А вы знаете, как самостоятельно разблокировать Windows?

Создатели вирусов используют все новые способы хищения данных и вытягивания денег из пользователей, не владеющих достаточной компьютерной грамотностью и не заботящихся о компьютерной безопасности. Одни вредоносные программы незаметно прописываются в укромном месте и тихо воруют логины и пароли от платежных систем, аккаунтов в соцсетях, зашифрованных папок и файлов. Другие нагло закрывают доступ к системе, требуя платить за разблокировку. О том, как бороться со вторым типом вирусов, мы и расскажем в этом материале.

Снятие блокировки Windows

Итак, включив компьютер, на месте привычного Рабочего стола пользователь видит баннер, на котором крупным шрифтом написано, что Windows заблокирован за совершение противозаконных действий (просмотр сайтов для взрослых, скачивание нелегального ПО – варианты могут быть разные). Баннер нельзя свернуть или закрыть, пользователь не может запустить Диспетчер задач, браузер или какую-либо другую программу.

Чтобы блокировка была снята, зловредный вирус требует отправить СМС на определенный номер телефона, и первым желанием пользователя становится оплата требуемой вымогателем суммы. Но не стоит торопиться переводить деньги на указанный номер – мошенники используют психологическое воздействие на доверчивых людей и, конечно же, после оплаты неизвестно кому баннер останется на своем месте. Поэтому для решения проблемы необходимо воспользоваться другими методами.

Примечание: На самом деле, под видом блокирующего баннера скрывается программа Trojan.Winlock. После проникновения на компьютер она копирует себя несколько раз и прописывается в различных разделах системного диска, в первую очередь – в автозагрузке, чтобы автоматически запуститься при следующем включении компьютера. Также троян блокирует Диспетчер задач, чтобы пользователь не мог завершить процесс выполнения вредоносного кода, а в некоторых случаях даже блокирует возможность загрузки ПК в безопасном режиме.

Получить доступ к зараженной трояном системе можно несколькими способами. Если Windows заблокирован, то нужно поочередно пробовать все варианты, пока не будет достигнут нужный результат.

Самые простые способы:

1. Переустановить операционную систему начисто с форматированием системного раздела. Это достаточно радикальный способ, который можно использовать только при отсутствии важных данных на системном диске. В принципе, он имеет право на существование, но все же желательно использовать менее затратные по времени и усилиям варианты.
2. Зайти в интернет с другого компьютера, планшета или смартфона и найти коды разблокировки если Windows заблокирован (например, по ссылке https://www.drweb.com/xperf/unlocker/). В ряде случаев достаточно ввести специальную символьную комбинацию, чтобы убрать баннер, но в последнее время мошенники стали распространять вирусы без кодов разблокировки, так что вероятность срабатывания этого варианта – 50 на 50.
3. Загрузить ПК в Безопасном режиме с поддержкой командной строки (для этого нужно нажать клавишу F8 или Shift+F8 при включении компьютера перед загрузкой ОС и выбрать в списке соответствующий пункт) и последовательно выполнить в командной строке (запускается при помощи сочетания клавиш Win+R) две команды: «cleanmgr» и «rstrui» (без кавычек) – с помощью этих команд будет выполнена очистка диска от лишних файлов и загрузка системы с последней контрольной точки.

Вышеперечисленные варианты могут помочь избавиться от вредоносного вируса, но для большей надежности все же стоит использовать более эффективные средства. Далее мы расскажем, как справиться с проблемой, когда вирус заблокировал компьютер, при помощи очистки реестра.

Как разблокировать Windows после блокировки вирусом

В последнее время наблюдается рост количества вредоносных программ-вымогателей, требующих отправить sms-сообщение для получения доступа к заблокированной системе или к пользовательским файлам.

8 апреля 2009 г. компания «Доктор Веб» сообщила о появлении нового образца подобной троянской программы, которая при запуске Windows предлагает ввести «регистрационный код» – якобы для регистрации нелицензионной копии Windows. Для разблокировки доступа к системе (якобы для получения регистрационного кода) требуется отправить платное sms-сообщение – с указанным текстом (последовательность случайных цифр) на указанный номер.

Примерный текст сообщения: «Windows заблокирован. Для разблокировки необходимо отправить смс с текстом 4128800256 на номер 3649. Попытка переустановить систему может привести к потере важной информации и нарушениям работы компьютера».

В окне доступны текстовое поле Ввести полученный код и кнопка Активация.

Что представляет собой вирус, блокирующий запуск Windows

Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. Trojan.Winlock распространяется в виде поддельных кодеков.
Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a. Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A.
Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows.
Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++.

Деструктивные действия вируса

После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\ .tmp ( – случайная последовательность цифр и букв латинского алфавита).
Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af.
После успешного сохранения файл запускается на выполнение, выполняя следующие действия:

– для автоматического запуска в разделе

системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;

– в зависимости от текущей даты вирус отправляет http-запрос:

– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;

– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора. Затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен).

Как разблокировать Windows

Для разблокировки используйте бесплатный сервис Deblocker на сайтах » Лаборатории Касперского » и » Доктор Веб «. Сервис поможет убрать баннер (рекламный модуль) с рабочего стола, разблокировать Windows без отправки смс или вернуть зашифрованные вирусом файлы.

Для ручной разблокировки Windows, заблокированной вирусом Trojan.Winlock, вы можете воспользоваться формой, разработанной специалистами «Доктор Веб»: – в текстовое поле Текст для SMS введите текст sms (с экрана монитора заблокированной системы), нажмите кнопку OK; – в текстовом поле Код активации появится код, который нужно ввести в текстовое поле Ввести полученный код на заблокированной системе.

Как удалить вирус вручную

Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

• вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
• во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
• установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
• в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
• внизу появится строка состояния Starting Winternals ERD Commander;
• после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
• в окне Welcome to ERD Commander выберите свою ОС –> OK;
• когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
• в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
• удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
• закройте окно ERD Commander Explorer;
• нажмите Start –> Administrative Tools –> RegEdit;
• в окне ERD Commander Registry Editor найдите раздел

1. Внимание! Не поддавайтесь на уловки вирусописателей, – не отправляйте sms по указанному номеру, не дарите деньги вымогателям, создавшим вирус.

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

Как разблокировать windows 7 – уничтожаем вирус и предотвращаем заражение

Давно уже известный блокировщик Winlock не дремлет, уже около семи лет «шантажируя» пользователей. На сегодняшний день представитель троянов достиг явного успеха – эволюция на лицо. Пользователи тратят не только время на уничтожение вируса, но и довольно часто – финансовые средства. Но, что радует, нашлось уже немало способов, помогающих разблокировать систему без особого труда. Читайте дальше, как разблокировать windows 7 самостоятельно и абсолютно бесплатно, а также обратите внимание на возможность предотвращения этого неприятного момента.

Где можно «подцепить» трояна и как он работает?

На самом деле скачать вирус может любой пользователь и даже самостоятельно его запустить. Троян может сидеть в любой картинке или видеофайле. Если вы качаете файл с незнакомого сайта, обращайте внимание на расширение. Стандартное расширение представителя семейства троянов винлок – .exe. При запуске сразу начинается активная фаза заражения windows. Пользователь может изначально и не заметить изменений, однако троян сразу же прописывается в автозагрузке, а затем ограничивает действия, которые может производить пользователь. Человек может продолжать «шерстить» страницы в сети, когда появится баннер на весь экран и полностью заблокирует работу. Закрыть его или свернуть не предоставляется возможным. Изображение может иметь порнографический характер, а может использовать обращение, грозно обращаясь к законодательству. И в обязательном порядке будет предложено заплатить штраф или отправить платное сообщение на указанный номер. Скорее всего, троян предложит штраф и пригрозит какими-либо последствиями игнорирования. Конечно же, после оплаты вам ничего не светит, и, естественно, делать этого не стоит. Сначала нужно обратить внимание на предоставленный номер и узнать принадлежность к мобильному оператору, затем обратиться в его службу безопасности. Бывают случаи, когда оператор сразу же диктует пароль разблокировки, но не всегда все так просто.

Чтобы разблокировать систему, нужно убрать вирус с автозагрузки, а затем удалить. Сделать это можно несколькими способами.

Узнаем код разблокировки

Некоторые антивирусники действительно могут предоставить код для снятия блокировки windows. После его ввода в соответствующее поле троян благородно удаляется, причем в прямом смысле слова. Но не всегда, конечно. Узнать этот код можно на сайтах антивирусников. Тут все просто – вводить указанный на баннере номер кошелька или телефона, на который просят отправить смс, и получаете комбинации паролей и дальнейшие указания. Зайти на сайты можно с другого ПК или телефона.

Пользуемся подручными средствами

Не спешите подключать сложные утилиты и вызывать мастера. Попробуйте еще один метод. Необходимо вызвать диспетчера задач нажатием CTRL, ALT, DEL или CTRL, SHIFT, ESC. Ели удалось это сделать, значит проблема не настолько велика. Ищем в перечне активных процессов это приложение и выключаем. Найти его не сложно – зачастую винлок подозрительно подписан, а описание программы и вовсе отсутствует. Если же вы сомневаетесь, просто в порядке очереди завершайте все непонятные приложения до того момента, пока не исчезнет баннер.

Вирус в Диспетчере задач

Если же операция не прошла так гладко, как хотелось бы, и диспетчер задач не соизволил порадовать своим присутствием, сделаем еще одну попытку его вызвать. Используйте команду «Выполнить», которую можно запустить, нажав Win+R.

Еще один способ удаления простого трояна

Избавиться от трояна (рекламного изображения, например) вы сможете, обратив внимание на реакцию некоторых программ. К примеру, заметив баннер, откройте WordPad или блокнот, удерживайте одновременно «win» – «r» и пропишите «notepad» .

Перед вами всплывет новый текстовый документ, введите какие-нибудь символы и отключите компьютер кнопкой выключения питания. Данное действие вызовет завершение всех активных задач, как и вируса, но ваш ПК будет продолжать работать.

Остается окно с предложением сохранения или отказа изменений, теперь вы отделались от баннера в текущем сеансе, это дает возможность основательно разделаться с вирусом.

Удаление более устойчивых разновидностей трояна

Некоторые трояны имеют более устойчивый иммунитет к попыткам уничтожить его. Вирус проявляет устойчивость и блокирует какие-либо действия, например, не запускается диспетчер задач или происходит замена важных компонентов в windows. При таком раскладе вам остается лишь перезагрузить свой ПК, во время включения удерживайте «F8» . Перед вами появится окно с предполагаемыми вариантами включения системы, вам необходимо избрать строку с «Safe Mode with Command Prompt» . Затем пропишите «explorer» , подтвердите, это действие запустит проводник. Дальше вводим «regedit» и снова жмем «enter», вы заметите редактор реестра, который поможет определить, где прячется троян, и откуда исходит автоматический запуск вируса.

Скорее всего, вам представятся целые пути к вирусу в корнях «shell» и «userinit» . В корне «shell» троян будет находится в строке вместо explorer. exe , в «userinit» он будет прописан после запятой. Найдя сведения, экспортируйте имя вируса в буферный обмен, прописываем в командной строке «del» , жмем пробел и кликом правой кнопкой мыши вызываем меню. Вставляем выделенные сведения и жмем подтверждение (enter). Затем вы удаляете один вирус за другим, и так до победного.

Следующим логичным действием будет проверка реестра на оставшиеся вирусы, начните поиск с именем трояна. Все подозрительные файлы сразу же ликвидируем, далее снесите все копии созданных файлов и папок, а заем очистите корзину.

Для предосторожности воспользуйтесь антивирусом и основательно проверьте каждую лазейку в вашей системе. Возможно, что из-за активности вируса сбились настройки сетевого подключения, восстановить их вы сможете с помощью настроек «Windows Sockets API» программой «AVZ».

Основательное заражение системы

При основательном инфицировании windows практически бесполезно пытаться что-то исправить проблему. Более продуктивный и эффективный метод – запустить чистую систему и излечить основную. Существует множество вариантов осуществления этого процесса, но одним из наиболее действующих способов является использование программы «Kaspersky Windows Unlocker» , который основан на Gentoo Linux. Существует несколько основных файловых образа, которые создаются либо через запись на диск, либо созданием загрузочного файла на флешке с помощью программы «Kaspersky USB Rescue Disc Maker».

При включении инфицированного ПК зажмите надлежащую клавишу для входа в BIOS, чаще всего этой кнопкой является «F2» либо «Del» . В настройках выберите ваш файловый образ и сохраните, нажав клавишу «F12» . Современные версии BIOS дают возможность выбрать устройство загрузки, не посещая основные настройки. Просто нажмите «F11» или «F12» . Сразу же после перезагрузки запустится Kaspersry Rescue Disc. Операция предполагает автоматическое или же ручное излечение на ваш выбор.

Удаление угрозы с помощью установочного диска

Существует отдельная группа трояна, которая поражает загрузочную систему «MBR» , которые Вы сможете найти в слотах автоматического запуска. В начальной стадии излечения от вируса необходимо восстановить начальный пароль «MBR» . Для Windows XP эта операция производится с помощью установочного диска, нажатием клавиши «R» вызываем меню восстановления и вводим в ней «fixmbr» , после чего соглашаемся с помощью кнопки «Y», выполняя перезагрузку. Для Windows 7 выполняется тот же процесс с помощью BOOTREC.EXE , вводим bootrec.exe/Mbr. Таким образом, Вы запускаете windows и имеете возможность отыскать зараженные файлы с помощью антивируса.

Работа с менее производительными ПК

На малообеспеченных ПК и ноутбуках процесс восстановления windows проходит немного дольше и затруднительнее. Объясняется это нехваткой мощности и затруднением в проверке внешних дисков. Эффективным решением может быть извлечение инфицированного жесткого диска и подключение к другому, более мощному ПК. Рекомендовано использовать боксы с интерфейсом eSATA либо USB3.0/2.0. Для предотвращения распространения вируса лучше всего отключить на другом ПК автоматический запуск HDD, это можно совершить с помощью программы AVZ. Проверку лучше производить с помощью другой программы. Заходим в меню «Мастер поиска и устранения проблем», выбираем «системные неполадки» , «Все» и нажмите Пуск . Выбираем пункт «разрешен автозапуск HDD» и исправляем все отмеченное. Перед запуском инфицированного носителя необходимо убедиться в том, что вся антивирусная база работает без сбоев и пробелов, отнеситесь к этому моменту серьезно.

Если разделы диска не обнаружены, то выполните следующую операцию: «Пуск» , «Выполнить» , пропишите «discmgmt.msc» и подтвердите. После этого разделами винчестера должны быть указаны буквы.

Чтобы избежать инфицирования системы снова, установите добротный антивирус, который будет выполнять регулярные проверки. Основными правилами предосторожности можно назвать:

• Пользование ПК с ограниченными правами
• Необходимо использовать проверенные браузеры, с хорошей системой защиты
• Выключайте Java-скрипт незнакомых сайтов
• Моментально избавляйтесь от всплывающих рекламных окон
• Разделяйте диски на пользовательские файлы и системные
• Отключить автозапуск флешек.

Чтобы при необходимости восстановить работу ПК в короткий промежуток времени, рекомендуется пользоваться следующими утилитами: «Symantec Ghost», «Acronis True Image», «Paragon Backup and Recovery».