Вирус заблокировал ваш компьютер, что делать?

Вирус блокирует компьютер из-за отсутствия антивирусной программы. Соответственно, если ваш компьютер заразился этим вирусом, это значит, что у вас либо:

• нет антивирусной защиты;
• в момент запуска вредоносной программы она была отключена.

Поэтому для избежания повторения этой ситуации подумайте о том, чтобы установить антивирусную программу. Какие виды антивирусных программ бывают вы узнаете из этой статьи, это поможет вам сделать правильный выбор антивирусной программы. Впрочем, это сейчас не важно. Важно то, как можно избавиться от этой проблемы. Итак, уважаемые читатели, в этой статье я расскажу вам о том, как разблокировать свой компьютер от программ-вымогателей. Мы рассмотрим несколько способов, но для начала разберемся с тем, что такое программа-вымогатель.

Что являет собой программа-вымогатель?

Как вы поняли из названия, программа-вымогатель — это софт, написанный хакерами для получения прибыли от отправки смс-сообщений. Что самое удивительное — подобного рода программы теперь требуют оплатить счет на электронном кошельке или страницы ВКонтакте. Оплату через банковские карты не практикуют из-за того, что с помощью банка мошенников гораздо проще вычислить.

При блокировке весь дисплей окружает одно окно, в котором вам объясняют что-то типа «не надо было хранить детскую порнографию, нам пришлось вас наказать». Чуть ниже, как правило, есть форма, в которую нужно ввести код разблокировки. Получить его, судя по тексту в окне, можно с помощью отправки смс на указанный номер. Также очень часто бывает ситуация, когда вирус блокирует браузер.

Запомните — никогда не отправляйте смс-сообщения ни под каким предлогом- в результате потеряете кучу денег, так и не получив код.

Возникает вопрос — что делать если вирус заблокировал компьютер, и вам нужно получить к нему доступ прямо сейчас?

Способ первый. Dr.Web Curelt

Антивирус Dr.Web Curelt является оптимальным решением для лечения компьютера. Для начала скачайте программу и запишите ее на диск. Делать это нужно с другого компьютера. После записи вставьте диск в дисковод и перезагрузите компьютер.

Во время загрузки нажимайте на кнопку F8. Появится информационное окно, в котором можно выбрать режим загрузки.

Выбрав безопасный режим, запустите утилиту с компьютера.

Она начнет проверять его на наличие вирусов. Наш вирус не останется незамеченным.

По окончанию проверки снова перезагрузите компьютер как обычно. Работоспособность возобновлена. После этого не забудьте обязательно проверить компьютер на вирусы.

Способ второй. Kaspersky Deblocker

Лаборатория Касперского уже давно нашла выход из данной ситуации. Как и в первом случае, здесь также придется использовать второй компьютер. Зайдите на сайт sms.kaspersky.ru с рабочего компьютера, а на нерабочем посмотрите номер, на который просят отправить смс. Введите этот номер в форму сайта. Лаборатория Касперского сгенерирует вам свежий код, который нужно ввести на заблокированном компьютере. Вводим его в форму вируса. Компьютер разблокирован, с ним можно работать.

Если в программе указывается код, который нужно отправить в смс-сообщении, на сайте sms.kaspersky.ru запрос будет выглядеть следующим образом. Вас просят ввести номер 81599424 на номер 4146? Тогда введите на сайте код 4146:81599424, где 4146 — номер для отправки смс, а 81599424 — соответственно, код. Сгенерируется код разблокировки, который нужно ввести в форме.

Выводы

Если вы попали в ситуацию, при которой вредоносный вирус заблокировал компьютер, что делать в этом случае? Я рекомендую вам никогда не вестись на уловки мошенников и не отправлять смс-сообщения! Ведь шанс получить смс с кодом разблокировки равен нулю. Вместо этого используйте любой из указанных выше способов. Как первый, так и второй способ представлен официальными компаниями, которые занимаются защитой вашего ПК как раз от такого мусора. Поэтому не доверять этим способам нет смысла.

Трояны-блокировщики Windows: рецепты лечения

Продолжаем бороться с блокировщиками Windows, далее мы попытаемся дать несколько практических советов по борьбе с этим неприятным видом «троянов». Для начала напомним, что же такое троян блокировщик Windows. Итак, трояны («троянские кони») семейства Winlock, известные как «блокировщики Windows», семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги», WebMoney), либо на баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Пример баннера, особенно пугает неопытных пользователей

К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом. Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на некий кошелек WebMoney или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

1. Самые общие рекомендации

Итак, это были общие рекомендации, а теперь перейдем к более детальному рассмотрению проблемы. Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом. Если вы являетесь представителем бизнеса или столкнулись с подобной проблемой на офисной машине, рекомендуем обратиться к профессионалам для обслуживания компьютеров в офисе. И от троянов вылечат, и принтерр/МФУ настроят и другие проблемы решат.

2. Надеемся на честность вирусмейкеров

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже. Но, как ни крути, такой метод работает все реже и реже — в практике Вашего покорного слуги разблокировать Windows с помощью кода разблокировки получается примерно один раз десяти-двенадцати заражений.

Сервис разблокировки Windows компании «Доктор Веб»

Сервис разблокировки Windows компании «Лаборатория Касперского»

Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt!, Eset NOD или Kaspersky Virus Removal Tool.

3. Если б я имел коня.

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Подозрительный процесс в диспетчере задач

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win+R. Вот как выглядит подозрительный процесс в System Explorer. Конечно, стоит сказать, что для этого нужен предустановленный сторонний менеджер процессов.

Расширенный менеджер запущенных процессов System Explorer

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, «Мои документы», системные каталоги (WINDOWS, system32 etc) и каталоги браузеров. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns. Также можно использовать очень популярный CCleaner.

AutoRuns покажет все объекты автозапуска (на скриншоте видна лишь малая часть)

4. Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN+R, напишите notepad и нажмите ENTER. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот — коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки. Еще раз повторюсь — это относится к разряду довольно примитивных троянов, такой способ помогает в трети случаев.

5. Если б конь имел меня.

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты. В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER – запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Ключи реестра, часто модифицируемые троянами семейства Winlock

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Подробнее — тут. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

Удаление трояна из консоли (полное имя файла взято из реестра и скопировано в буфер обмена)

В нём выбираем команду «вставить» и нажимаем ENTER. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли — файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Восстановление сетевых сервисов с помощью AVZ

6. Доктор, Вы меня вылечите.

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker. Также можно использовать ERD Commander или Windows XPE, такой пример будет рассмотрен позже.

Создание загрузочной флэшки из образа Kaspersky Rescue Disk

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12, F11 либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Загрузка Kaspersky Rescue Disk

Kaspersky Rescue Disk в графическом режиме

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

7. Русский вирус влезет и BIOS

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Троян семейства Winlock, заразивший MBR

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

8. Сестра, стакан кефиру и скальпель, будем вскрывать больного!

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Антивирусная проверка жёстких дисков на другом компьютере

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Отключение автозапуска с помощью AVZ

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.