Вирус не дает загрузить windows. Полное удаление баннера, требующего пополнить счет

Еще один вымогатель, который блокирует нормальную работу Windows, да еще и требует отправить деньги, чтобы очистить экран от баннера является вирус «Trojan.Winlock.3300» . Собственно, данный вирус-вымогатель не дает пользователю ПК загрузить систему в безопасном режиме, а потому из этого возникают сложности в процессе борьбы с вирусом.

Как правило, производя загрузку в безопасном режиме (с командной строкой или без нее) компьютер оказывается полностью блокированным и всплывает источник всех проблем – баннер. Это значит, что в борьбе с вирусом вам не обойтись без загрузочного диска. Придется решать проблемы с помощью образа диска «ERD Commander» . Как и что делать в данной ситуации?

Во-первых, надо скачать сам образ диска ERDC.iso нажимаем, сюда: DepositFiles.com . Полученный результат лучше всего записать на диск CD. Если по какой-то причине у вас не получается записать диск (не отвечает CD-Rom), то с ERD Comander придется записать флешку (нажимаем, сюда ) .

Как удаляется баннер "Компьютер заблокирован"!

Во-вторых, в загруженном образе выбираем версию операционной системы, которая установлена на вашем пострадавшем ПК (это могут быть ОС « WindowsXP » , « Windows 7» или « WindowsVista » ). Затем всплывает окно с запросом на подключение к операционной системе. Если вы устанавливали Windows XP , то надо просто выбрать путь к папке «windows».

Если у вас стоит «семерочка», то перед загрузкой придется ответить на несколько вопросов. Среди них: вопрос об инициализации подключения к сети в фоновом режиме (отвечаем отрицательно), вопрос о переназначении букв дисков с целью их совпадения с новой операционной системой (отвечаем «да»). Перед тем как выбрать путь к ОС, изменяется раскладка клавиатуры.

Далее потребуется редактура реестра. Эта процедура нужна для того чтобы избавить реестр от всех записей, которые внес туда вирус. Для редактирования реестра, в меню выбираем « Start - Administrative Tools - Registry Editor » .

Если у вас операционная система « Windows 7», то меню ERDCommander будет слегка другим. При открытии окна надо выбрать команду « Microsoft Diagnostics and Recovery Toolset » . Она запускает средства для восстановления ОС. После этой процедуры появляется еще одно окно, где выбираем команду «Редактор реестра ERD» .

В первом окне выбираем путь к реестру. То, что предстанет перед нами и есть источник «инфекции», именно не его просторах царит вирус-баннер, а именно «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon» .

В реестре проверяется три параметра по направлению «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon . Прежде всего, на проверку сдается файл «Shell», чьи функции заключаются в загрузке рабочего стола операционной системы. Этот файл должен иметь следующее значение: «Explorer.exe» и полный путь к нему должен иметь вид C:\Windows\explorer.exe . Второй параметр – UIHost, его значение должно быть следующим: « logonui.exe». Ну и третьим проверяемым параметром будет Userinit, благодаря которому обеспечивается вход в систему любым из пользователей. Его значение прописываем самостоятельно - «C:\Windows\system32\userinit.exe» .

Затем переходим на новую ветку , а именно «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» .

На этом направлении располагаются программы для автозагрузки. Здесь надо проверить каждую программу отдельно, и если какая-либо из них вызывает подозрение, ее можно просто отключить такие программы зачастую находятся в папках типа:

«C:\temp», «C:\Windows\Temp»,

« C :\ DocumentsandSettings \% username %\ LocalSettings \ Temp »,

« C :\ DocumentsandSettings \% username %\ LocalSettings \ TemporaryInternetFiles ».

Соответственно вместо «%username%» будет стоять ваша учетная запись.

Встречаются довольно курьезные и одновременно неприятные ситуации, когда вирус-баннер самостоятельно прописывает себя в таком ключе реестра, как «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows_NT\CurrentVersion\Windows\AppInit_DLLs» . Запомните, что значение этого ключа должно пустовать, а если там что-то и написано, то это может быть только антивирусной программой.

Если эта ветка содержит нечто иное, то это может быть только вирусом, от которого надо избавиться. Для того, чтобы удалить все лишнее, то в реестре выбираем ключ «AppInit_DLLs» и полностью удаляете написанный путь. Поле должно остаться пустым, далее нажимаем «ОК».

Далее переходим на новую ветку реестра: « HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options » .На этой ветке, под отладчиком происходит старт любых программ. Собственно, сюда тоже может проникнуть вирус, к примеру, он может принять вид отладчика для какого-нибудь файла (к примеру, userinit.exe) или же «explorer.exe» . В результате чего вместо запуска программы, получаем запуск вируса. Соответственно, открывая программу, вирус автоматически запускает свои действия на ПК.

Открывая редактор реестра, внимательно изучайте содержимое левого столбца, возможно, там есть что-то типа «explorer.exe» , «iexplorer.exe» , «userinit.exe» . Теперь запомните – этот раздел должен быть чист, как первый снег. Если выше перечисленные разделы присутствуют, то выделяя его, автоматически в другом углу возникает путь к вирусу. Очистив реестр по указанному адресу, в проводнике удаляются файлы. Если вы не нашли файлы через проводник, то можно попробовать обычный поиск. В левой половине окна userinit.exe (на выбор) нажимаем левую кнопку мыши и команду «Удалить».

После проверяются параметры реестра : HKEY_USERS\%username%\Software\Microsoft\Windows_NT\CurrentVersion\Winlogo и

HKEY_USERS\%username%\Software\Microsoft\Windows\CurrentVersion\Run . После благополучного исправления и удаления всех «ненужностей» реестр закрывается.

Полное удаление баннера, требующего пополнить счет.

Ну и напоследок, рассмотрим способ, при котором намозоливший глаза порно-баннер упорно требует пополнить счет и никуда не исчезает. Для начала надо при помощи меню «Start - Administrative Tools - Autoruns» (это команда ОС для Windows XP или Управление компьютером случае, если установлена ОС Windows 7) запустить инструмент «Управление компьютером».

Перейдя по ветке «System» можно увидеть элементы для автозагрузок ОС и для учетных записей HKEY_Local_Machine .

По описанию и по разработчику можно увидеть, что файл «userinit.exe» поражен вирусом. Напомним, что данный файл отвечает за работу операционной системы, а именно за возможность входа в нее пользователя. Данный файл загружается автоматически, после выбора учетной записи, а потому вирус срабатывает быстрее и не дает возможности работать и загружать ОС даже в безопасном режиме.

Собственно, здесь ничего не остается, как удалить файл «C:\Windows\System32\userinit.exe» , заменив его оригиналом. Также, можно заглянуть и в файл «C:\windows\system32\taskmgr.exe» . Новые вирусы поражают и его работу (возможна подмена файлов и т.д.). Удаленные файлы заменяются оригинальными, аналогичные действия происходят и с папкой «C:\windows\system32\dllcache» . Можно узнать, как восстановить удаленные или поврежденные файлы в других источниках (нажимаем, сюда)!

После внесения исправлений, диск ПК требует проверки на вирусы (лучше это сделать в безопасном режиме). Для этого можно скачать одноразовый антивирус «DrWebCureit» (нажимаем, сюда) .

Недавно, в Windows 10 Fall Creators Update , я пытался загрузить файл и не смог, попытки скачать файл с помощью - Google Chrome, Microsoft Edge и Mozilla Firefox, закончились неудачей, потому что все они блокировали загрузку файла из-за вируса, который был обнаружен во время проверки безопасности.

В Chrome отображается сообщение «Ошибка – Обнаружен вирус»
Microsoft Edge «[имя файла] содержал вирус и был удален»
Firefox просто отказался начинать загрузку.

Быстрая проверка показала, что встроенный инструмент безопасности - Антивирусная программа «Защитник Windows», действительно отвечала за блокировку загрузки файла на компьютере.

В данном случае, я был уверен, что это ложное срабатывание, и в следующих пунктах описывается, как я пытался загрузить файл в систему.
Первое , что я сделал, это запустил Центр безопасности Защитника Windows, чтобы узнать больше об этой угрозе.

Откройте меню «Пуск» нажатием клавиши с логотипом Windows, и начните печатать на клавиатуре- Защитник , в отображаемых результатах выберите элемент «Центр безопасности Защитника Windows» .

Защита от вирусов и угроз Windows 10

В Центре безопасности Защитника Windows , нажмите на значок гамбургера в левом верхнем углу, чтобы отобразить названия разделов меню, рядом с значками и выберите «Защита от вирусов и угроз» .

Затем нажмите с правой стороны на ссылку «Журнал сканирования» . Защитник Windows может сообщать вам, что текущих угроз нет . Сначала это может выглядеть озадачивающим, но программа Защитника покажет вам только те угрозы, которые требуют пользовательского вмешательства.

Поскольку загруженный файл был автоматически помещен в карантин, не требуется никаких дальнейших действий пользователя, что, в свою очередь, означает, что фактически, текущих угроз нет.

После нажатия ссылки «Посмотреть журнал полностью» , вы увидите, список угроз на карантине. Если вам повезет, вы можете увидеть имя вируса, обнаруженного Защитником Windows, когда он сканирует скачиваемый файл. В списке журнала, имя загружаемого файла не указано, но даты, может быть вполне достаточно, чтобы найти неудавшуюся загрузку.

Клик по строке журнала, отображает ссылку для восстановления файла или его удаления. Подробности отображает имя файла, но этого может быть недостаточно для идентификации нужного файла, так как Защитник Windows может отображать временное имя.

Если требуется вмешательство пользователя вам будет предложены Варианты действий:

Удалить – Безвозвратно удалить файл из системы
Поместить в карантин – Файл перемещается в папку Карантин, доступ к файлу блокируется.
Разрешить на устройстве – Файл, в нашем случае, будет восстановлен в папке Загрузки и вы можете получить к нему доступ

В текущей версии Центра безопасности Защитника Windows имеется немало проблем в этом отношении. Я уже упоминал об отсутствии подробностей блокируемого файла, но это лишь одна из проблем, с которыми вы можете столкнуться.
Вторым является тот факт, что Центр безопасности Windows ограничивает текущие угрозы на этой странице до пяти. Для просмотра полного списка вы должны нажать «просмотреть журнал полностью» , будут показаны все элементы, сохраненные в карантине, но вы сразу заметите, что кнопки для удаления или восстановления файлов там отсутствуют.

То, что вы можете попробовать, - если вы уверены, что скачиваемый файл безопасен, это очистить историю, Отключить защиту и повторить загрузку.

Выключите «Защиту в реальном времени» и снова загрузите файл. Обычно не рекомендуется отключать средства безопасности системы, но иногда нет другого выхода, кроме как сделать это. Так что вы можете на короткое время отключить этот параметр, после чего он будет снова включён автоматически.

Перейдите в раздел «Защита от вирусов и угроз» → , чтобы отключить «Защиту в реальном времени» и заново загрузите файл, на этот раз загрузка завершится успешно.

Добавьте файл, который вы только что загрузили, в Список исключений , Вы найдете этот параметр на странице настроек защиты от вирусов и угроз. «Защита от вирусов и угроз» → «Параметры защиты от вирусов и других угроз» → (вы не можете сделать это до его загрузки) и снова включите модуль Защиты в реальном времени.

Вывод: Весь процесс разблокировки файлов, которые заблокированы Защитником Windows, но которые вы хотите загрузить, весьма не прост и в какой-то степени запутанно сложный. Почему у пользователя нет возможности для удаления или восстановления файлов в полном журнале сканирования, почему нужно совершить несколько переходов, чтобы узнать больше об угрозе, и почему в главном интерфейсе иногда нет угроз, при блокировке файла - который вы хотите восстановить?

Привет всем читателям. В сети часто встречаются вопросы.как вылечить компьютер от
баннера вымогателя. Даже самый неопытный пользователь знает о возможности заражения
системы компьютера вирусом. Их бывает огромное количество и среди довольно безвредных встречаются опасные. Вирус как был вирусом, так и останется, единственное его отличие – это текст сообщения на баннере.
На экране пользователь часто видит:"Ваш ПК заблокирован за просмотр порнофильмов" или "Ваш компьютер заблокирован за просмотр порнофильмов с участием несовершеннолетних" . Для разблокировки Вам необходимо выполнить следующие действия: -"В любом терминале оплаты сотовой связи, пополните такой то.. номер. Если в течении такого - то времени с момента появления данного сообщения, не будет введен код - все данные, будут удалены" .
На самом деле ничего не надо отправлять и оплачивать.
Попробуем сами разобраться с этим вирусом..

Как удалить вирус

1. При загрузке компьютера жмём на кнопку F8 пока не появится список выбора
вариантов загрузки Windows.
2. Далее выбираем режим загрузки - Безопасный , с поддержкой Командной строки .

3. В Командной строке вводим regedit.exe

и жмем Enter - запускаем редактор реестра.
Окно редактора разделено на две части. Нам понадобится часть слева.

Там можно увидеть корневой каталог (дерево из папок ).
К сведению - особенность этого каталога при установке второй системы на пораженную заключается в дублировании папок . Вы можете увидеть, сначала идет папка без скобок в названии, а следом за ней – со скобками . Первая – это папка новой системы ,
а вторая – зараженной . Внимательно посмотрите другие строки реестра на предмет наличия в них путей , не ведущих в систему .
4. В редакторе следуем по такому пути: HKEY_LOCAL_MACHINE-SOFTWARE-
Microsoft-Windows NT-CurrentVersion-Winlogon.

Смотрим параметры UserInit и Shell в этой ветке.
- Userinit - C:\Windows\system32\userinit.exe,
Важное! Эта строка должна заканчиваться запятой !
- Shell - explorer.exe

Также смотрим:- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs - он должен быть пустой.

Кликаем на Winlogon, справа появятся настройки для этого раздела. В строке Shell
задаем explorer.exe (для этого дважды щелкаем по строке Shell)
5. Закрываем редактор реестра.

Разблокирование системы с помощью изменения даты в BIOS

Не всегда вирус, который подхватила система, продукт новых, последних разработок . Есть
вероятность, что вредоносное ПО уже устаревшей версии . В этом случае нужно проделать следующее: - запускаем компьютер и сразу же нажимаем кнопку Delete и заходим в BIOS

- переводим дату н а системных часах на неделю вперед или назад
- перегружаем систему
- теперь проверяем антивирусом систему
- Если вредоносное ПО отключилось, то антивирус найдет его и обезвредит.

Разблокировка с помощью восстановления системы

Этот метод разблокировки похож на предыдущий, поскольку обязательным условием его
применения, является Windows , сохранившая работоспособность в безопасном режиме.
Вполне может быть, что разблокировать баннер с помощью отката операционной системы не
получится, поскольку не всегда точка восстановления бывает доступна.
Но, тем не менее попробуем:
1. Загрузившись в безопасном режиме и убедившись, что баннера нет, идем в
Пуск - Стандартные - Служебные - Восстановление системы.

2. Там выбираем восстановление и дату , на которую необходимо восстановить Windows.
3. Соглашаемся с этим.
4. После этого, перезагружаем компьютер.

В Windows 7 нужно использовать среду восстановления, в начальной фазе загрузки
компьютера жмёте F-8 и выбираете в меню: Устранение неполадок компьютера, далее
выбираем Восстановление системы.
В окне Параметры восстановления, опять выбираем Восстановление системы ,
и дальше выбираем нужную нам точку восстановления – по времени созданную
системой до заражения баннером системы.
Важное , если при нажатии F-8 меню Устранение неполадок не доступно , значит у вас
удалён скрытый раздел на винчестере, содержащий среду восстановления Windows 7.
Значит вам необходим диск восстановления Windows 7 .
Так же вместо диска восстановления можно использовать установочный диск Windows 7,
содержащий среду восстановления в себе. Загрузившись с Диска восстановления или с
установочного диска Windows 7 , всё делаете так же как описано чуть выше, то есть выбираете - Восстановление системы , далее в параметрах восстановления системы выбираете точку восстановления и так далее.

С помощью приложения LiveCD

Побороть вирус может помочь программа LiveCD от Dr.Web . Ее задача – сканирование
системы с диска и очистка ее от всей заразы, которые блокируют ее работу.
Для начала скачиваем программу LiveCD с Интернета. Далее нужно выполнить установку.
Для этого образ необходимо записать на диск. Есть немало различных способов, как это
сделать. Вот один из них:
1. Вставляем чистый диск в дисковод;
2. Скачиваем программу - SCD Writer .
3. Скачиваем в Интернете образ самой программы LiveCD.
4. Запускаем приложение SCD Writer , выбираем в нем "Диск" ,
нажимаем "Записать образ на диск" . Указываем путь к лежащему на жестком диске
образу LiveCD , устанавливаем скорость записи и ждем завершения процесса.
Теперь нужно выставить параметры так, чтобы при включении компьютера шла загрузка
системы не с жесткого диска, а с CD. Для выполнения этой задачи нужно зайти в BIOS,
(в самом начале запуска компьютера нажимаем клавишу Delete) . Потом переходим
в раздел Boot (то есть загрузка). Там появится список очередности носителей, с которых
запускается система. По умолчанию это жесткий диск. Нам нужно настроить этот параметр
таким образом, чтобы на первом месте стоял не винчестер, а Ваш дисковод .
Теперь компьютер будет загружаться, используя данные с диска.
Сохраняем изменения и перезапускаем компьютер. Проведя загрузку с диска, в появившемся
меню выбираем первый пункт.
Далее включаем Dr.WebScanner , нажимаем "Старт" и ждем завершения. После обработки программой вирусов выбираем вариант - "Удалить" .

Коды разблокировки Windows

Данный метод подойдет для тех, у кого под рукой есть возможность выхода в интернет.
На сайтах Касперского или Доктор Веб есть коды разблокировки . Просто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки . Так же, как вариант, Вы можете ввести номер куда просят отправить смс и текст сообщения , а затем нажать на кнопку "найти" и получить код.
После разблокировки сразу начинаем лечить систему Вашим антивирусом.

Как удалить вирусы с помощью AVZ

1. Скачиваем антивирусную утилиту AVZ. Она будет находится в архиве.
Распаковываем скачанный архив в какую-либо папку(желательно в ту же папку, где
находиться скачанный файл). Сделать это можно с помощью любого архиватора.
Если у Вас нет возможности выхода в интернет , то понадобится рабочий компьютер с
доступом к интернету и диск или флешка, чтобы записать на них программу AVZ .
Далее запускаем Windows на зараженном компьютере, ждем появления ползунка
загрузки, нажимаем F8 .В появившемся контекстном меню выбираем
"Безопасный режим с поддержкой командной строки".
Если загрузка прошла удачно, то на экране появится Командная строка .
Вставляем подготовленный информационный носитель с программой AVZ в компьютер.
Прописываем в Командной строке - explorer и нажимаем кнопку "Enter".
После того как появится значок "Мой компьютер" , заходим на носитель.
2. Запускаем файл avz.exe.
3. В окне программы жмем "Файл - Обновление баз - Пуск" .
По окончании процесса обновления баз, нажимаем "ОК" и "Закрыть"
4. На вкладке "Область поиска" выделяем галочками все жесткие диски , флешки.
Справа ставим галочку - "Выполнять лечение" .
В первых четырех строках выбираем - "Удалять",
в предпоследнем "Лечить" , а в самом последнем тоже "Удалять".
Так же проставьте галочки: "Копировать подозрительные файлы в карантин и Infected" .
5. Переходим на вкладку: "Типы файлов" - "Потенциально опасные файлы"
- ставим галочку
6. Переходим на вкладку "Параметры поиска" . Ползунок "Эвристического анализа"
перемещаем на самый верх и ставим галочку "Расширенный анализ" , а ниже
выставляем две галочки "Блокировать работу RootKit User - Mode" и
"RootKit Kerner - Mode"

Еще ниже выставляем галочки: - "Автоматически исправлять ошибки в SPI/LSP" ,
"Поиск портов TCP/UDP программ" , "Поиск клавиатурных перехватчиков" , а так же
"Автоматически исправлять системные ошибки". Жмем кнопку "Пуск" и ждем результатов проверки.
Внимание! Закончив работу с антивирусной утилитой, перед выходом (или после перезагрузки), нажмите AVZPM - "Удалить и выгрузить драйвер расширенного мониторинга процессов" . Затем "Файл" - "Выход" и обязательно перезагрузите компьютер.
Есть также варианты удаления вирусов с помощью скрипта , но это уже для опытных пользователей...

P/S. В завершении этой статьи,небольшой совет: если у Вас не работает (происки зловреда) диспетчер задач . Скачайте утилиту AVZ . В окне выберите вкладку Файл\Восстановление системы. После этого находим пункт - "Разблокировка диспетчера задач" , ставим на нем галочку и сохраняем изменения нажатием на кнопку "Выполнить отмеченные операции". Проверяем результат.
Как удалить вирус с зараженного браузера читайте
Как удалить слежку в браузере читайте
На этом пожалуй и все, что я мог посоветовать Вам из общих рекомендации по удалению вирусов, потому как, если возникнут проблемы по удалению вирусов - это может быть вызвано спецификой Вашей операционной системы, вида вирусов или действиями, что Вы проделали.

Как удалить вирус

3. В Командной строке вводим regedit.exe

Также смотрим:- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs - он должен быть пустой.

Разблокирование системы с помощью изменения даты в BIOS

Разблокировка с помощью восстановления системы

С помощью приложения LiveCD

Коды разблокировки Windows

Как удалить вирусы с помощью AVZ

Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.

Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.

Удаление вируса с помощью отката системы на точку восстановления

Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .

Переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.

После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.

Удаление вируса без отката системы на точку восстановления

Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

На вкладке "Общие" можно выбрать следующие режимы запуска Windows:

Обычный запуск - обычная загрузка системы.
Диагностический запуск - при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск - позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").

Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)

Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.

Устранение возможности запуска вируса с помощью редактора реестра.

Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт. Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)

Так выглядит раздел реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки.

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . .) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий. Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . .) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:

set temp
или
echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite.

Простейшие способы удаления блокировщиков семейства MBRLock

Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE (установочный диск, диск аварийного восстановления ERD Commander), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:

bootsect /nt60 /mbr буква системного диска:

bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна быть буква того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

Или для Windows, предшествующих Windows Vista

bootsect /nt52 /mbr буква системного диска:

Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).

Вирусы-шифровальщики и новые проблемы спасения пользовательских данных.

Кроме блокировки компьютера, вирусы вымогатели ипользуют шифрование пользовательских файлов, потеря которых может иметь серьезные последствия, и для восстановления которых жертва готова заплатить. Подобные вирусы-шифровальщики, как правило, используют серьезные технологии шифрования данных, делающие невозможным восстановление информации без ключей шифрования, которые злоумышленники предлагают купить за довольно крупные суммы. Правда, гарантий никаких. И здесь у пострадавшего есть несколько вариантов - забыть о своих данных навсегда, заплатить вымогателям без гарантии восстановления или обратиться к профессионалам, занимающимся восстановлением. Можно восстановить данные самостоятельно, если у вас достаточно знаний и навыков, либо потеря данныж не столь значима при неудаче. Полное восстановление всего и вся не получится, но при некотором везении, значительную часть информации можно вернуть. Некоторые примеры:

Восстановление данных из теневых копий томов - о теневом копировании и возможности восстановления файлов из теневых копий томов.

Recuva - использоваие бесплатной программы Recuva от Piriform для восстановления удаленных файлов, и файлов из теневых копий томов.

С появлением вирусов шифровальщиков нового поколения, проблема сохранности пользовательских данных стала значительно острее. Вирусы не только выполняют шифрование документов, архивов, фото, видео и прочих файлов, но и делают все возможное, чтобы не допустить хотя бы частичное восстановление данных пострадавшим от заражения пользователем. Так, например, вирусы-шифровальщики выполняют попытку удаления теневых копий томов с помощью команды vssadmin , что при отключенном контроле учетных записей (UAC), происходит незаметно и гарантированно приводит к невозможности восстановления предыдущих копий файлов или использования программного обеспечения, позволяющего извлекать данные из теневых копий (Recuva, стандартные средства Windows и т.п.). С учетом применения алгоритмов стойкого шифрования, восстановление зашифрованных данных, даже частичное, становится очень непростой задачей, посильной разве что для профессионалам в данной области. На сегодняшний день, существует пожалуй единственный способ обезопасить себя от полной потери данных - это использовать автоматическое резервное копирование с хранением копий в недоступном для вирусов месте или использовать программное обеспечения типа "машина времени", позволяющее создавать мгновенные копии файловой системы (снимки) и выполнять откат на их содержимое в любой момент времени. Такое программное обеспечение не использует стандартную файловую систему, имеет свой собственный загрузчик и средства управления, работающие автономно, без необходимости загрузки Windows, что не позволяет вредоносным программам полностью взять под контроль средства восстановления файловой системы. Кроме того, это ПО практически не влияет на быстродействие Windows. Примером такого ПО могут быть некоторые коммерческие продукты компании Horizon DataSys и бесплатные Comodo Time Machine и Rollback RX Home

Comodo Time Machine - отдельная статья о Comodo Time Machine и ссылки для скачивания бесплатной версии.

Rollback Rx Home - отдельная статья о Rollback Rx Home Edition компании Horizon DataSys и ссылки для скачивания бесплатной версии.