесь одна надежда - на здоровый рассудок пользователя (не ищи халявы - ее нет, не кликай по сомнительным и неизвестным ссылкам, и т.д.)!

3. Внимание! Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

4. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

5. Почаще делайте резервное копирование важной информации

6. Отключите автозапуск компакт-дисков, съемных дисков и флешек

7. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, - это нужно сделать вручную!

Одной из таких ситуаций может стать блокирование рабочего стола windows вирусами — блокираторами рабочего стола, или как ещё их классифицируют Trojan.Winlock.origin, Trojan-Dropper.Win32.Blocker.a, Trojan-Ransom.Win32.Agent.af, Trj/SMSlock.A.

Вирус чаще всего пытается попасть в систему пользователя под видом электронных книг, аудиофайлов, видеороликов, полезных программ.

Будьте внимательны при скачке контента из сети обращайте внимание на расширение файла, не качайте и не открывайте через браузер файлы с расширением.exe.

При заражении Trojan.Winlock неопытный пользователь остаётся практически безоружным в ситуации, когда на компьютере становится невозможно работать, а в перспективе маячит возможность потери информации на всём компьютере.
Однажды Вам не повезло! Заражение вирусом-блокиратором состоялось. Что дальше? Hа экране, при загрузке операционной системы Windows, чаще всего сообщение о том, что кто-то на вашем компьютере, якобы, посещал запрещённые или порно ресурсы в сети. В качестве наказания и для продолжения работы, Вы обязаны заплатить, посредством отправки денег на указанный кошелёк, получения SMS кода и последующего его ввода для разблокировки.

Сделать что- либо для того, чтобы удалить вирусный блокиратор рабочего стола Windows , в обычном или безопасном режиме достаточно сложно из-за ограничений рабочей области мыши и служебных команд — комбинаций с клавиатуры, созданных вирусом, который заблокировал рабочий стол.

Антивирусные программы в режиме реального времени, чаще всего, не видят вирусы- блокираторы рабочего стола и не могут их удалить. По крайней мере, так было раньше. Ведь по сути своей, эти программы, в классическом понимании, вирусами не являются.Они устанавливаются по-тихому на компьютер жертвы, делают запись в реестре, после перезагрузки блокируют рабочий стол банером, который по своей природе является всего лишь пользовательской оболочкой (custom shell) с ограничениями управления.

Несколько способов удалить вирус, блокирующий рабочий стол.

1. Первый, самый простой, но самый длительный и неудобный при наличии на компьютере большого количества настроек и программ. . При этом способе теряется информация на рабочем столе, настройки программ, папка «мои документы» при расположении «по умолчанию».
2. Скачать специальные life- cd, которые выпускают антивирусные компании для удаления вирусов при невозможности загрузки в нормальном режиме. Такой Life CD есть у Dr. WEB и других (можно найти в поисковике). Но у способа есть недостатки- если мы не подготовили такой диск до времени «Ч», то после блокирования экрана сделать это на своём компьютере достаточно сложно.
3. Самый эффективный, и в тоже время требующий определённых знаний и опыта, Можно попробовать воспользоваться этим способом удаления Trojan.Winlock .
4. Можно так же попробовать загрузиться с любого загрузочного диска (флешки) и почистить все темп %Temp% папки , браузеров, пользователя. Достаточно часто этот нехитрый способ оказывается эффективным.
5. Воспользоваться онлайн сервисом подбора кодов для разблокирования экрана рабочего стола. Это самый очевидный и, в принципе, также эффективный способ.
6. Как вариант, можно позвонить в сервис по ремонту компьютеров и заказать услугу по удалению вируса-блокиратора. Это тоже «вариант», но, надо признать, не бесплатный. В нашем сервисе при заказе услуги «установка Windows» с выездом на дом, офис- удаление любого вируса-блокиратора осуществляется совершенно бесплатно!