Доверие к подчиненным начинается там, где заканчиваются возможности следящего оборудования.

Восстановление загрузчика Windows 7 и Windows XP

Ваш компьютер заблокирован за просмотр, вирус заблокировал компьютер, и что?


Удаляем вирус Winlock вручную   ...или как удалить баннер и разблокировать ОС Windows 7/Vista/XP самостоятельно!


Работая инженером-программистом в сервисном центре, который находится в г. Орле и занимается ремонтом офисной техники и компьютеров, мне с регулярным постоянством приходится иметь дело с вирусами разных степеней сложности и модификаций. Мой опыт программирования,(а это восемь долгих-бессонных лет:) позволяет мне более объективно оценивать вирусную активность вредоносного ПО. Зная методы и свойства вирусов, их внутреннюю структуру и код, поиск и удаление вирусов с компьютера является для меня не только полезным, но и приятным занятием:) Поэтому все инструкции по удалению вирусов и разблокировке ОС Windows, которые описаны ниже, проверены и используются мною всегда.

    Откуда появляются вирусы вымогатели?

SEO оптимизация Чаще всего баннер вымогатель, блокирующий операционную систему, появляется на компьютерах новичков – людей, которые недавно приобрели компьютер и общаются с друзьями через интернет. Хотя грамотно написанная программа-вымогатель может заблокировать и компьютер достаточно опытного пользователя. Как правило все начинается с поиска информации в интернете, когда приходится заходить на незнакомые сайты и открывать сомнительные ссылки. Интересно, что по последним исследованиям G-Data, даже самые безобидные сайты про животных могут принести больший вред, чем сайты с платным видео. Другим вариантом, установки баннера на рабочий стол или в браузер, является переход по ссылке в письме или сообщении по icq. Главная цель программы-вымогателя это получение прибыли от владельца компьютера. Текст баннера будет пугать и требовать деньги, сам баннер будет мешать и надоедать, или программа-вымогатель полностью закроет доступ к операционной системе. И, что более всего забавно для защиты от баннеров-вымогателей совершенно не достаточно просто поставить и обновлять антивирусную программу, так, как большинство этих зловредных вымогателей не классифицируются антивирусами как вредоносные, ведь при их написании используются функции Win Api (внутренние функции Windows) причем, как ни странно, устанавливаются с полного на то согласия пользователя.

Запомните это Важно!

 - Нельзя вестись на поводу у хакеров.крэкеров -> мошенников, ибо вероятность того, что Вы получите код от блокировщика Windows практически ровна нулю, после отправленной СМС или пополнив чей-то счет. Наоборот, тем самым вы подтвердите, что не можете справиться с подобными вирусами и будете занесены в 'белый список' для последующих атак.

    Деструктивные действия вируса

После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\ .tmp ( – случайная последовательность цифр и букв латинского алфавита). Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af. После успешного сохранения файл запускается на выполнение, выполняя следующие действия:
– для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\.tmp;
– в зависимости от текущей даты вирус отправляет http-запрос: http://%3Crnd1%3E.com/regis***.php?guid={ }&wid= &u=&number= install=1, где – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты, и переводит системную дату на 20XX год в следствии чего вырубает антивирус — лицензия например только до 2013 г.
– специально сформированный уникальный идентификатор, – случайное число, – серийный номер жесткого диска.
– после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки;
– при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора. Затем файл a.bat запускается на выполнение. Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows. Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++. Но зная ООП ее можно написать и на Delphi.

Ваш компьютер заблокирован за просмотр... и как удалить вирус вымогатель с компьютера?


Если у Вас под рукой нет LiveCD Alkid, Kaspersky Rescue Disk, Dr. Web или AntiWinLockerLiveCD, а так же всего один компьютер, и нет возможности выйти в интернет и скачать соответствующие утилиты, то можно попробовать воспользоваться стандартными средствами восстановления Windows. Буквально на прошлой неделе, я попал именно в такую ситуацию. И тут я вспомнил об одном простом способе снятия блокировки, средствами восстановления Windows. В целом на то, что-бы разблокировать компьютер у меня ушло 15 минут. О том, как вернуть компьютер к своему первоначальному состоянию написано здесь. Это самый простой способ разблокировать компьютер самостоятельно, и в большенстве случаев он помогает)

Рассмотрим ключи реестра, где обычно прописывается вирус


    Достаточно часто мне приходится иметь дело с так называемыми (корыстными:) вирусами вымогателями, тема конечно битая, а для того что-бы превратить ПК в подобие печатной машинки вполне достаточно прописать например в ключе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell #значение notepad.exe Для восстановления ОС Windows XP/Vista/7 достаточно загрузится с LiveCD, коих великое множество например ERD Commander, немного погуглив, качаем, режем на болванку, загружаемся с LiveCD, запускаем редактор реестра, коммандой regedit, проверяем значение параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell #должен быть explorer.exe В параметре Userinit должен быть именно userinit.exe по пути c:\Windows\system32\userinit.exe
Не забудте проверить его наличие в папке c:\Windows\system32 и если вирус его случайно:) удалил, то его необходимо туда скопировать. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit # i:\system32\userinit.exe Достаем лист бумаги и ручку, записываем все пути по которым расположен вирус, для последующего удаления.
Обязательно проверяем этот ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec #должен быть равен 1
Появился ещё один вид троянов которые прописываются в эту ветку реестра, для очистки ветку в реестре необходтмо удалить. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe Иногда баннер прописывается в таком ключе реестра, значение этого ключа по умолчанию пустое либо там сидит антивирус. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs # должно быть пусто
Далее нужно проверить ключи реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ, в них не должно быть ничего подозрительного: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run И автозапуск сервисов Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Если после удаления вируса диспетчер задач оказывается:) блокирован администратором, необходимо открыть этот ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System # и удалить DisableTaskMgr

В Windows 7 дела обстоят немного по другому.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM) Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU). Поэтому вирус чаще всего добавляется в именно в этот раздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon # параметр shell И если добавленный строковый параметр Shell принимает например значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки, ну вобщем почти, как в Linux:) Поэтому, если Вы обнаружите в данном разделе реестра параметр shell, то можете смело его удалять, например в коммандной строке:
REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell И если это произошло, а в последний раз у меня было именно так, то необходимо еще и удалить куст HKEY_CURRENT_USER\SYSTEM # не путать с HKEY_LOCAL_MACHINE Будте внимательны, иначе Windows больше не запустится!

Вирусы, блокирующие доступ в интернет (вконтакте, одноклассники).

Иногда при выходе в интернет или входе на страницу в социальной сети вконтакте или однокласники, всплывает баннер с требованием отправить платное SMS, и это первый признак того, что Вас посетил один из этих вирусов: Trojan-Ransom.BAT.Agent.c или Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator). Общей классификацией данный вирусов является Trojan.Hosts. Ну и как правило вся его работа сводится к редиректу, на фейковую страницу, в которую Вы и вводите свои данные Логин:Пароль Чаще всего данный вид троянов написан на JavaScript, и просто прикреплен к ссылке, по которой и проходит пользователь. А потом происходит копирование bat файла с параметрами: cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\6876593FaOr C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f Ну, и как видно из кода bat файл переписывает файл hosts, который находится в корневом каталоге системного диска (Windows-95/98/ME) или в папке: C:\WINDOWS\System32\drivers\etc # (Windows NT/2000/XP/Vista/Windows 7). Поэтому, для того, что-бы получить возможность доступа к социальным сетям, необходимо открыть файл hosts с помощью любого текстового редактора и удалить все строки, кроме 127.0.0.1 localhost. Также к вирусам троянам блокируюжим доступ к популярным веб узлам, можно отнети и Trojan.BrowseBan, который добавлят js плагины, вызывающие сплывающие окна, для последующего ввода номеров мобильных телефонов. О том, как удалить Trojan.BrowseBan.480, смотрите здесь.

Удаление трояна MBR.Lock в загрузочном секторе Windows XP через консоль восстановления.

Не все так страшно, как кажется. На самом деле удаление баннера MBR.lock намного проще, чем в случае с баннером на рабочем столе. Для лечения нам понадобится установочный диск Windows XP. Загружаемся с диска, нажимаем клавишу R для запуска консоли восстановления Windows XP. После загрузки консоли, будет задан вопрос в какую копию Windows выполнить вход. Чаще всего это 1 (если у вас стоит одна ОС). Вводим команду fixmbr и нажимаем Enter. На вопрос Подтверждаете запись новой MBR? вводим с клавиатуры в латинской раскладке y, что означает yes и нажимаем Enter. Должно появится сообщение Новая основная загрузочная запись успешно сделана, верный признак того, что все прошло успешно и MBR восстановлена. Вводим команду exit и нажимаем Enter. После этого компьютер перезагрузится. Вот и все, компьютер разблокирован!

Компьютер заблокирован! Вирус показывает красные буквы на черном фоне:

Блокируется загрузка компьютера, выбор способов загрузки операционной системы через «F8?, в том числе и «безопасный режим» не доступны. Так как вирус-вымогатель прописывается в загрузочном секторе винчестера, компьютер блокируется сразу после сообщения о возможности входа в BIOS. Большинство подобных вирусов имеют свой срок активации и длительность действия. Чтобы обмануть назойливый вирус – порнобаннер сделайте следующее: Перезагрузить компьютер и зайти в BIOS (при включении компьютера нажимать клавишу «Del» либо «F2»). Далее необходимо изменить системную дату на месяц ВПЕРЕД (перевод времени назад не помогает), ну или, если не поможет, то на год (5-10 лет) ВПЕРЕД. Почти каждый вирус - порнобаннер не загружается после этого. Однако, сам файл вируса порнобаннера останется на компьютере, но зато Вы получите свободный доступ практически ко всем функциям компьютера и сможете удалить вирус вышеперечисленными способами. Помощь в удалении вируса блокировщика может оказать утилита AntiWinLockerLiveCD, которая поможет его убрать - в автоматическом режиме и восстановит нормальную загрузку.
Скачать LiveCD для удаления вируса вымогателя можно по этой ссылке скачать AntiWinLockerLiveCD.iso
Но в свете последних событий хочется отметить, тот факт, что эти манипуляции помогают не всегда. И поэтому есть два пути восстановления загрузочной записи MBR Windows:
1. В ручную:
a) Через консоль восстановления Windows:
Для того чтобы восстановить систему при помощи консоли Вам понадобиться загрузочный диск Windows. После того как Виндовс загрузит файлы в оперативную память, в появившемся меню выбора жмем "R", далее появится диалоговое окно с вопросом в какую копию Windows выполнить вход, жмем 1. Появится надпись системы C: \WINDOWS> пишем fixboot и жмем Enter. После этих действий появится вопрос в каком разделе вы хотите записать новый загрузочный сектор, выбираем C пишем Y (yes) и жмем Enter, после появления C: \WINDOWS> пишем fixmbr.
b) С использованием LiveCD Hiren Boot CD:
Загружаемся с LiveCD Hiren Boot CD, в меню выбираем DOS Tools x.x, потом MBR (Master Boot Record) Tools, и вот она утилита MBRWizard 2.0b, которая и поможет восстановить загрузчик. Вводим команду mbrwizd /list, для того, что-бы узнать номер диска, с которого будет грузиться Windows, набираем команду mbrwizd /repair=0 (у меня он равен 0). Жмен enter. (Молимся, что-бы прога не выдала ошибку:) Иначе смотрим внимательно mbrwizd /list.
2. Используя последнюю версию LiveCD Kaspersky Rescue Disk которую бесплатно можно скачать  здесь   с сервера Лаборатории Касперского.
Или Dr.Web anti-virus LiveCD забираем от сюда

3. Восстановление загрузчика Windows 7 и Windows Vista осуществляется легко и не должно у Вас вызвать особых:) затруднений. Для этого необходим загрузочный диск с Windows 7 или Vista. Главное, что-бы разрядность Windows на загрузочном диске, соответствовала той Windows которая установленна у Вас. Все инструкции и сам процесс восстановления загрузчика Windows 7/Vista я вынес на отдельную страницу.

Лечение и удаление оставшихся вирусов с компьютера

Если Ваш компьютер был заблокирован вирусом, то антивирусная защита и система безопасности Вашего компьютера оставляет желать лучшего. После всех вышеописанных манипуляций настоятельно рекоммендую Вам проверить зараженный компьютер антивирусом. Для лечения и удаления вирусов Вам необходимо скачать и установить свежую версию антивирусной программы. А, то и вовсе сканировать последовательно разным софтом. Ниже распологаются ссылки на бесплатные антивирусные утилиты Kaspersky Virus Removal Tool 2012 и Dr.Web CureIt!® которые выможете скачать и использовать бесплатно для лечения и удаления вирусов:
Здесь Вы можете скачать бесплатно программы Kaspersky Virus Removal Tool 2012 от “Лабораторий Касперского” ссылка для скачивания!
По этой ссылке бесплатную Лечащую утилиту Dr.Web CureIt!® производства “Диалог-Наука” можно скачать здесь!

Установка антивируса и сетевого экрана для дома

В случае если у Вас еще вдруг не установлен антивирус, такое тоже иногда бывает:) то бесплатные антивирусы можно скачать по ссылкам которые расположены ниже:
На официальном сайте Microsift Вы можете скачать бесплатный антивирус для ОС семейства Windows ссылка для загрузки!

Альтернативным решение для дома является свободный антивирус Avast Free Antivirus, который можно скачать бесплатно здесь!
Ну и настоящая находка для любителей фриварных программ: бесплатный антивирус FortiClient Endpoint Security Suite скачать!

После проверки, если вирус обнаружен, желательно перезагрузиться и проверить жесткий диск вторично. Связано это с тем, что многие зараженные программы в момент проверки находятся в оперативной памяти и могут быть не вылечены антивирусной программой. Хотя полную гарантию даст лишь проверка Вашего жесткого диска на другом компьютере, гарантированно не зараженном вирусом.

P.S. Надеюсь моя статья помогла вам разблокировать компьютер от баннера вымогателя самостоятельно.
Ну, а если Вы живете в нашем славном городе Орле, и по каким либо причинам не можете самостоятельно справиться с удалением вирусов, и разблокировать Windows, то можете смело обращаться ко мне за помощью.
Я же в свою очередь зделаю это быстро и качественно! Данные для связи со мной смотрите на странице контакты.


X