Как удалить блокировщик Windows

Некоторым пользователям операционной системы Windows пришлось столкнуться с вирусами-вымогателями, которые блокируют рабочий стол, часть клавиш клавиатуры и практически все функции операционной системы. На экране, как правило, при этом появляется надпись, что ваш компьютер заблокирован за какие-нибудь неправомерные действия и чтобы разблокировать его, нужно уплатить определенный штраф, а в противном случае все данные с жесткого диска будут удалены. При заражении компьютера таким вирусом, вернуть операционную систему к работе может быть довольно непросто, ведь запустить антивирус или восстановление к последней точке у вас, увы, не выйдет. Также не получится и убрать процесс блокировщика посредством диспетчера задач, так как вирус блокирует и его. Что же делать, переустанавливать заново операционную систему? Не обязательно. Есть несколько способов, как избавиться от вируса-вымогателя, блокирующего ОС Windows, не переустанавливая при этом систему.

Разблокировка с помощью интернет-сервиса

Если у вас имеется доступ к другому компьютеру, то вы можете воспользоваться специальным интернет-сервисом от Dr. Web, предназначенным для разблокировки компьютера, зараженного вирусом-вымогателем. Находится данный сервис по адресу https://www.drweb.com/xperf/unlocker/ . Зайдя на сайт, вы сразу же увидите окно, в которое следует ввести номер телефона или электронного кошелька, на который баннер-блокировщик требует перевести деньги. После ввода нажмите кнопку Искать коды.

Если поиск прошел удачно, то внизу в результатах поиска вы увидите название вируса, заблокировавшего ваш компьютер, картинку с его изображением, а немного правее – код для его разблокировки. Запомните или запишите этот код и введите его в соответствующее поле в окне баннера-вымогателя.

Когда окно баннера пропадет, не спешите расслабляться, ведь вирус хоть и неактивен, но все же никуда не делся с вашего компьютера. Для удаления вируса вы можете запустить проверку на вирусы при помощи установленной у вас антивирусной программы или же воспользоваться бесплатной лечащей антивирусной утилитой Dr. Web Curelt. Скачать данную программу можно на официальном сайте Dr. Web, находится она в разделе Скачать>Лечащие утилиты.

Пользоваться утилитой Dr. Web Curelt крайне просто – достаточно лишь запустить программу и нажать на кнопку Начать проверку. После этого Dr. Web Curelt автоматически произведет проверку разделов вашего компьютера на наличие вредоносного кода и удалит вирусные программы, блокировавшие работу операционной системы.

Удаление вируса из реестра

В том случае если на сайте не нашлось кода для разблокировки вируса или у вас нет возможности воспользоваться услугами онлайн-сервиса Dr. Web, можно попытаться вручную подкорректировать параметры системного реестра, в которых прописался вирус-блокировщик. Перезагрузите компьютер и во время начала загрузки нажмите клавишу F8 (выбор способа загрузки). Далее должен появиться список, в котором вам нужно выбрать Безопасный режим с поддержкой командной строки.

После загрузки Windows в безопасном режиме в командной строке пишете regedit и нажимаете Enter. В появившемся окне системного реестра вам нужно будет перейти по ветке HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>Current Version>Winlogon. Нажимаете на пункт Winlogon и в правой части окна реестра ищете пункты Shell и Userinit, так как именно в них зачастую прописывается вирус-блокировщик. Ниже на картинке показано, как должны правильно выглядеть данные параметры реестра.

Если в параметрах вашего реестра указан другой путь, вам нужно его скопировать в буфер обмена, а затем вернуться в командную строку и прописать команду del, а после пробела вставить полный путь к вирусному файлу и нажать Enter. Также данную процедуру нужно повторить и для другого параметра реестра. После удаления файлов вируса необходимо исправить параметры реестра Shell и Userinit, а затем провести генеральную «уборку» компьютера при помощи антивируса.

Загрузка с Live CD

Иногда также помогает «вылечить» компьютер проверка на вирусы из под чистой системы. Для этого пригодится флешка или диск с записанным образом Live CD. Live CD представляет собой образ операционной системы, который может работать без установки на компьютер. Скачать образ Live CD можно на официальном сайте Dr. Web в разделе Скачать>Dr.Web Live CD.

В этом же разделе можно прочитать инструкцию, которая наглядно объясняет, как пользоваться Dr.Web Live CD. Чтобы попасть на страницу инструкции, перейдите к пункту Как это работает.

Восстановление загрузочной записи

Иногда встречаются вирусы-блокировщики, которые не видны ни в автозапуске ни в системном реестре, также их трудно обнаружить с помощью антивирусного сканера. Такие вирусы прописывают свой вредоносный код прямо в исходный код главной загрузочной записи MBR. В этом случае восстановить работоспособность системы вам поможет установочный диск Windows. Загружаетесь с установочного диска, нажимаете кнопку R (для вызова консоли восстановления) и пишете следующие команды Bootrec.exe /FixMbr и Bootrec.exe /FixBoot (команды нужно вводить по отдельности, подтверждая каждую нажатием Enter).

После выполнения восстановления главной загрузочной записи компьютер автоматически будет перезагружен (не забудьте перед загрузкой вынуть установочный диск). Если операционная система загрузится успешно, следует выполнить чистку компьютера при помощи антивируса или вирусного сканера.

Трояны-блокировщики Windows: рецепты лечения

Продолжаем бороться с блокировщиками Windows, далее мы попытаемся дать несколько практических советов по борьбе с этим неприятным видом «троянов». Для начала напомним, что же такое троян блокировщик Windows. Итак, трояны («троянские кони») семейства Winlock, известные как «блокировщики Windows», семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги», WebMoney), либо на баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Пример баннера, особенно пугает неопытных пользователей

К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом. Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на некий кошелек WebMoney или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

1. Самые общие рекомендации

Итак, это были общие рекомендации, а теперь перейдем к более детальному рассмотрению проблемы. Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом. Если вы являетесь представителем бизнеса или столкнулись с подобной проблемой на офисной машине, рекомендуем обратиться к профессионалам для обслуживания компьютеров в офисе. И от троянов вылечат, и принтерр/МФУ настроят и другие проблемы решат.

2. Надеемся на честность вирусмейкеров

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже. Но, как ни крути, такой метод работает все реже и реже — в практике Вашего покорного слуги разблокировать Windows с помощью кода разблокировки получается примерно один раз десяти-двенадцати заражений.

Сервис разблокировки Windows компании «Доктор Веб»

Сервис разблокировки Windows компании «Лаборатория Касперского»

Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt!, Eset NOD или Kaspersky Virus Removal Tool.

3. Если б я имел коня.

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Подозрительный процесс в диспетчере задач

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win+R. Вот как выглядит подозрительный процесс в System Explorer. Конечно, стоит сказать, что для этого нужен предустановленный сторонний менеджер процессов.

Расширенный менеджер запущенных процессов System Explorer

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, «Мои документы», системные каталоги (WINDOWS, system32 etc) и каталоги браузеров. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns. Также можно использовать очень популярный CCleaner.

AutoRuns покажет все объекты автозапуска (на скриншоте видна лишь малая часть)

4. Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN+R, напишите notepad и нажмите ENTER. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот — коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки. Еще раз повторюсь — это относится к разряду довольно примитивных троянов, такой способ помогает в трети случаев.

5. Если б конь имел меня.

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты. В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER – запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Ключи реестра, часто модифицируемые троянами семейства Winlock

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Подробнее — тут. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

Удаление трояна из консоли (полное имя файла взято из реестра и скопировано в буфер обмена)

В нём выбираем команду «вставить» и нажимаем ENTER. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли — файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Восстановление сетевых сервисов с помощью AVZ

6. Доктор, Вы меня вылечите.

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker. Также можно использовать ERD Commander или Windows XPE, такой пример будет рассмотрен позже.

Создание загрузочной флэшки из образа Kaspersky Rescue Disk

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12, F11 либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Загрузка Kaspersky Rescue Disk

Kaspersky Rescue Disk в графическом режиме

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

7. Русский вирус влезет и BIOS

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Троян семейства Winlock, заразивший MBR

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

8. Сестра, стакан кефиру и скальпель, будем вскрывать больного!

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Антивирусная проверка жёстких дисков на другом компьютере

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Отключение автозапуска с помощью AVZ

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.