Войти
Регистрация
Ваш компьютер атаковал злобный ВИРУС Winlock
Видим на весь экран окно с текстом и требованием отослать по СМС или вебмани ваши кровные денежки...
или подобное - вариантов было масса от черного экрана до различных изображений взрослого содержания, приводить которые здесь нет ни возможности, ни смысла. (зависит от версии вируса)
Самое главное НЕ впадать в ПАНИКУ
(форматировать винт, сжигать системный блок или ноутбук совсем не нужно)
ВАМ надо успокоится, отойти от шока (пойдите попейте чаю или кофе)
Ни в коем случае не отправляйте никаких смс.
С телефона снимут по-максимуму средств, возможно придется отправлять не одну, а две-три смс.
Кроме этого, скорее всего, в систему вы так и не попадете. Окошко может и пропасть, а вот от после перезагрузки windows перед вами предстанет чистый рабочий стол точнее его фон, и более ничего. Т.е. winlock никуда не девается и продолжает свою грязную работу.
Ну что успокоились???
Итак, наиболее вероятный сценарий - у вас на компе ничего не работает.
Ни сочетания клавиш, ни безопасный режим, ничего. Вирус вымогатель winlock довольно хитрый и умный и постоянно совершенствуется.
Но против ниже предложенного радикального выхода устоять не сможет никакая его, даже сама продвинутая, версия.
[p.s.]Этот способ я придумал САМ (после того как мне за 2 дня притащили больше десятка компьютеров с этим вирусом).
Потому прошу сильно не пинать..... я знаю и другие способы, но с этим получается быстрее вернуть систему к жизни.[/p.s.]
Ну тогда приступим к лечению нашего друга.
Что для этого нужно?
1. Загрузочная флешка или диск с Windows Live CD
2. Антивирусная утилита AVZ от Олега Зайцева
3. Бесплатная лечащая утилита Dr.Web CureIt!
4. RegCleaner
Ну что всё приготовили???
Ну тогда приступаем...
1. Грузимся с флешки или CD (после загрузки открываем Total Commander )
2. Ищем в папке Windows или Documents and Settings изменённые или новосозданные файлы с датой или временем как можно ближе к времени заражения.
(их может быть несколько, но все с одинаковым временем создания)
3. Ищем в папке Windows файл explorer.exe и заменяете все найденные файлы им, с сохранением оригинальных имён (предварительно оригиналы переименуйте).
4. Грузимся с нашей пострадавшей винды (скорее всего у вас будет пустой стол с открытым окном проводника)
5. Запускаем AVZ и для восстановления работоспособности диспетчера задач необходимо выполнить в AVZ "Файл/Восстановление системы", там отметить пункт
9 "Удаление отладчиков системных процессов"
11 "Разблокировка диспетчера задач"
16. "Восстановление ключа запуска Explorer"
после чего следует нажать кнопку "Выполнить отмеченные операции".
Дальше следует перегрузить компьютер......
Если все прошло нормально, то имеем нормальный рабочий стол без банеров.
Казалось бы все - система заработала, а значит вирус удален и можно праздновать победу. Не торопитесь.
То, что мы загрузили систему, еще не значит, что все в порядке. Дело в том, что winlock скорее всего затаился и даже при удачном запуске системы, следующее включение компьютера или его перезагрузка может снова ознаменоваться уже знакомым экраном с любезно предоставленным окошечком для ввода кода платной смс. Теперь наша задача вылечить систему и исключить рецидив.
Данное руководство может быть использовано для удаления любого вредоносного кода, а не только трояна вымогателя winlock.
Отключите компьютер от сети физическим образом (грубо говоря, выньте вилку сетевого шнура, отсоедините usb модем и т.д.). Подключить его потребуется только на короткое время обновления одного антивируса.
1. Удаляем записи о вирусе из системы. Для этого запускаем RegCleaner. В меню выбираем Задачи - Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Затем выбираем вкладку "автозагрузка". Внимательно смотрим список того, что у вас загружается и изучаем каждый пункт. Ставим галочки и нажимаем удалить (правый нижний угол) всего, что вами не устанавливалось и не является desktop и ctfmon.exe. Всякие svchost.exe и прочие .exe из папки windows должны быть удалены в первую очередь.
Выбираем задачи - очистка реестра - задействовать все варианты. Программа просканирует реестр, все что найдет - удаляем. На этом можно считать, что поверхностную чистку системы от записей вируса мы произвели.
2. Теперь ищем сам код. Здесь потребуются следующие три программы. Касперский и Dr.Web CureIt! (рекомендую) - простые и бесплатные утилиты со свежими базами вирусов. В роли тяжелой артиллерии выступает RemoveIT - платный (для нас несущественно первые 30 дней бесплатны) очень хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но дополнять его надо обязательно т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Необходимо наличие соединения с интернетом на время обновления антивируса!.
По очереди сканируем каждой диск с системой и удаляем все, что программы находят. А находить они будут
. Если есть желание, для своего спокойствия можно проверить все диски компьютера, а не только диск с системой. Займет много времени, но так лучше.
1. Удаляем записи о вирусе из системы. Для этого запускаем RegCleaner. В меню выбираем Задачи - Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Затем выбираем вкладку "автозагрузка". Внимательно смотрим список того, что у вас загружается и изучаем каждый пункт. Ставим галочки и нажимаем удалить (правый нижний угол) всего, что вами не устанавливалось и не является desktop и ctfmon.exe. Всякие svchost.exe и прочие .exe из папки windows должны быть удалены в первую очередь.
Выбираем задачи - очистка реестра - задействовать все варианты. Программа просканирует реестр, все что найдет - удаляем. На этом можно считать, что поверхностную чистку системы от записей вируса мы произвели.
2. Теперь ищем сам код. Здесь потребуются следующие три программы. Касперский и Dr.Web CureIt! (рекомендую) - простые и бесплатные утилиты со свежими базами вирусов. В роли тяжелой артиллерии выступает RemoveIT - платный (для нас несущественно первые 30 дней бесплатны) очень хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но дополнять его надо обязательно т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Необходимо наличие соединения с интернетом на время обновления антивируса!.
По очереди сканируем каждой диск с системой и удаляем все, что программы находят. А находить они будут
. Если есть желание, для своего спокойствия можно проверить все диски компьютера, а не только диск с системой. Займет много времени, но так лучше.Тут я описывал раньше похожий способ.
В заключении - общие рекомендации по защите от winlock, других вирусов, троянов и прочей нечисти.
1. Не держите на компьютере важную информацию в легко доступном виде. Если это текстовая информация - например пароли, заведите какой-либо менеджер паролей либо, что лучше, какую-нить обычную программу для сохранения текстовых заметок, но которая шифрует файл с данными и открывает к нему доступ после ввода пароля.
2. Без надобности не оставляйте компьютер подключенным к сети. Это не значит, что каждый раз после скачки какого-нить файла или загрузки интересующей страницы надо выдергивать трясущимися руками сетевой кабель. Но держать компьютер все время подключенным к сети "просто так чтоб было" все же не стоит.
3. Запишите и положите в надежное место загрузочный диск, например этот. При падении системы он всегда позволит вам запустить компьютер, а дальше уже сможете разобраться, что же случилось и как это исправить.
4. Не посещайте ресурсов сомнительного содержания, а если побывали на подобных (и скачали, что греха таить, какое-нибудь видео) то проверяйте ДО выключения компьютера его антивирусом, подойдет тот же RemoveIT.
5. Заведите еще одну учетную запись в системе с ограниченными правами и уже под ней ищите приключений для себя и компьютера. Если вирус проникнет, далеко пройти не сможет.
2. Без надобности не оставляйте компьютер подключенным к сети. Это не значит, что каждый раз после скачки какого-нить файла или загрузки интересующей страницы надо выдергивать трясущимися руками сетевой кабель. Но держать компьютер все время подключенным к сети "просто так чтоб было" все же не стоит.
3. Запишите и положите в надежное место загрузочный диск, например этот. При падении системы он всегда позволит вам запустить компьютер, а дальше уже сможете разобраться, что же случилось и как это исправить.
4. Не посещайте ресурсов сомнительного содержания, а если побывали на подобных (и скачали, что греха таить, какое-нибудь видео) то проверяйте ДО выключения компьютера его антивирусом, подойдет тот же RemoveIT.
5. Заведите еще одну учетную запись в системе с ограниченными правами и уже под ней ищите приключений для себя и компьютера. Если вирус проникнет, далеко пройти не сможет
.
.png)
Український (UA).png)
Русский (RU)
.png)
English (ENG)